header image
The world according to David Graham

Topics

acva bili chpc columns committee conferences elections environment essays ethi faae foreign foss guelph hansard highways history indu internet leadership legal military money musings newsletter oggo pacp parlchmbr parlcmte politics presentations proc qp radio reform regs rnnr satire secu smem statements tran transit tributes tv unity

Recent entries

  1. PMO Staff Run Government; Ministers Represent It
  2. On A Mostly Harmless Birthday
  3. The Trouble With Political Communications
  4. Politics: War By Other Means
  5. On the function of Social media
  6. C-18 is an existential threat, not a benefit, to democracy
  7. On Missing A Little More Than A Sub
  8. The Realpolitik Of Open Nomination
  9. What Is An Open Nomination, Really?
  10. Alberta election about identity, not policy
  11. The Trouble With Electoral Reform
  12. Mr. Bains Goes to Rogers
  13. Question Period
  14. Why do lockdowns and pandemic restrictions continue to exist?
  15. Parliamentary privilege: an arcane concept that can prevent coups
  16. It's not over yet
  17. Trump will win in 2020 (and keep an eye on 2024)
  18. A podcast with Michael Geist on technology and politics
  19. Next steps
  20. On what electoral reform reforms
  21. 2019 Fall campaign newsletter / infolettre campagne d'automne 2019
  22. 2019 Summer newsletter / infolettre été 2019
  23. 2019-07-15 SECU 171
  24. 2019-06-20 RNNR 140
  25. 2019-06-17 14:14 House intervention / intervention en chambre
  26. 2019-06-17 SECU 169
  27. 2019-06-13 PROC 162
  28. 2019-06-10 SECU 167
  29. 2019-06-06 PROC 160
  30. 2019-06-06 INDU 167
  31. older entries...

All stories filed under secu...

  1. 2016-11-15: 2016-11-15 SECU 42
  2. 2019-03-18: 2019-03-18 SECU 152
  3. 2019-04-01: 2019-04-01 SECU 154
  4. 2019-04-03: 2019-04-03 SECU 155
  5. 2019-04-08: 2019-04-08 SECU 156
  6. 2019-04-10: 2019-04-10 SECU 157
  7. 2019-04-29: 2019-04-29 SECU 158
  8. 2019-05-01: 2019-05-01 SECU 159
  9. 2019-05-06: 2019-05-06 SECU 160
  10. 2019-05-08: 2019-05-08 SECU 161
  11. 2019-05-13: 2019-05-13 SECU 162
  12. 2019-05-15: 2019-05-15 SECU 163
  13. 2019-05-27: 2019-05-27 SECU 164
  14. 2019-05-29: 2019-05-29 SECU 165
  15. 2019-06-03: 2019-06-03 SECU 166
  16. 2019-06-10: 2019-06-10 SECU 167
  17. 2019-06-17: 2019-06-17 SECU 169
  18. 2019-07-15: 2019-07-15 SECU 171

Displaying the most recent stories under secu...

2019-07-15 SECU 171

Standing Committee on Public Safety and National Security

(1330)

[English]

The Chair (Hon. John McKay (Scarborough—Guildwood, Lib.)):

Folks, we're trying to get back on our timeline here. We are waiting for our other witness, but in the meantime, we will proceed with RCMP captain Mark Flynn.

You will make your presentation, and if the folks from the Communications Security Establishment come, we'll make arrangements for them to speak as well.

The meeting is now public, by the way.

For those who are presenters, the real issue here is that the members wish to ask questions. Therefore, shorter presentations are preferable to longer ones.

With that, Superintendent Flynn, I'll ask you to make your presentation.

Chief Superintendent Mark Flynn (Director General, Financial Crime and Cybercrime, Federal Policing Criminal Operations, Royal Canadian Mounted Police):

You'll be happy to hear, as I understand the committee was informed, that I won't be making any opening remarks. I am present here today simply to address any questions you may have. As this, on its surface, does relate to an ongoing criminal investigative matter, it would be inappropriate for me to provide details of an investigation, particularly an investigation that is not being undertaken by the RCMP.

I welcome all questions. I am here to provide whatever assistance I can.

The Chair:

Mr. Graham.

Mr. David de Burgh Graham (Laurentides—Labelle, Lib.):

It's a little harder to ask questions without an opening to work off.

The first question I have is this. If somebody calls the RCMP with a suspicion of data theft complaint, how does the RCMP treat that from the get-go?

C/Supt Mark Flynn:

That will depend on the jurisdiction where it occurs. In the jurisdiction where we are, the police have jurisdiction, so they have the provincial and municipal responsibility. It would be forwarded to our intake process there, whether it be our telecoms office, the front desk of a detachment or a particular investigative unit that's identified for that.

In cases where we are not the police of jurisdiction, like in Ontario and Quebec where we are the federal police, we will become aware of these instances through our collaboration with our provincial and municipal partners. We will look at the information and determine whether or not there are any connections to other investigations that we have ongoing, and offer our assistance to the police of jurisdiction should they require it, although on many occasions this type of incident is very well handled. We have very competent provincial and municipal police forces that are able to handle these on their own.

Mr. David de Burgh Graham:

At what point does something become federal? If something is provincial jurisdiction but affects multiple provinces, does each province have to deal with it separately or is the RCMP able to step in at that point?

C/Supt Mark Flynn:

The RCMP doesn't automatically step in solely because it crosses multiple provinces. As occurs with traditional crimes, whether a theft ring on a border between two provinces, or homicides, the police forces in those jurisdictions are used to collaborating and do so very well.

When there's an incident that occurs from a cyber perspective, if it's going to have an impact on a Government of Canada system, a critical infrastructure operator or there are national security considerations to it, or if it's connected to a transnational, serious and organized crime group that already falls within the priority areas we're investigating, then that matter will be something we will step into.

From a cyber perspective, we have ongoing relationships and regular communication with most of the provinces and municipalities that have cyber capabilities within their investigative areas. We know that many of these incidents occur in multiple jurisdictions, whether they be domestic or international, so coordination and collaboration are really important.

That's why the national cybercrime coordination unit is being stood up as a national police service to aid in that collaboration, but prior to that being implemented, one of the responsibilities of my team in our headquarters unit is to have regular engagement, whether regular telephone conference calls or formal meetings where we discuss things that are happening in multiple jurisdictions to ensure that collaboration and deconfliction occurs, or on an ad hoc basis. When a significant incident occurs, our staff in the multiple police forces will be on the phone speaking to each other and identifying and ensuring that an appropriate and non-duplicating response is provided.

Mr. David de Burgh Graham:

In the case of the incident we're here to discuss, which is obviously a major incident, is the RCMP being kept apprised of what's happening, even if it's not their investigation?

C/Supt Mark Flynn:

I'd like to stay away from discussing this particular investigation, but I can tell you that investigations of this nature absolutely will lead to discussions occurring. That happens as a consequence of the fact that we do have those regular meetings, whether it be in cyber or other types of crime that are going on in different jurisdictions. These, obviously, on a scale of this nature, would lead to discussions.

I am not involved involved in any of those discussions at this time. It is not something I have knowledge about.

Mr. David de Burgh Graham:

Understood.

Okay.

The Chair:

Mr. Drouin, welcome to the committee.

Mr. Francis Drouin (Glengarry—Prescott—Russell, Lib.):

Thank you, Mr. Chair.

Mr. Flynn, thank you for being here. I know that you will not comment on the ongoing investigation, but as a member of Parliament who represents a lot of members who have been impacted—I have been impacted as well—I am looking more at the potential impacts of fraud.

I know that many Canadians get fraudulent calls from CRA. I myself called back somebody who pretended they were you guys. They wanted to collect some money for a particular person. They were demanding. They were really adamant. They gave a callback number, and I provided that callback number to the police. Is that something you would advise Canadians to do where obviously the RCMP, or your local police force, is the first point of contact?

(1335)

C/Supt Mark Flynn:

Absolutely. We actually have a program at the Canadian Anti-Fraud Centre and a close relationship with telecommunications service providers, who have been very helpful in addressing some of the challenges we've had around telemarketing and the mass fraud committed over the telephone. As we learn about numbers that are utilized for fraud, we are validating that, and the telecoms industry is blocking those numbers to reduce the victimization. We have adapted some of our practices to ensure that this occurs at a much more timely rate than it has historically.

Mr. Francis Drouin:

Just from your experience, and learning from cases of fraud, we know that some of them may have my social insurance number. They may have my email address, as well as my civic address. It could be a very convincing case for them to pretend that they're either a government official or from some type of financial institution. What would you advise Canadians on the best way to protect themselves?

C/Supt Mark Flynn:

With any mass fraud campaign, whether it be tied to an instance like this or just in general, people need to have a strong sense of skepticism and take action to protect themselves. There are many resources under the Government of Canada, with such organizations as the Canadian Anti-Fraud Centre and Get Cyber Safe, that provide a list of advice for Canadians. It simply comes down to protecting your information and having a good sense of doubt when somebody is calling you. If it's a bank calling, call your local branch and use your local number. Don't respond to the number they provide and don't immediately call back the number they provide. Go with your trusted sources to validate any questions that are coming in.

I have experienced calls similar to yours. I had a very convincing call from my own bank. I contacted my bank and they gave me the advice that it was not legitimate. It was interesting, because in the end it turned out to be legitimate, but we all felt very safe in the fact that the appropriate steps were taken. I would rather risk not getting a service than compromising my identity or my financial information.

Mr. Francis Drouin:

Okay. Great.

Thank you.

The Chair:

Mr. Paul-Hus, you have seven minutes. [Translation]

Mr. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, CPC):

Thank you, Mr. Chair.

Thank you, Mr. Flynn. I'll come back to you in a few moments.

The leader of the Conservative Party of Canada, Andrew Scheer, asked me to contact my fellow committee members to convene this meeting. He sent an open letter to the media on July 12, and I'd like to paraphrase a few paragraphs. Like the vast majority of Quebecers and all Canadians, I am worried about the the security of our information technology systems, identity theft and privacy protection. This is a very serious situation, and I understand the fear and anxiety of the victims, whose personal information, including their social insurance number, was stolen. They are worried about how this will affect them in the future. They will have to spend considerable time and energy dealing with this. It is reassuring to see that the leadership at Desjardins Group is taking the matter seriously and working hard to protect and reassure members. The federal government, too, has a responsibility and duty to support all victims of identity theft by learning from the past and strengthening cybersecurity in partnership with all stakeholders across the industry.… I want the victims of this data breach, as well as all Canadians, to know that we stand with them and that a future Conservative government would be committed to tackling the privacy challenges confronting Canadians. [English]

The Chair:

Well, we thank Mr. Scheer for that wonderful message. [Translation]

Mr. Pierre Paul-Hus:

We want to be very clear about what an important and serious issue this is—so important, in fact, that we felt it was necessary for the committee to meet on this sunny July 15.

Mr. Flynn, you answered the questions of my Liberal colleagues, but I find the RCMP's response to the situation rather weak. Allow me to explain. Some 2.9 million Desjardins account holders are very worried right now. About 2.5 million are Quebecers, and 300,000 are in Ontario and other parts of the country. For the past three weeks, constituents have been contacting our offices non-stop, and the government has yet to respond. The reason for today's emergency meeting is to figure out what the federal government can do to help affected Canadians.

You said the RCMP isn't really involved, but can't it do something given that it has its own cybersecurity unit, works with organizations like Interpol and has access to other resources? I don't want to interfere in a police investigation, but we heard that people's personal information was being sold abroad. Isn't there technology or techniques the RCMP can use to detect potential fraud?

(1340)

[English]

C/Supt Mark Flynn:

The RCMP's role, as I explained earlier, in many of these situations is to work with our provincial and municipal partners. It's important to recognize that our provincial and municipal partners are very skilled at responding to many of these incidents. It's not always the case that the RCMP has additional powers, authorities or capabilities to the ones they have when dealing with an incident that is singular in nature, where an individual is involved in a single event, as opposed to a broader one.

However, there's always a standing offer from the RCMP to our provincial and municipal partners, that should they require technical assistance, advice or guidance, we are available to them for that. It would be inappropriate for the RCMP to inject itself into the jurisdiction of another police force to run the investigation they are operating. [Translation]

Mr. Pierre Paul-Hus:

I understand what you're saying about the investigation probably being conducted by the Sûreté du Québec, but what the Conservatives and NDP want to know is this. What can the RCMP do about the personal information of 2.9 million people that was handed over to criminals? I don't want to discuss the investigation; I want to know whether you have resources. If you don't, we want to know. That's why we are here today. If personal data was sold on the international market, neither the Quebec provincial police nor Laval police is going to deal with it. I think it falls under RCMP jurisdiction. [English]

C/Supt Mark Flynn:

Again, outside the scope of this particular investigation, cybercriminals do commit the majority of their crimes to gain access to personal or financial information for the purposes of gaining access to financial institutions and the money that's housed in those locations. The RCMP work continuously with the international community to identify and pursue the individuals who are committing a great number of these crimes.

The RCMP are working closely right now with those international partners, as well as many of the large financial institutions in Canada and the Canadian Bankers Association, to ensure that we are targeting the individuals who are causing the most significant harm. Our federal policing prevention and engagement team has hosted sessions with both the financial institutions and the cybersecurity industry. We have a new advisory group that's helping us target those individuals.

As far as knowledge goes, it's only in the hands of those cybersecurity and financial institutions. We're trying to ensure that as we are putting the resources we have into investigations, we are targeting those individuals who are causing the most harm.

We do that, as well, internationally. As incidents occur, we speak to our international law enforcement partners. We identify the behaviours we have in our cases or in our Canadian law enforcement partners' cases, so that if there are connections or individuals who are in those other jurisdictions, we're using the mutual legal assistance treaty, and we're using police-to-police collaborative efforts that we have to ensure that, internationally, all of those efforts are put towards a problem.

Now, I want to stay away again—and I apologize for doing that—from this exact incident. I cannot express what is or is not being done in this particular incident. [Translation]

Mr. Pierre Paul-Hus:

Since the problem came to light, has the RCMP set up a special unit to help deal with it? [English]

C/Supt Mark Flynn:

I am unable to speak about this particular incident. It would be inappropriate for me to do so.

The Chair:

Thank you, Mr. Paul-Hus.[Translation]

Mr. Dubé, you may go ahead for seven minutes.

Mr. Matthew Dubé (Beloeil—Chambly, NDP):

Thank you, Mr. Chair.

Thank you for being here today, Mr. Flynn.

It's important that we talk about this situation because, as my colleague pointed out, people are worried. It's essential that we find out more about the federal government's capacity to take action and the means we have at our disposal, especially since the committee just wrapped up a study on cybersecurity in the financial sector before Parliament rose in June. I'll touch on some of the things the committee looked at in its study because they pertain to the matter at hand.

I'd like to follow up on some of your answers. First of all, it is rumoured that personal data was sold to criminal organizations outside Quebec and Canada. I know you can't comment on this case specifically, but at what point does the RCMP step in to assist the highly competent people at such organizations as the Sûreté du Québec when a case involves a criminal organization operating outside Canada that the RCMP is already monitoring?

(1345)

[English]

C/Supt Mark Flynn:

We have formal, regular engagement with our policing partners across the country. That occurs on a monthly basis in the cyber area, as well as biweekly in some other areas. However, when there are incidents such as this, as you described, there are immediate calls that go out to ensure that collaboration is occurring and that any of our international partners' information that's relevant could be utilized to aid in those investigations. [Translation]

Mr. Matthew Dubé:

Thank you.

You said local police forces, the Sûreté du Québec and the Ontario Provincial Police were very competent when it came to dealing with cybersecurity issues and had significant powers. Does the RCMP have special expertise or information that could help them?

The reason I ask is that the government touted the consolidation of the cybersecurity capacity of the Communications Security Establishment, or CSE, the RCMP and all the other agencies concerned as a way to ensure information was shared and everyone was on the same page. I'll be asking Mr. Boucher, of the Canadian Centre for Cyber Security, about this as well when we hear from him.

Do you engage municipal or provincial police, as the case may be, in the same way? [English]

C/Supt Mark Flynn:

Yes, we do. We work very closely, as I've stated, with our provincial and municipal police agencies. In fact, I take great pride in the fact that at some of those meetings that I described, where our federal policing prevention and engagement team brought together the private sector, financial institutions and cybersecurity, one of those policing partners actually stood up at the front of the room and thanked the RCMP for the collaboration they are seeing in the area of cyber, which is far better than anything they've ever seen in their career.

I take great pride in that because that has been a priority for me, my staff and our engagement folks, to ensure that we are not being competitive but are being collaborative and, in that collaboration, we are supporting each other. We are not superseding other police forces' authorities, but we're also ensuring that we can assist the others in that. [Translation]

Mr. Matthew Dubé:

Thank you. I don't mean to cut you off, but I have a limited amount of time.

When the committee was studying cybersecurity in the financial sector, we talked about the fact that people tend to think of state actors as being the threat. I won't name them, but I'm sure everyone has an idea of the countries that could pose a threat to Canada's cybersecurity.

I realize you can't talk about it, but in this particular case, we are dealing with an individual—an individual who poses a threat because the stolen data can be sold and could end up in the hands of state actors. One of the things the committee heard was that individuals represent the greatest threat. Is that always the case? Does a lone criminal wanting to steal data pose a greater threat than certain countries we would tend to suspect?

(1350)

[English]

C/Supt Mark Flynn:

The threat comes from multiple directions, and I can't say which is greater, because, in our experience, we have seen a significant number of organized groups or individuals perpetrating the crimes across the Internet. The Internet is an enabler as much as it's a tool for us to use in leveraging and utilizing all the fantastic services that are out there. [Translation]

Mr. Matthew Dubé:

I have to cut you off because I'm almost out of time.

Has the presence of organized groups or countries with ill intentions seeking to buy personal data created some sort of marketplace? Do individuals like the alleged perpetrator in this case have an incentive, albeit a malicious one, to steal information and sell it to interested parties? Does the existence of these groups incentivize individuals who have the expertise to do things they wouldn't normally do? [English]

C/Supt Mark Flynn:

Yes, absolutely. We have seen a rise in what we refer to as cybercrime as a service to aid others who are less skilled at committing cyber offences, whether they are creating the malware, operating the infrastructure, or creating the processes by which somebody can monetize the information that is stolen. That is a key target area for the RCMP under our federal policing mandate, and we are targeting those key enabling services so that we can have the most significant impact on the individual crimes that are occurring, as opposed to chasing each individual crime. [Translation]

Mr. Matthew Dubé:

Thank you again for taking the time to meet with us today. [English]

The Chair:

Thank you, Mr. Dubé.

We have now been joined by Mr. André Boucher from the CSE, and I am going to give him an opportunity to make his statement.

I'll say to you what I said to Superintendent Flynn, that we are encouraging shorter statements rather than longer statements so that members will have more opportunity to ask questions.

Mr. Fortin, I see that you want to— [Translation]

Mr. Rhéal Fortin (Rivière-du-Nord, BQ):

If I may, Mr. Chair, I'd like to ask the witnesses questions. I'm not sure whether the agenda allows for that, but if so, I'd like a few moments. [English]

The Chair:

No, it's not, and I'm sorry, but you're not going to be able to speak to the witnesses. [Translation]

Mr. Rhéal Fortin:

No? [English]

The Chair:

No, not right now. Thank you. We're still in this hour cycle.

Mr. Boucher, as I said, shorter is better than longer. Thank you. [Translation]

Mr. André Boucher (Assistant Deputy Minister, Operations, Canadian Centre for Cyber Security, Communications Security Establishment):

Thank you, Mr. Chair. As requested, I'll keep my presentation on the shorter side.

Mr. Chair and honourable members of the committee, my name is André Boucher, and I am the associate deputy minister of operations at the Canadian Centre for Cyber Security.

Thank you for the opportunity to appear before you this afternoon.

Let me begin with a brief overview of who we are.

The Canadian Centre for Cyber Security was launched on October 1, 2018 as part of the Communications Security Establishment. We are Canada's national authority on cybersecurity and we lead the government's response to cybersecurity events.

As Canada's national computer security incident response team, the cyber centre works in close collaboration with government departments, critical infrastructure, Canadian businesses and international partners to prepare for, respond to, mitigate and recover from cyber events. We do this by providing authoritative advice and support, and coordinating information sharing and incident response.

The cyber centre's partnerships with industry are key to this mission. Our goal is to promote the integration of cyber defence into the business model of industry partners to help strengthen Canada's overall resiliency to cyber threats. Despite these efforts and those of Canada's industry, cyber incidents do still happen.

This brings me to the topic we are here to discuss today. The cyber centre is not in a position to provide any details on this incident and does not comment on the cybersecurity practices of specific businesses or individuals. Any cyber breach, not just this specific instance, can be taken as an opportunity to revisit best practices and to refine systems, processes and safeguards.

In this case, media reporting and public statements indicate that the disclosure of personal information occurred as a result of the actions of an individual within the company—what is termed insider threat.[English]

In our recent introduction to the cyber-threat environment, the cyber centre described the insider threat as individuals working within an organization who are particularly dangerous because of their access to internal networks that are protected by security parameters. For any malicious actor, access is key. The privileged access of insiders within an organization eliminates the need to employ other remote means and makes their job of collecting valuable information that much easier. More broadly, what this incident underscores is the human element of cybersecurity. The insider threat is only one example of this.

Cybercriminals have proven especially adept at exploiting human behaviour through social engineering to deceive targets into handing over valuable information. Fundamentally, the security of our systems depends on humans—users, administrators and security teams.

What can we do in a world of increasing cyber-threats? At the enterprise level, adopting a holistic approach to security is critical. This means starting with a culture of security and putting in place the right policies, procedures and cybersecurity practices. This ensures that when something goes wrong, as it almost inevitably will, there is a plan in place to address it.

Then we need to invest in knowing and empowering our people. Training and awareness for individuals and businesses are very important. Only with awareness can we continue to develop and instill good security practices, a fundamental step in securing Canada's cybe systems.

As well, we always need to identify and protect critical assets. Know where your key data lives; protect it; monitor the protection, and be ready to respond.

At the cyber centre, we'll continue to work with industry and to publish cybersecurity advice and guidance on our website. We regularly issue alerts and advisories on potential, imminent or actual cyber-threats, vulnerabilities or incidents affecting Canada's critical infrastructure.

Under, we hope, different circumstances, we'll continue to participate in conversations like this one, which help to keep the spotlight on these issues.

Ultimately, there is no silver bullet when it comes to cybersecurity. We cannot be complacent; there is too much at stake. While long-promised advances in technology may make the task easier, the need for skilled and trustworthy individuals will remain a constant.

Thank you, and I look forward to answering your questions.

(1355)

The Chair:

Thank you, Mr. Boucher.

Next is Monsieur Picard for seven minutes. [Translation]

Mr. Michel Picard (Montarville, Lib.):

I would like to preface my remarks by pointing out that the incident we are discussing today falls entirely within the parameters of the study we began in January on cybersecurity and financial crime.

As suggested by my fellow Liberal members, I put forward a motion that we study the issue. That shows how deeply concerned we are about cybersecurity in financial institutions. I'm delighted that Mr. Scheer commended our efforts in relation to the study. He fully supports my motion, and I'm glad that his party is joining the Liberal Party in its efforts to address the issue of cybersecurity in financial institutions, so thank you.

Mr. Flynn, I think it's important to speak to Canadians today to help people manage their expectations when something as serious as identity theft occurs.

The public wants the police to conduct a criminal investigation. Generally, people want something done about the loss of their personal information. They want their identity to be restored, without having to worry that five, 10 or 15 years down the road, they will once again be targeted. In terms of a criminal investigation, what are people's expectations? [English]

C/Supt Mark Flynn:

From a policing perspective, I believe that the public expectation is that police are going to pursue the person and anyone associated with that person who is involved in either the theft or the monetization of information—whether through cyber-threat, cyber-compromise, insider threat, or so on—and hold them to account and bring them into the judicial process to ensure that there are consequences, and that steps are taken to prevent this type of incident from occurring. [Translation]

Mr. Michel Picard:

It's very hard for people to understand just how difficult it is to prove that you are the person you say you are. How are people supposed to prove their identity? It's extremely challenging when three different people are out there using the same name and social insurance number.

(1400)

[English]

C/Supt Mark Flynn:

It's not an area of expertise for me, as a police officer, to confirm identity. I would go back to my earlier statement about using your local resources, whether it be financial institutions or other types of service. If you're able to use a local service to confirm it, that is your best way to deal with those companies when there are questions about your identity. [Translation]

Mr. Michel Picard:

To a certain extent, the criminal investigation is a way to ensure justice is served, provided that it leads to the perpetrators being nabbed, the evidence being used to successfully prosecute them and their being punished, mainly sent to prison.

That said, data on the black market represent virtual assets, ones that aren't housed in a physical location. Data can be located in many places. I'm not trying to alarm people, but it's important for them to understand that, even if the perpetrators are arrested, it doesn't necessarily mean that their data are no longer vulnerable and their identity can be restored. [English]

C/Supt Mark Flynn:

That is correct. It's important to point out that the only measure of success is not necessarily prosecution. In fact, in the cyber area many of those prosecutions will occur in other jurisdictions as we work collaboratively.

One of the approaches in the RCMP, and I know in some of our other police forces as well, is that we are bringing financial institutions and cybersecurity experts into our investigations. That is different from what we traditionally have done in our criminal investigative efforts. That has already borne fruit. It has already provided significant advantages. Those “partners”, as I refer to them, are able to see information that we as police officers might not know is important and we may not independently be able to identify that this could be used to provide protection for their customers. I know of at least one incident in a major investigation we've been undertaking where several financial institutions, through that collaboration, were able to identify and reduce potential harm to accounts that through that sharing were identified as compromised.

So I think the approach we are taking is providing benefits that are not solely measured by arrest and prosecutions. [Translation]

Mr. Michel Picard:

Mr. Boucher, your centre provides advice to other organizations. How can a business protect itself from its own staff? What advice do you have for businesses in that regard?

As we saw this winter, there is every reason to believe that banks, financial institutions and financial service companies have the best possible technology to protect their data from outside threats. What concerns us are threats from the inside. I don't think any software out there can protect against that risk. How do you advise organizations to safeguard against the human element when it comes to fraud?

Mr. André Boucher:

Thank you for your question.

That ties in with my opening statement. A few tools are available, but what works best is going back to the basics—in other words, taking a holistic approach to security.

First, that means a well-established internal security regime for staff. It is important to understand exactly where the information that needs protecting resides, to know the individuals the organization works with and to constantly update the security regime. An individual's personal situation can easily change after they've been interviewed, so an organization should have those kinds of conversations with staff members on a regular basis. For individuals, a clear training and education program should be in place, one that includes refreshers, and the underlying processes should be clear.

IT teams have access to data loss prevention tools that can help to detect fraud. By the time fraudulent activity is detected, however, it's often too late. It is therefore important that organizations invest as early as possible in measures that build trust and confidence and that they work with reliable people. [English]

The Chair:

Thank you, Mr. Picard.

Mr. Motz, you have five minutes.

Mr. Glen Motz (Medicine Hat—Cardston—Warner, CPC):

Thank you, Chair.

Thank you, witnesses, for being here.

Mr. Boucher, I was intrigued by your opening comments on the Canadian Centre for Cyber Security being the national authority on cybersecurity and leading the government's response to cybersecurity events: As Canada's national...security incident response team, the Cyber Centre works in close collaboration with government departments, critical infrastructure, Canadian businesses, and international partners to prepare for, respond to, mitigate, and recover from cyber incidents.

That's fantastic. It also leads to this question by me: What standards or measures do we have in place now? We consider banking in Canada to be a critical infrastructure in this country. What standards are in place at this moment to ensure that those are met? Do we have incentives? Do we have penalties? Do we have anything in the way of ensuring that we have a uniform approach across the industry to make sure that Canadians are safe? It's Canadians we are here for and are serving in that capacity. I'm curious to know if we have a mandatory baseline that everybody needs to operate at. If we don't, how come? And how can we?

(1405)

Mr. André Boucher:

Thank you for your question. It's a vast question. I think you will have testimony this afternoon from experts from that specific sector of financial institutions.

I would say that from a cybersecurity perspective, the financial sector is quite mature, where we have both regulators in place and best practices that are part of the community. As cybersecurity-focused experts, we put a lot of effort into that collaboration in those best practices. We leave it to the regulators who are sector-specific to put in those minimum standards and guidelines that need to be in place, enforced and reviewed. We in fact appeal to the best and try to tease that up as much as possible for entire sectors, in this case the financial sector. The financial sector is one that's very mature. It's one where collaboration is established. It is where reputational risks are measured at their true value. Significant investments are made in that regard.

From a Canadian perspective, I would feel quite reassured that as a sector, there are both minimum standards and applications through the regulators that are in place and teams that are working at bringing the best out of enterprises so that they perform as well as possible.

Mr. Glen Motz:

Approximately 2.9 million entities, individuals and Canadian businesses, are impacted by this particular occurrence, but millions of others across this country have also been victims of having their identities and credit card information stolen. They may not find solace in that particular statement that we have a mature banking industry in this country, because they continue to be victimized. I'm curious to know whether we are as vigorous in that way as we could or should be in pursuing the financial security of those institutions and of the people who put their trust in them.

Mr. André Boucher:

I can assure you that we're quite vigorous in taking all the measures at our disposal, whether they be best practices in collaboration or measures that are enforced and in place.

The sad or unfortunate reality that we all have to compose with is that, as was pointed out earlier, when data gets lost and gets in the wild, we never get to recover it. It is not like a tangible asset that you can go and purge and bring home. It is a new reality for clients, it is a new reality for customers and it is a new reality for enterprises.

I would go back to the comment I made earlier that it just puts more fuel into the need to invest early, with early investments in having programs, in choosing our employees better, and in making sure we have a holistic approach to security to make sure we don't find ourselves trying to recover our losses.

Mr. Glen Motz:

Okay. Thank you.

Chief Superintendent Flynn, as we've learned from this circumstance and from others, data is the hottest commodity on the dark web. We know that. People's names, addresses, dates of birth, social insurance numbers, IP addresses, email addresses—all those sorts of things are commodities that are traded at will on the web. I guess a couple of things come to mind for me. Can you help the Canadian public understand, number one, how that information is used by the criminal element, and number two, how they can then be vigilant? You answered Mr. Drouin partially with a response, but as the law enforcement agency in this country, what red flags or alarms could you make the Canadian public aware of that they need to be vigilant about if they've been compromised, and even before they become compromised?

The Chair:

Mr. Motz asks an important question. Unfortunately, he's left you no time to answer it. I would invite you to work an answer into a response to another member. We have three hours' worth of hearings here, and if I don't keep this on track, we'll get lost.

Ms. Dabrusin, you have five minutes, please.

(1410)

[Translation]

Ms. Julie Dabrusin (Toronto—Danforth, Lib.):

Thank you.

When we did our study on financial institutions and cybersecurity, we heard that banks had extensive security measures in place—something people may be questioning now. We also heard people being talked about as though they were cardboard boxes.

What can people do to better protect themselves? Can you give us any helpful information or details? Is there a place where members of the public can turn for information on how to better protect themselves—a website or a telephone line, perhaps? Is there anything you can tell us, Mr. Boucher?

Mr. André Boucher:

Thank you for your question.

We have an extensive program. On our website, cyber.gc.ca, people can find information on how to protect themselves. Of course, people have to be aware when they are online. That is the most basic rule of cybersecurity. People have to know not only how to use the Internet, but also what they are sharing with others online. We are constantly running campaigns to educate people on using their devices securely and being smart about who they choose to share confidential information with.

Having the best protection and keeping it up to date is the first step, but making smart choices is another. People should visit only the sites of companies they consider to be reliable and reputable. Once they've done those two things, people need to choose what information they agree to share with the company. It's a three-step approach, and it is all available in the information and guidance we provide to people.

Ms. Julie Dabrusin:

I see.

I also saw a lot of information about passwords. For instance, it mentioned people who use the same password for all of their online accounts.

Can you share some things people can do to protect themselves when it comes to their passwords? That's an important element.

Mr. André Boucher:

Yes. I always look for opportunities to promote our website, so on our website, we talk specifically about how long and complex passwords should be. We also provide some tips. I encourage people to explore our website for themselves. It is often said that people should change their passwords regularly, but the problem with that is having to memorize a bunch of ever-changing passwords. The guideline has evolved over time. Nowadays, it is recommended that people choose at least one strong password, using certain parameters, which are available online, based on password length and/or complexity, depending on the available options. If it's possible to have a password containing up to 15 characters, people should try to choose a password that uses all 15 characters. If the password can have only eight characters, that's pretty bad, but people should at least choose a more complex password.

Constantly changing one's passwords is of minimal benefit if it means people have to write them down somewhere or use the same one for many different sites. What we want people to do is be diligent about choosing their passwords: choose something that is unique and as strong as the provider's parameters allow. People can use the same password, but if a data breach occurs, they have to act fast, changing their password and taking additional security measures. It's important to do a combination of things.

Ms. Julie Dabrusin:

The other problem is that once people have a password that works well, they use it for all their online accounts. Some sites tell users that their passwords have to be longer, more complex or what have you, but they never remind people not to use the same password all the time or to use a different password than they do for other accounts. Would you mind talking about that as well?

Mr. André Boucher:

Now you're asking me to be very pragmatic.

Ms. Julie Dabrusin: Yes, but this is pragmatic stuff.

Mr. André Boucher: What I would advise people, other than being very pragmatic, is to base their passwords on their level of uncertainty when it comes to the various online services they are using. For instance, for online banking, people should use a number of distinct passwords that are as complex as possible. However, for their online account with their local curling club, say, people may wish to be a little less rigorous and use the same password a few times, even though that isn't what I would recommend.

Ms. Julie Dabrusin:

What can banks do to better educate the people using their services?

Mr. André Boucher:

I believe most, if not all, banks require a minimum level of sophistication when it comes to the passwords they accept. They already have a certain standard in place to protect themselves from clients who are less diligent than they should be in selecting a password. [English]

The Chair:

Thank you, Ms. Dabrusin.

Mr. Clarke, welcome to the committee. You have five minutes, please. [Translation]

Mr. Alupa Clarke (Beauport—Limoilou, CPC):

Thank you, Mr. Chair. I'm very pleased to be here today.

Thank you, gentlemen, for being here and giving up your time to reassure Canadians and answer our questions.

One of the cornerstones of the social contract that exists across this land is the protection of citizens, not just the protection they offer one another, but also the protection provided to them by the government. For the past three weeks, constituents in all of our ridings have been profoundly concerned. Two days after the data breach was made public, people started coming to my office. When I would knock on people's doors, that's all they would talk about. That tells me people are genuinely concerned and feel that the government has done nothing in response.

The question my constituents want you to answer, Mr. Boucher, is very simple. Can the Canadian Centre for Cyber Security indeed ensure the 2.9 million Canadians affected by this data breach are properly protected, yes or no?

Does your centre have the tools to respond to the situation and ensure the victims of identity theft are protected?

(1415)

Mr. André Boucher:

It's fair to say that the Canadian Centre for Cyber Security has the resources to deal with all aspects of cybersecurity. The case we are talking about today involves an insider threat and stolen information. Strictly speaking, it's not a cybersecurity issue.

Mr. Alupa Clarke:

I'm not talking about what's already happened. I'm talking about what's going to happen next. That's what worries people. I want to know whether the Canadian Centre for Cyber Security has the capacity to deal with international or national fraudsters who send text messages or whatever it may be.

Does your centre have the capacity to deal with that?

Mr. André Boucher:

I'm not trying to evade the question, but the issue actually comes down to legislation or fraud. It's not a cybersecurity problem. That's not to say, however, that, if we see something happening, we aren't going to respond.

The first thing we do every day is talk to our partners, including the RCMP, to share what we know and update them on anything new. We make sure that whoever is responsible for the matter does something with the information we provide. The national team is the best there is and won't let anything fall by the wayside. The members of the team endeavour to fix any problems and do everything they can to keep Canadians' information safe.

Mr. Alupa Clarke:

I'm going to take advantage of your cybersecurity expertise.

Is Canada's current social insurance number regime appropriate in a modern age dominated by the Internet? We are at the point now where people shop on their cell phones and pay for their purchases at the cash in mere seconds. Is our system of social insurance numbers adequate in the world we live in?

Mr. André Boucher:

Thank you for your question. You don't ask easy ones, Mr. Clarke.

I'm not an expert in social insurance numbers or their use, but I can talk about identifiers. No matter what identifiers are used, whether they involve complex or simple cryptology, information management is always an issue and the potential for data theft always exists. It's a very complex issue, and I'm going to let the experts in social insurance numbers speak to your specific question.

The bigger problem, as I see it, is how identifiers are managed. They are key pieces of information, and learning how to manage them properly in the large security systems I was talking about earlier is crucial.

Mr. Alupa Clarke:

Superintendent, my next question is along the same lines as that of my fellow member, Mr. Motz.

Whether they've approached me on the street, come to my office or answered the door when I was canvassing, everyone has asked me the same question. They want to know what crimes these fraudsters are going to commit down the road. They want to know what to expect. What crimes will the 2.9 million victims of this massive data breach be the target of in the future?

In addition, how long will it be before those crimes are committed? The media are reporting all kinds of things. We are hearing that it will take five or 10 years before the fraudsters do anything—that they'll wait until the dust has settled. [English]

The Chair:

Again, that's an important question. You have about 15 seconds to respond to it.

C/Supt Mark Flynn:

The reality is that whenever personal information, passwords, etc., are released on the Internet, they are there forever. People need to be cautious and vigilant about that, and use the services that are available, like credit monitoring, etc., to ensure that triggers are put in place to notify them when someone's trying to use that information, to help prevent an actual fraud from occurring.

I'm trying to respect the timeline.

(1420)

The Chair:

Thank you, Mr. Clarke.

Mr. Graham, you have five minutes. [Translation]

Mr. David de Burgh Graham:

About 15 years ago, I was in an IRC channel—I'm not sure whether you're familiar with that forum—and someone was selling credit card numbers, along with the three-digit code on the back and the billing address. Everything was ready to go. The person was offering to sell them to people. I felt that was wrong and I wanted to call the police or some other authority, but no one replied or knew what to do.

If someone saw something similar happening on the Internet today, is there someplace they could call to report it? [English]

C/Supt Mark Flynn:

The RCMP operates the Canadian Anti-Fraud Centre in partnership with the Ontario Provincial Police and the Competition Bureau. That is one of your best places to go to report fraudulent activity, whether it be the telephone numbers that people are calling from, or an individual identity theft or fraud that occurred. They collate that information. They share that information. Police investigations are launched based on the collation of that. That would be the first place you should call, as well as your local police force.

Local police forces—whether they be the RCMP or, in Ontario and Quebec, another police force—need to hear about the crimes that are occurring. There are connections between organized crime involved in fraud and other criminal activities. [Translation]

Mr. David de Burgh Graham:

What powers does the Canadian Centre for Cyber Security have? What can the centre do?

Mr. André Boucher:

Do you mean generally or in this specific case?

Mr. David de Burgh Graham:

I mean generally. At the centre, do you accept comments from people on the outside, or do you work only with businesses? Explain how it works, if you don't mind.

Mr. André Boucher:

As I explained earlier, the Canadian Centre for Cyber Security is responsible for providing advice. It prepares and protects information of national interest. It is responsible for incident management and response, including mitigation strategies. Every step is undertaken in coordination with the centre's partners, as per its mandate. When a fraud-related issue arises, the national team is called in. It is made up of centres that have already been appointed. We make sure all stakeholders have access to the available information so we can move forward. Work on the case continues, and if more information becomes available, it is shared with the person responsible.

Here's where the value of this business model lies. If something changes while the case is under way—for instance, if it ceases to be an investigation—the Canadian Centre for Cyber Security takes over until the victim receives or, rather, until the case is closed.

Mr. David de Burgh Graham:

Earlier, we were talking about passwords. Nowadays, we see two-factor authentication being used a lot more for bank accounts. Could the same thing be done for social insurance numbers?

Mr. André Boucher:

I'm going to say the same thing I did earlier. I'm not an expert in social insurance numbers, but we strongly advise people to use two factors whenever possible. It's not perfect, but it improves the security of their information.

Mr. Michel Picard:

I'd like to revisit the issue of a unique identifier.

Other models exist. On other committees, we've talked about the popular Estonian model, I believe. It's a system that's in line with our discussions on open banking. All the information is centralized and people can access it using a unique identification number.

At the end of the day, no matter what you call it, a social insurance number is a unique identification number, so it's important to understand the system's limitations. It's all well and good to have the ultimate ultra-modern system, but if a single unique identifier is assigned to an individual, the information will always be vulnerable if someone gets a hold of it.

Mr. André Boucher:

Absolutely. I can't name them today, but a number of countries around the world have endeavoured to adopt a system that relies on a national unique identification number. Some have been successful, and others, less so. As you said, the number becomes an essential piece of information and the slightest vulnerability puts the data at risk.

Mr. Michel Picard:

Does your centre manage its employees' personal information itself?

Mr. André Boucher:

Yes, absolutely, using all the measures I mentioned earlier.

Mr. Michel Picard:

How do you protect against an employee who wakes up in a foul mood one day and decides to help the other side?

Mr. André Boucher:

We have an extensive security program in place from the get-go, starting with the selection of personnel. Of course, a culture of security prevails throughout the organization, one that encompasses personnel security, physical security and computer system security.

The processes are in place. The system is evergreen, meaning that it's constantly updated. We don't rest on our laurels, so to speak. We review the system on a regular basis. It's an extensive and complex process, but the investment is worth it.

(1425)

Mr. Michel Picard:

Is your approach used elsewhere in the market? Has another organization established a culture of security similar to yours?

Mr. André Boucher:

Our approach is modern, but we don't have a monopoly on security programs. Documentation is available. Public Safety Canada put out a publication on developing appropriate security programs. It's an excellent reference that refers to the same models we use.

Mr. Michel Picard:

Thank you, Mr. Boucher. [English]

The Chair:

Thank you, Mr. Picard.

Mr. Dubé, you have three minutes.

Mr. Fortin, we'll have a few minutes left. Do you wish to ask a couple of minutes of questions?

Mr. Rhéal Fortin:

Yes, please.

The Chair:

Go ahead, Mr. Dubé. [Translation]

Mr. Matthew Dubé:

Thank you, Mr. Chair.

Mr. Boucher, I didn't get a chance to ask you questions earlier.

My first question is about something your colleague Scott Jones said when he appeared before the committee as part of the other study we've been referring to a lot today. He said it was important that institutions and businesses report data breaches and thefts that affect them.

In its recommendation, the committee remained rather vague. Should it be mandatory to report such breaches to police in order to minimize the impact on the public and catch those responsible?

That brings me to two other questions. They're for you, Mr. Flynn.

Since the information remains online forever, should police treat these threats in the same way they do physical ones? If a murderer or someone else poses a physical threat, I imagine police investigations are conducted with a certain level of urgency. Should the same apply to cyberthreats? Desjardins contacted Quebec provincial police in December, if I'm not mistaken.

My last question is about background checks and ongoing security checks. Given how savvy individuals are these days, should these checks become the norm?

You can have the rest of my time to answer.

Mr. André Boucher:

Regarding your question about reporting incidents, I would just point out that we recommend organizations invest before an incident occurs. The organization has to have a security program in place, one that can detect threats and so forth. We always recommend that people report incidents and share them with their community because there are usually commonalities that everyone can learn from.

As the country's cybersecurity centre, we work to gather that information across all communities and to find commonalities in order to issue advice and guidance that could lead to enhanced security nationally. Yes, incidents should definitely be reported. [English]

C/Supt Mark Flynn:

With respect to the physical versus the cyber harm, I agree with you. It's a very difficult thing to understand. We struggle in policing to determine where we are going to apply our resources, because we always look at where we're going to be able to have the most significant impact in reducing harm.

If you look at fraud, fraud is a very large and significant threat in Canada and globally. It is difficult to measure $400,000 worth of fraud or $2 million worth of fraud against a physical threat or a homicide, or an assault against an individual. We struggle with that, but I can tell you that we're aware of it and are examining how we measure that risk and how we prioritize. [Translation]

Mr. Matthew Dubé:

Wouldn't it be appropriate to acknowledge that this kind of incident has a lifelong impact on a person and to respond with that in mind? [English]

C/Supt Mark Flynn:

Yes, it's absolutely a consideration.

The Chair:

Thank you, Mr. Dubé.[Translation]

Mr. Fortin, you have two minutes. Go ahead.

Mr. Rhéal Fortin:

I have a quick question for Mr. Flynn. I say quick, because I have just two minutes and I also have a question for Mr. Boucher.

Two years ago, 19 million Canadians were the victims of fraud as a result of a data breach at Equifax. Similar data were stolen in that case. Last year, some 90,000 CIBC and BMO customers were targeted. This year, it's Desjardins members.

Can you tell us whether, further to these events, crime involving the use of the stolen data has increased? [English]

C/Supt Mark Flynn:

The specific data from those compromises...? [Translation]

Mr. Rhéal Fortin:

Yes, but I'm talking about this type of crime.

(1430)

[English]

C/Supt Mark Flynn:

We are seeing fraudsters utilizing information that is compromised in operations. The RCMP had a successful investigation into Leakedsource.com, which was reselling some of the information from the large compromises that were made public. There was a guilty plea in that case.

It is not an unusual circumstance that somebody is reselling that. We are seeing that occur. [Translation]

Mr. Rhéal Fortin:

All right, but has there been an increase in crime involving data stolen as a result of these breaches? Has the crime rate gone up? [English]

C/Supt Mark Flynn:

I haven't taken note specifically of the rate of crime, but it is certainly a type of crime that we are seeing. [Translation]

Mr. Rhéal Fortin:

I see.

My second question is for Mr. Boucher.

Mr. Boucher, in your brief, you give three recommendations to deal with increasing cyberthreats. The second is to invest in training and awareness so that people have the tools to respond. Has the federal government earmarked funding to work with the Quebec government to improve the security of Quebecers' information?

Mr. André Boucher:

I can speak for my organization. We have a national responsibility, and that includes working with our Quebec partners. We invest in education and training, and we also make our services available to Quebec businesses.

Mr. Rhéal Fortin:

Sorry, I don't mean to rush you, but as you know, two minutes isn't much time.

Are any investments planned, and if so, how much? Has the federal government made so many millions available to work with Quebec on a training program or other cybercrime initiative, for example?

Mr. André Boucher:

I don't have that information with me today.

Mr. Rhéal Fortin:

I see.

Thank you. [English]

The Chair:

Unfortunately, you're not going to be able to answer that question.

Before I suspend I just want to go to point three of your presentation, Mr. Boucher, where it says, “Identify and protect critical assets. Know where your key data lives. Protect it and monitor the protection. Be ready to respond”. In other words, zero trust, which is what we've heard for the last six months.

Is that the standard by which any financial institution, let alone Desjardins, should be held?

Mr. André Boucher:

I think every large enterprise has to measure its own key assets and the value of those assets and make a risk-based decision on how much they're going to invest to protect those assets. Starting from a position of zero trust is the reality of the complex environment we live in today. Don't assume your system is going to work on its own. It takes a holistic investment in a security program—in the right people, the right processes and the right technology. The sum of these things will....

The Chair:

That's a consensus standard among the cyber community, if your will, your point number three—zero trust.

Mr. André Boucher:

It is a consensus that you have to invest in all of these aspects.

The Chair:

Thank you, Mr. Boucher.

With that, we're going to suspend.

We are scheduled to hear government officials and are actually making some decent progress here. I am assuming, and I don't know quite correctly whether, if I suspend for two or three minutes, we can re-empanel with the government witnesses and keep on moving. Is that agreeable to colleagues?

Okay. With that, we will suspend and re-empanel with the government witnesses. Thank you.

(1430)

(1435)

The Chair:

We are back on. I want to thank the officials for their flexibility and ask them to indulge the committee with further potential flexibility as we are awaiting the arrival of representatives of Desjardins.

I'm going to ask the various representatives of Canada Revenue, the Department of Finance, the Department of Employment and Social Development, and the Office of the Superintendent of Financial Institutions for brief statements. If, in fact, the representatives of Desjardins are under some time constraints and do arrive, at the end of those statements, I'm going to suspend for a moment, ask you folks to take your seats in the back of the room, and deal with Desjardins for a period of time. After that I'll ask you to come back, and the members will have questions, if that's an acceptable way. Even if it's not an acceptable way to proceed, that's how we're going to proceed, so with that, I'll simply go in this order of Revenue Canada or Department of Finance, whoever wants to make their statement first.

Ms. Annette Ryan (Associate Assistant Deputy Minister, Financial Sector Policy Branch, Department of Finance):

Thank you, Mr. Chair. I will go first, if that's all right.[Translation]

My name is Annette Ryan. I am the associate assistant deputy minister of the financial sector policy branch within the Department of Finance. I am joined by Robert Sample, director general of the financial stability and capital markets division, as well as Judy Cameron, managing director of the Office of the Superintendent of Financial Institutions Canada, and her colleague. We are pleased to appear before you today.

(1440)

[English]

My remarks today will address two areas that, I believe, are pertinent to the issues before you. Specifically I will clarify the roles of government departments and agencies and private sector actors within the federal financial sector framework and update the committee on efforts being undertaken by the Department of Finance, federal regulatory agencies and banks in support of cybersecurity and data protection.

Protecting the privacy and security of Canadians' personal and financial data is an objective shared by both levels of government and the private sector, and it is one that's crucial for maintaining continued trust in Canada's banking system.

I'll address the roles within the federal government and then discuss provincial government and private sector roles.

The Department of Finance along with federal financial sector oversight agencies has responsibility for the laws and regulations that govern Canada's federally regulated banking system. We collectively set expectations and oversee implementation to ensure that operational risks related to cybersecurity and privacy are properly managed by the financial institutions that we regulate.

The Minister of Finance has overarching responsibility for the stability and integrity of Canada's financial system. Cybersecurity is a primary aspect of financial cyber-stability as it ensures the sector remains resilient in the face of cyber-threats and attacks

In turn, Public Safety has recognized the financial services industry as being a critically important sector within its wider national critical infrastructure strategy.

The Department of Finance works closely with a range of partners responsible for financial regulation and cybersecurity both domestically and internationally to ensure that the sector is adopting appropriate cyber-resiliency and data protection practices and that the specific needs of the financial sector are considered within economy-wide policies and statutes that relate to cybersecurity and data security.

I'll describe the general responsibilities among financial regulators. The Office of the Superintendent of Financial Institutions is the prudential regulator of federally regulated financial institutions, including banks. OSFI develops standards and rules for managing cyber-risks as is consistent with its wider oversight of operational risks that institutions must manage.

The Bank of Canada monitors financial market infrastructures, such as payment systems, to enhance resilience to cyber-threats, and the bank coordinates sector-wide responses to systemic-level operational incidents.

Other federal agencies have responsibilities for laws of general application in respect of privacy. The Office of the Privacy Commissioner of Canada oversees the banks' compliance with Canada's private sector privacy legislation, the Personal Information Protection and Electronic Documents Act, known as PIPEDA. PIPEDA sets out requirements that businesses must follow when collecting, using or disclosing personal data in the course of commercial activities. These include putting in place appropriate security safeguards to protect personal data against loss, theft or unauthorized disclosure.

The Department of Innovation, Science and Economic Development has overall policy responsibility for PIPEDA. In November of 2018 the Government of Canada implemented amendments to PIPEDA related to data breach reporting requirements and associated monetary penalties for failing to report.

As you've just heard, other federal departments and agencies, including Public Safety, the Canadian Centre for Cyber Security and the RCMP, share responsibilities with respect to broader Government of Canada cybersecurity initiatives. [Translation]

It is important to note that supervisory responsibility for the financial sector in Canada is divided between federal and provincial governments. Provinces are responsible for the supervision of securities dealers, mutual fund and investment advisers, provincial credit unions and provincially incorporated trust, loan and insurance companies.

Accordingly, federal and provincial financial sector authorities have protocols in place for information sharing, particularly where matters of financial stability are concerned. Financial institutions, themselves, of course, are most immediately responsible for maintaining cyber and data security on a day-to-day basis, directly managing operational risks through an extensive series of protective and preventative measures, both individually and through industry-level co-operation.

These are supported by policies and standards that are continually updated to address the evolving threat landscape and remain in line with industry best practices.

(1445)

[English]

Cyber-attacks are a serious and ongoing threat. I will focus on some of the steps being taken by the Government of Canada, the financial sector, regulatory agencies and the banks to ensure cybersecurity in the financial sector.

In budget 2018, the federal government invested over half a billion dollars in cybersecurity, and in October of 2018, it established the Canadian Centre for Cyber Security, which serves as a single window of technical expertise and advice to Canadians, governments and businesses. The centre defends against cyber-threat actors that target Canadian businesses, including federally or provincially regulated financial institutions, for their customer data, financial information and payment systems. Efforts to address cybercrime have been further bolstered by the newly created national cybercrime coordination unit within the RCMP, which provides a national cybercrime reporting mechanism for Canadians, including incidents related to data breaches or financial fraud.

More recently, in budget 2019, the government proposed legislation and funding to protect critical cyber systems in the Canadian financial, telecommunications, energy and transport sectors.[Translation]

Our colleagues at the Treasury Board Secretariat continue their work with provincial governments, financial institutions and federal partners toward a pan-Canadian trust framework for digital identity with the goal of strengthening digital ID protection in the context of cyberthreats.[English]

On the regulatory side, earlier this year OSFI published new expectations on technology and cybersecurity breach reporting via the technology and cybersecurity incident reporting advisory. This is intended to help OSFI identify areas where banks can take steps to proactively prevent cyber incidents, or in cases where incidents have occurred, to improve their cyber-resiliency.

While the first objective is to prevent data breaches, the reality is that these events happen and are not localized to the financial sector. Having said this, when cyber events occur at a federally regulated financial institution, control and oversight mechanisms are in place to manage them.

To summarize, cybersecurity is an area of critical importance for the Department of Finance. We are actively working with partners across government and in the private sector to ensure that Canadians are well-protected from cyber incidents and that when incidents do occur, they're managed in a way that mitigates the impact on consumers and the financial sector as a whole.

Thank you for your time. I'm happy to take questions. [Translation]

The Vice-Chair (Mr. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, CPC)):

Thank you, Ms. Ryan.

We now move on to Ms. Boisjoly.

Ms. Elise Boisjoly (Assistant Deputy Minister, Integrity Services Branch, Department of Employment and Social Development):

Thank you very much, Mr. Chair.

My name is Elise Boisjoly, and I am the assistant deputy minister of the integrity services branch at Employment and Social Development Canada. I am joined by Anik Dupont, who is responsible for the social insurance number program.

Thank you for the opportunity to join you today. My remarks will focus on the social insurance number, or SIN, program. Specifically, I will clarify what the social insurance number is and provide information on its issuance and use; inform the committee on privacy protection related to the SIN; and provide information on our approach in the case of data breach.

What is the SIN? The SIN is a file identifier used by the Government of Canada to coordinate the administration of federal benefits and services and the revenue system. The SIN is required for every person working in insurable or pensionable employment in Canada and to file income tax returns.

It is issued prior to your first job, when you first arrive in Canada or even at birth. During the last fiscal year, over 1.6 million SINs were issued.

The SIN is used, among other things, to deliver over $120 billion in benefits and collect over $300 billion in taxes. It facilitates information sharing to enable the provision of benefits and services to Canadians throughout their life such as child care benefits, student loans, employment insurance, pensions and even death benefits. As such, the SIN is assigned to an individual for life.

The SIN is not a national identifier and cannot be used to obtain identification. In fact, it is not even used by all programs and services within the federal government; only a certain number use it. The SIN alone is never sufficient to access a government program or benefit or to obtain credit or services in the private sector. Additional information is always required.

(1450)

[English]

While data breaches are becoming increasingly commonplace, the Government of Canada follows strong and established procedures to protect the personal information of individuals. My colleague mentioned the Privacy Act and the Personal Information Protection and Electronic Documents Act, which is being administered by Innovation, Science and Economic Development Canada. They provide the legal framework for the collection, retention, use, disclosure and disposition of personal information in the administration of programs by government institutions and the private sector, respectively.

As my colleague mentioned, on November 1, 2018, a new amendment to the Personal Information Protection and Electronic Documents Act came into force, which requires organizations that experience a data breach and that have reason to believe there's a real risk of significant harm to notify the Office of the Privacy Commissioner, the affected individuals and associated organizations as soon as it's feasible. Violating this provision may result in a fine of up to $100,000 per offence.

At Employment and Social Development Canada, we have internal monitoring strategies, privacy policies, directives and information tools for privacy management, as well as a departmental code of conduct and mandatory training for employees on protecting personal information. We believe that any security breach affecting social insurance numbers is very serious and, in fact, we ourselves are not immune to such a situation. For example, in 2012, the personal information of Canada student loan borrowers was potentially compromised. The breach was a catalyst for further improvements to information management practices within the department.

Preventing social insurance number fraud starts with education and awareness. This is why our website and communication materials include information that can help Canadians better understand the steps they should take to protect their social insurance numbers. Canadians can visit the department websites, call us or visit us at one of our Service Canada centres to learn how best to protect themselves. It is important to note that protecting the information of Canadians is a shared responsibility among the government, the private sector and individuals. We strongly discourage Canadians from giving out their social insurance numbers unless they are sure that doing so is legally required or necessary. Canadians should also actively monitor their financial information, including by contacting Canada's credit bureau.[Translation]

A loss of a social insurance number does not necessarily mean that a fraud has occurred or will occur.

However, should Canadians notice any fraudulent activity related to their social insurance number, they must act quickly to minimize the potential impact by reporting any incidents to the police, contacting the Privacy Commissioner and the Canadian Anti-Fraud Centre, and informing Service Canada. In cases where there is evidence of the social insurance number being used for fraudulent purposes, Service Canada works closely with those affected.

Despite ever larger data breaches, the number of Canadians who have had their social insurance number replaced by Service Canada due to fraud has remained consistent at approximately 60 per year since 2014.

That being said, we understand that many Canadians have signed a petition asking Service Canada to issue new social insurance numbers for those impacted by this data breach. The main reason we do not automatically issue a new social insurance number in these circumstances is simple: getting a new social insurance number will not protect individuals from fraud. The former social insurance number continues to exist and is linked to the individual. If a fraudster uses someone else's former social insurance number and their identity is not fully verified, credit lenders may still ask the victim of fraud to pay the debts.

In addition, it would be the individual's responsibility to provide their new social insurance number to each of their financial institutions, creditors, pension providers, employers—current and past—and any other organizations. Failing to properly do so could put individuals at risk of not receiving benefits or leave the door open to subsequent fraud or identity theft.

It would also mean doubling the monitoring. Individuals would still need to monitor their accounts and credit reports for both social insurance numbers on a regular and ongoing basis. Having multiple social insurance numbers increases the risk of potential fraud.

Active monitoring through credit bureaus as well as regular reviewing of banking and credit card statements remain the best protection against fraud.

In closing, protecting the integrity of the social insurance number is critical to us, and I can assure you that we will continue to take all necessary action to do so, including reading this committee's report and considering advice from this committee and others on how to best improve.

Thank you for your time. I'd be happy to answer your questions.

(1455)

The Vice-Chair (Mr. Pierre Paul-Hus):

Thank you, Ms. Boisjoly.

Would anyone else like to speak before we go to questions?

Mr. Guénette, you have the floor.

Mr. Maxime Guénette (Assistant Commissioner and Chief Privacy Officer, Public Affairs Branch, Canada Revenue Agency):

Thank you, Mr. Chair.

Good afternoon to all committee members.[English]

My name is Maxime Guénette. I'm assistant commissioner of the public affairs branch and chief privacy officer at the Canada Revenue Agency. With me today is my colleague Gillian Pranke, deputy assistant commissioner of the assessment, benefit and service branch at the CRA.

The CRA is an organization that touches the lives of virtually all Canadians. We're one of the largest holders of personal information at the Government of Canada. We process more than 28 million individual income tax returns annually. It's therefore critical that the CRA has an extensive privacy framework in place to manage and protect personal information for all Canadians.[Translation]

Integrity in the workplace is the cornerstone of agency culture. The agency supports its people in doing the right thing by providing clear guidelines and tools to ensure privacy, security and the protection of personal information, our programs and our data.

The agency is subject to the Privacy Act and associated Treasury Board policies and directives for the management and protection of Canadians' personal information. Section 241 of the Income Tax Act also imposes confidentiality requirements on its employees and others with access to taxpayer information.

The agency also adheres to the policy on government security and direction provided by lead security agencies like the Communications Security Establishment and the Canadian Centre for Cyber Security.

In April 2013, the agency appointed its first chief privacy officer, who is also responsible for the access to information and privacy functions within the agency.[English]

Part of my role as the chief privacy officer is to ensure that the CRA's respect for the privacy of the information it holds is reinforced and strengthened by overseeing decisions related to privacy, including assessing the privacy impacts of our programs; championing privacy rights within the agency, including managing internal privacy breaches when they occur; and reporting to CRA senior management on the state of privacy management at the agency.

Our responsibility for sound privacy management goes beyond appointing a chief privacy officer, though. It's a responsibility that all employees share.

Protecting the CRA's integrity includes ensuring that we have the proper systems in place to safeguard sensitive information from external threats. Agency networks and workstations are equipped with malware and virus detection and removal software, which are updated daily and protect the CRA environment from the increasing threat of malicious code and viruses.[Translation]

At the agency employee level, computers are secured with a suite of security products ranging from anti-virus software to host intrusion software.

External services are conducted on secure platforms and protected by firewalls and intrusion prevention tools to detect and prevent unauthorized access to agency systems.

During online transactions we ensure that all sensitive information is encrypted when it is transmitted between a taxpayer's computer and our Web servers. Regardless of how Canadians choose to interact with the agency, they must complete a two-step authentication process before gaining access to their account.

These steps are crucial to making sure that access to personal information is only available to authorized individuals. The process includes validation of a number of personal and confidential data points, including a person's social insurance number, their month and year of birth, and information from the previous year's income tax return.[English]

The CRA will shortly also be implementing a new personal identification number for taxpayers who choose to use it when calling the individual inquiries line. In addition, the CRA is currently examining additional security procedures to safeguard the information of taxpayers. As cybercrime and phishing scams become more sophisticated and commonplace, the CRA is being proactive in warning the public about fraudulent communications claiming to be from the CRA.

One very simple way in which taxpayers can safeguard against fraudulent activity is to sign up for My Account, or for businesses to sign up for My Business Account, so that they can use the CRA's secure portals to access and manage their tax affairs easily and securely. When an individual is signed up for My Account, they can also sign up for online mail in order to receive account alerts informing them of possible scams or other fraudulent activity that may affect them.

CRA is proud of its reputation as a leading-edge organization committed to excellence in administering Canada's tax system. However, inappropriate fraudulent activity can occur in the workplace. CRA has incorporated a broad array of checks and balances to ensure that those who access taxpayer information are strictly limited to employees required to do so as part of their job and to detect misconduct when it does occur.

(1500)

[Translation]

Monitoring of employees' access to taxpayer information is centralized, ensuring an independent process that enables the agency to detect and, if necessary, address any suspect transactions in our systems. This provides assurance that authorized users are accessing only the applications and data they are allowed to access based on strict business rules.[English]

In 2017 the CRA implemented a new enterprise fraud management solution, which complements existing security controls and further reduces the risk of unauthorized access and privacy breaches. This solution enables proactive monitoring and detection of unauthorized access by CRA employees. Any allegations or suspicions of employee misconduct are taken very seriously and are thoroughly investigated. When wrongdoing or misconduct is founded, appropriate measures are taken, up to and including termination of employment. If criminal activity is suspected, the matter is referred to the proper authorities.[Translation]

Upon hire, agency employees are required to read and acknowledge the agency's code of integrity and professional conduct and the values and ethics code for the public sector.

The code clearly outlines the expected standard of conduct, including the obligation to protect taxpayer information in accordance with section 241 of the Income Tax Act. Unauthorized access to taxpayer information is considered to be serious misconduct, as reflected in the agency's directive on discipline.[English]

The code ensures that current and former employees are aware that the obligation to protect taxpayer information continues even after they leave the CRA. All employees are asked to review and affirm their obligations under the CRA's code of integrity every year.

In the event a privacy breach does occur, it is assessed in accordance with TBS policy and procedures to document and evaluate all potential risks to the affected individual. In such a case, the CRA offers support to the affected individual through a dedicated agency representative so that the client has the opportunity to ask questions and find information as well as, on a case-by-case basis, get access to free credit protection services.

On the rare occasion when a taxpayer's information is confirmed to have been compromised, the CRA will act to resolve all outstanding issues. This includes reviewing all fraudulent activity that may have occurred in the account, including fraudulent refund payments.[Translation]

We at the agency are deeply committed to safeguarding the trust Canadians place in our organization, and to meeting their expectations that we have the right checks and balances in place to secure the information entrusted to us. We have worked hard to earn the public's trust, because it is the foundation of our self-assessment tax system.[English]

A good reputation takes years to establish. We safeguard it by remaining vigilant in our efforts to protect taxpayers from security breaches and to protect Canada's tax administration system from misconduct and criminal wrongdoing.

Thank you, Mr. Chairman. I'd be pleased to answer any questions you may have. [Translation]

The Vice-Chair (Mr. Pierre Paul-Hus):

Thank you, Mr. Guénette.

If there is no one else, we will begin the question period.

Mr. Drouin, you have seven minutes.

Mr. Francis Drouin:

Thank you very much, Mr. Chair.

I thank all witnesses for appearing before the committee on short notice.

I should mention that I am one of the victims of the data breach at Desjardins, as are many of my constituents.

Ms. Boisjoly, you referred to the online petition asking that the social insurance numbers of those affected be changed. Can you explain to the committee why that would not be done and why it would only complicate things without providing better security for Canadians?

Ms. Elise Boisjoly:

I briefly mentioned that in my presentation and I thank you for giving me the opportunity to talk about it at greater length.

First, an information leak does not necessarily mean that fraud or identity theft has occurred. Second, we do not automatically change social insurance numbers after a leak like this because it doesn't really solve the problem or automatically remove all risk of fraud.

Let me explain that first point a little more. If you do not change the social insurance number linked to a certain credit number and if a credit agency uses the old credit number, the person involved will not necessarily be able to get credit. In addition, if a lender does not properly check the identity of that person, and a fraudster borrows money using his name, the lender could ask him to pay the debt. So there can be other cases of fraud if lenders do not correctly check people's identity.

The second reason is that it can create serious problems of access to benefits and services. As I said in my presentation, victims of data breaches must warn everyone, financial institutions, credit agencies, past and future employers, and the managers of pension schemes to which they belonged with their old social insurance numbers, and make the necessary changes. Often, people no longer remember those to whom they have given their social insurance number, especially at the beginning of their careers. That can prevent people from receiving a pension, for example, because it is no longer possible to establish a link between an individual and the benefits to which they are entitled.

At federal level, we would certainly advise the Canadian Revenue Agency and all organizations involved. But changes could be made manually and there may be errors. This could complicate the calculation of pensions or employment insurance benefits. If someone forgets an employer and makes errors, the calculation of employment insurance benefits or the old age pension could be wrong.

(1505)

Mr. Francis Drouin:

In other words, changing our social insurance number does not necessarily protect our personal information.

Why is another social insurance number issued in cases where fraud has been proven?

Ms. Elise Boisjoly:

When fraud has been proven, we look at the type of fraud and discuss the matter with the person involved. Often people decide not to change their social insurance numbers. They register, or have someone register them, at a credit checking agency. By so doing, they will be better protected than they would be if they changed their social insurance number. Often, having been informed, people decide not to change their social insurance number. In a very small number of cases, 60 per year since 2014, people insist on making a change when fraud has been confirmed. At that point, we allow a new social insurance number to be issued, but we will also explain that it will not necessarily solve the problem.

Mr. Francis Drouin:

Here is a more practical question.

Like everyone in the same situation as myself, I see a risk of fraud. How then can I advise the authorities, whether at Revenue Canada or Service Canada, that my social insurance number may perhaps be used fraudulently? Can I call Service Canada to advise them of that? Is there an internal process that allows the public to do that?

Ms. Elise Boisjoly:

Absolutely. Let me make two points about that.

First, since this leak was made public, we have received between 1,400 and 1,500 requests directly from members of the public. They have called us to find out how to better protect their personal data and we have given them a lot of information about doing so. They will often take the steps that we advise them to take, such as looking at the credit agency reports and checking their bank transactions.

Second, if they notice a suspicious activity, they must follow the very clear procedures to give us that information. If suspicious transactions are detected, we ask them to contact Service Canada, which will be able to take the steps needed to help them.

Mr. Francis Drouin:

Okay.

The website lists 29 cases in which Canadians are allowed to give out their social insurance numbers. To banking institutions and other entities, for example.

What does Service Canada do so that Canadians know when they should give out their social insurance number and when they should not? What recourse is possible when an organization asks for a social insurance number when it should not do so?

(1510)

Ms. Elise Boisjoly:

Our website, our call centres and the Service Canada centres tell Canadians who they may give their social insurance numbers to. When we issue social insurance numbers, we actually tell people who they should and should not give it to. A certain number of organizations are authorized to ask for social insurance numbers, for example when a bank or creditor pays interest, which the Canada Revenue Agency needs to know.

If someone not on that list asks for a social insurance number, people can refuse and ask to provide another form of information. For example, a long time ago, landlords often asked tenants for social insurance numbers in order to check their credit. They can simply provide a credit report rather than give out their social insurance number. The person asking the question must— [English]

The Chair:

Thank you.

It's helpful if the witnesses look at the chair from time to time so that I can signal them.

Ms. Elise Boisjoly:

Thank you very much.

These glasses just— [Translation]

The Chair:

Mr. Paul-Hus, you have seven minutes, please.

Mr. Pierre Paul-Hus:

Thank you, Mr. Chair.

My thanks to you all for being here today.

Listening to you is like being in The Twelve Tasks of Asterix. Let us put ourselves in people's shoes. Their concern is that they have no real idea of what will happen. We asked to meet with you so that we could have some information on the subject. We know that the social insurance number is one measure but is there anything else that should be done in the future to change the system? Could we do as other countries have done, such as providing more digital identification, whether it is by means of fingerprints or something else?

Ms. Boisjoly, you say that there about 60 cases per year, but look, 2.9 million people had their data stolen. Are you expecting a major increase in the number of requested changes of social insurance numbers following these identity thefts?

I also have a question for you, Mr. Guénette.

The people following what is currently happening want to know what is being done. You proposed a good solution, and solutions are what people need. You mentioned people going on the Government of Canada site and opening their financial records. If I understand correctly, by opening your records, you can receive alerts or warnings.

It has now been three weeks. We are here today as the result of an emergency request. Why was there no communication with the public, immediately or within a week following the thefts, to let people know what the Government of Canada can do to help? That's what we need to know.

I am all ears, Ms. Boisjoly.

Ms. Elise Boisjoly:

Thank you.

To answer your first question on new measures, every situation like this gives us the opportunity to review our security and privacy protection measures. All of our colleagues and myself certainly focus on that when there are incidents of this kind. The colleagues who have gone before us spoke a lot about the evolution of cybersecurity. They said that we always have to be ready. We are certainly always focused on that.

My colleague mentioned the Treasury Board, whose mandate includes identity management. They are focusing on ways in which we can better solve the problems associated with digital identity, specifically by conducting pilot projects with the provinces. We participate in those forums, and we are thinking of ways to move the discussion on digital identity forward.

Second, in terms of the number of identity thefts, we have been advised of many in the last 14 or 15 years. Probably millions of people have already been affected and, despite that, the number asking for a new social insurance number remains rather low. So I cannot answer your question, because I am not aware of the future, but I can say that there have been a lot of thefts and that the number seems constant, around 60 per year.

Mr. Maxime Guénette:

Thank you for the question, Mr. Paul-Hus.

As Ms. Boisjoly said, there is never a bad time to remind people about the things they can do. At tax time, we conducted advertising campaigns and communication initiatives online and on social media to remind people about the services at their disposal. However, more can always be done. We are always looking for opportunities to communicate more in this respect. So—

(1515)

Mr. Pierre Paul-Hus:

Okay, but the case before us is about managing a crisis. We are here to find out whether a federal organization can lend a hand to Desjardins, who are taking their own steps to rectify the situation as best they can. Currently, I see some inter-agency measures but really no proactive measures to help Canadians, aside from a message that has already been sent out.

In your opinion, why does the government seem to be so passive? Why is it saying nothing? Is it because nothing can be done? Is there no solution?

We are looking for solutions because people are concerned. If you are telling us that current agencies do not have the means or the tools to help them, we are going to look for other solutions.

Are solutions like the one Desjardins proposed, the Equifax services, quite effective in your experience and as you assess this situation? We are looking to reassure people with things that are true. We don’t want to say just anything.

Mr. Maxime Guénette:

Currently, because the investigation is still in progress, there is a lot of information…

Mr. Pierre Paul-Hus:

The investigation has nothing to do with it because we know how the data breach happened. We also have an idea of where the data was sent, but, at the moment, that is not what we are interested in. We know that someone, somewhere on the planet, has our information and is in a position to harm us by stealing our identity. So we want to know whether our agencies can become proactively involved or, if not, what can be done.

You have a solution in my case, so that is already something that the public could be told about. It is important to do that quickly because people are not in a very good mood during their holidays. Then we will have to see if something else can be done.

The issue of the social insurance number has come up everywhere. A number of suggestions have been made. You are responsible for that file and you are saying that nothing can be done, at least not in that way. These are the answers that people need to hear. But the fact remains that we have to leave here telling people what the government can do to help, first Desjardins and second, the 2.9 million people who have been affected. We are hearing a lot about internal protocols, but, for the Canadians listening to us, that does not mean a lot. This is why I want to hear clear answers. I know that you are giving them when you can, but basically, when we leave here, we will need to know what can be done.

Mr. Maxime Guénette:

I can assure you that very proactive discussions are going on between the various departments involved.

As far as the revenue agency is concerned, as I said in my remarks, the social insurance number, the address and the date of birth are some of the pieces of information people need in order to identify themselves to the agency. We also need information on tax returns from previous years, which was not in the information stolen from Desjardins, according to the discussions we have had. However, once again, the investigation is still in progress. So these questions—

Mr. Pierre Paul-Hus:

As I told you, that really changes nothing.

How much time do I have left, Mr. Chair? [English]

The Chair:

You have about 10 seconds. [Translation]

Mr. Pierre Paul-Hus:

What is the first thing people should do if their identity is stolen? Call the police?

Ms. Elise Boisjoly:

Yes.

Mr. Maxime Guénette:

Certainly.

The Chair:

Thank you, Mr. Paul-Hus.

Mr. Dubé, you have seven minutes.

Mr. Matthew Dubé:

Thank you, Mr. Chair.

Thank you all for taking the time to come here today.

Ms. Boisjoly, I was struck by one point in your reply to Mr. Drouin. You said that a personal data breach does not lead to identity theft. That is basically what brings us here today. Canadians want to avoid identity theft, of course; it’s their main concern. I have some questions about it.

You said that people should report suspicious activities associated with a social insurance number. I am a federal lawmaker and I don’t know what a suspicious activity associated with a social insurance number is. I have never been a victim of fraud, thank heavens, and the same goes for the people around me, touch wood. However, I do know people who have been victims. They find out when they receive a bill for a cellphone they do not have, or for a Canadian Tire credit card that they never applied for. They end up with debts and obligations that are not theirs.

Can you tell me exactly what a suspicious activity associated with a social insurance number is?

Ms. Elise Boisjoly:

Thank you for your question.

You have certainly identified some suspicious activities, as you say. We ask people to protect themselves as best they can by working with a credit bureau so that transactions are monitored as closely as possible. They should look at their bank and credit card transactions. If they see actions in their name that they did not make, we asked them to contact the bureau—

(1520)

Mr. Matthew Dubé:

I am sorry for interrupting you, but my time is limited and I only have one round.

The suspicious activities or problematic transactions that we may be able to see on our credit card statements can be associated with all kinds of things. It may be someone who has stolen our mail and obtained our address. That is information that is probably easier to obtain. You rightly mentioned that, in terms of the situation we are discussing today, the person has complementary information. In principle, with all the information that has been stolen, that person could easily call Revenue Canada and obtain a new password. If you have someone’s entire file, you have all the information you need.

Ms. Elise Boisjoly:

Yes, and that is the most important point. We are talking about a number of identifiers. Each one of the organizations is responsible for checking people’s identity.

My colleague said that there must also be a line from the tax return. With employment insurance, there is an access code and you are asked to provide the two figures in that access code. When we are checking identities, we must make sure that we ask questions about identities that are secret and shared only with the people we know. That allows us to better verify people’s identity and to provide them with the service. For example, you would not be able to call Service Canada and obtain employment insurance benefits with the information that has been made public at the moment.

Mr. Matthew Dubé:

As for getting a new social insurance number, I have a little difficulty understanding. Basically, the argument is that it becomes complicated for people. In principle, a social insurance number is issued for reasons of efficiency. A unique identifier makes transactions with government agencies easier.

Forgive me if this analogy may not be an exact one. If I see a problem with my credit card today, the bank or the company that issued it is still able to transfer a balance or to link the legitimate transactions on my credit card that has been used fraudulently and the new one it sent to me.

Why would a financial institution be able to do that, while you are not able to say that someone’s social insurance number has been compromised and to give them a new number? A former employer, for example, might have to take care of questions about that person’s pension. Knowing that is the same person, why are you not able to link the previous social insurance number to a new one? You may perhaps have to do some additional checking, given that the number has been compromised. But I am still having a little difficulty understanding why you can’t do it.

Ms. Elise Boisjoly:

When you started, you said that the first reason we do not automatically give out social insurance numbers is that it can make life difficult for people. The first reason is actually that it would not really prevent fraud. This is a very important point. People have to continue to check their previous social insurance number because there are still—

Mr. Matthew Dubé:

I am sorry to interrupt you, but, if I lose my credit card, it does not necessarily mean that it has been stolen. It may have fallen down a sewer somewhere, meaning that it will never be seen or used again. I would still call my bank, Visa or whomever, to ask them to cancel the card. I would still keep checking and I would have some peace of mind, knowing that I am protected.

Why not use the same logic for victims of breaches of personal data, especially ones that are all over the news? To make sure they are protected, people want to dot all the i's and cross all the t's that they can. They change their credit cards and everything, as they do when they lose their wallets. Why not proceed in the same way?

Ms. Elise Boisjoly:

A social insurance number is not like a credit card, which is a bank's only way of identifying that person. It is an identifier used by employers for as long as people are in the workforce. It is also used for various programs and services.

At the moment, no computer system links all those systems so that social insurance numbers can be updated by employers and by the various groups and programs. That task would be done manually. That is why we do not know all the employers. In the federal government, it would be done manually. As I said, we have only done it a few times. There is a risk of errors. I am just mentioning this to the committee.

(1525)

Mr. Matthew Dubé:

I have less than a minute left.

At the risk of tangling ourselves up in technical details, I would like to understand this better. If an employer wants to use a social insurance number, how does that work? Surely, things come together in some way when you move up the ladder.

I have one final question, which goes back to what Mr. Paul-Hus rightly said.

Let me take Quebec as an example. When there is flooding, police forces and the Government of Quebec hold public consultations on the spot so that people can attend.

Mr. Guénette, I respect what you said, but perhaps advertising campaigns or posts on social media are not enough.

Given the extent of this theft, this breach, have you considered organizing consultations in person in the key places in Québec, the major centres of Longueuil, Montreal and elsewhere? [English]

The Chair:

Again, Mr. Dubé has asked an important question but has not left any time for an answer, so you'll have to work it in somewhere else.

Usually you're so good, Mr. Dubé. [Translation]

Welcome to the committee, Ms. Lapointe. You have seven minutes.

Ms. Linda Lapointe (Rivière-des-Mille-Îles, Lib.):

Thank you very much, Mr. Chair.

Good afternoon to you all and thank you for joining us.

I do not normally sit on this committee, but I gladly agreed to replace one of its permanent members.

I have had discussions with a number of my constituents in Rivière-des-Mille-Îles, which is to the north of Montreal and includes Deux-Montagnes, Saint-Eustache, Boisbriand and Rosemère. They are very concerned. This is something that has come up all the time since the House adjourned on June 21. That is why I agreed to be here today without hesitation, even though I am not familiar with all the studies that this committee has done.

Ms. Ryan, earlier, you began by saying that the Department of Finance establishes the legislation and regulations that govern the Canadian banking system. You then said that oversight of the Canadian financial sector is shared between the federal and provincial governments.

Let us look specifically at Quebec. The provinces are responsible for real estate brokers, and mutual funds and investment representatives, and so on. Desjardins is a provincial cooperative institution. Just now, I mentioned my constituents, but my entire family and myself are also among the 2.9 million people affected. This concerns us a great deal and we are wondering what will be the future impact of this theft on our lives.

Have you had any requests from Desjardins? Mr. Guénette said that there are ongoing discussions between departments, but have people from Desjardins been in communication with you to get additional information? [English]

Ms. Annette Ryan:

To the extent that Desjardins is largely provincially regulated, their first point of contact with a government regulator would be with the Autorité des marchés financiers in Quebec. When I spoke of the system of banking rules and regulations in place federally, that applies to the institutions that have elected to be federally regulated.

To the extent that Desjardins is largely provincially regulated, many of the operational requirements put in place in advance of this incident would have been worked through with the Autorité des marchés financiers.

My colleague from OSFI can speak to how that is put in place at the federal level. In this incident the institution stepped forward and took a number of responsible measures very quickly to be transparent about the leak. That is consistent with both provincial law and federal law in terms of privacy, and the federal and provincial privacy commissioners have struck a joint investigation to look into this incident, but many of the provisions for not just the conduct of the financial regulation of Desjardins but also the consumer protections are provincial in this case. We can speak to the federal system, but I would direct many of the questions you may have to those responsible at the provincial level.

(1530)

[Translation]

Ms. Linda Lapointe:

I have one other question. Are credit bureaus in federal jurisdiction? [English]

Ms. Annette Ryan:

It's largely provincial, and in this case it is provincial. [Translation]

Ms. Linda Lapointe:

Okay.

Have people from Equifax been in communication with you? [English]

Ms. Annette Ryan:

Equifax would not be in touch with us or the department, and they are largely regulated for consumer issues at the provincial level for this. [Translation]

Ms. Linda Lapointe:

Thank you.

I have used half of my time and so I am now going to turn to you, Mr. Guénette.

You talked earlier about the external rules on preventing identity theft, but you have not spoken a lot about the internal rules. I would like to know about the internal rules in the Canada Revenue Agency. After all, we are here today because data was stolen from the inside.

How do things work at the Canada Revenue Agency? Do the employees have to be at certain levels in order to have access to the systems? You talked about centralizing or detecting problems by intervening if necessary. You said that there are strict rules and I would like you to tell me a little more about them. Can people work with their own electronic equipment when they are in front of Canada Revenue Agency screens? I would like to know more about that.

Mr. Maxime Guénette:

Thank you for your question.

Of course, we have security rules at several levels. First, we screen the staff that we hire. People with more specific access have “Secret” security clearance instead of a lower level of clearance. A whole host of physical security measures are in place. People working in call centres, who have access to screens showing taxpayer information, may not have their personal phones with them. We have measures in that regard.

As for access to taxpayers' data, those data are on separate servers that are not connected to the Internet. There is a mechanism by which the employees' access to the data is reviewed annually, or each time they change jobs. Managers verify the access those employees have on a regular basis.

As for the workload, in my introductory remarks, I talked about the administrative rules. When we give employees their workload, our business fraud management system checks by using algorithms in real time. The system applies several dozen rules. For example, if employees check their own tax accounts, an alert is automatically issued and the system sees it immediately. If employees work on tasks that they have not been assigned, the system will immediately send an alert to the manager, who would then be able to ask an employee what he or she was doing in the system. Screen shots are captured per minute, which allows us to see which pages employees are consulting or which changes they have made. The system was implemented in 2017 and it is very advanced. It allows us to have controls in place.

In terms of preventing data breaches, employees are unable to copy information onto CDs, DVDs or USB keys. The system does not allow it.

Ms. Linda Lapointe:

Thank you.

The Chair:

Thank you, Ms. Lapointe.[English]

We'll have Mr. Motz and Mr. Clarke.

Mr. Glen Motz:

Thank you, Chair.

Again, thank you to the departmental officials for being here.

I have just two quick questions for the Department of Finance. You say that your first objective is to prevent data breaches. We know the reality is that these happen and are not localized to the financial sector.

Ms. Ryan, you said that when cybe events occur at a federally regulated institution, which is what we're talking about, control and oversight mechanisms are in place to manage them. Can you explain to Canadians in practical terms what that actually means when you play that out?

(1535)

Ms. Judy Cameron (Senior Director, Regulatory Affairs and Strategic Policy, Office of the Superintendent of Financial Institutions):

I'll take that question.

I represent the Office of the Superintendent of Financial Institutions. Our mandate is to supervise financial institutions and set rules for them so as to protect the interests of depositors and creditors. Broadly speaking we're looking at safety and soundness, but we also make sure they comply with all federal rules. For example, we expect them to have systems in place to comply with privacy laws.

We set expectations around what institutions should be doing, such as complying with privacy laws. We also expect them to do cyber self-assessments to assess their own internal protections against cyber events. Then we supervise them to make sure they are complying with the expectations we have set out to make sure that they have good compliance management systems in place.

Mr. Glen Motz:

Basically, it's just oversight. Now, in this particular circumstance, it's oversight of what's happened to make sure that—

Ms. Judy Cameron:

It's oversight of their systems to prevent this, really.

Mr. Glen Motz:

Okay, so that's one question. The other question is for Ms. Ryan, or whoever might....

I'm just going to read the summary that you gave. You said that “cybersecurity is an area of critical importance for the Department of Finance. We are actively working with partners across government and the private sector to ensure that Canadians are well-protected from cybe -incidents and that when incidents do occur, they're managed in a way that mitigates the impact on consumers and the financial sector as a whole.”

What does that actually look like to impacted consumers, to consumers at large, to the financial institution, to the banking industry, to various government departments? You can say that, but what does it actually look like?

Ms. Annette Ryan:

I think that the number of federal partners you have had as witnesses today speaks to that.

The investments in the cyber centre were part of the first line of defence in strengthening the ability to prevent cyber incidents, and they are focused, as André Boucher spoke to, on the appropriate response to a cyber event. In this case there was a specific type of cyber event, a breach by an employee, so many of those defences that have been built by the cyber centre were not triggered in this case, but the resources of the cyber centre are complemented by new resources for the RCMP. You heard the RCMP speak about the national cybercrime centre and their efforts at the Canadian Anti-Fraud Centre.

We also realize that a cyber event or a data event does play out on the privacy side. Therefore, measures such as the new requirements for businesses to notify customers that there has been a breach are a key part of a citizen's ability to be vigilant about their own finances and to know that important information about them has been put into play. A monitoring service like Equifax is important because it helps put that person into the mix to know when something that's being done in their name is not right.

Mr. Glen Motz:

I have just one quick follow-up question to that. If I were one of the 2.9 million Canadians impacted by this circumstance, or one of the millions in this country who have already been impacted by data breaches of various varieties, I would want assistance in getting my life back, like them. Right now there is a lot of talk about what that looks like, but in practical terms, Canadians want to know how to get their lives back. They want to mitigate the risks and the impacts that a breach like this has on their personal lives, on their financial futures and on those of their families.

I'm curious; it seems that the Department of Finance has a role to play in having a location from which Canadians can find the information they need, follow a template, call numbers, or whatever it may be to help get their lives in order, because this is, and will be, devastating to those whom these criminals are going to take advantage of.

As government, we have a responsibility to ensure that we protect Canadians as well as we can. This is not going to go away.

(1540)

The Chair:

I'm going to have to leave it there. I thank you for your witness.

Colleagues, I need some guidance here. Our next witnesses are outside, and, as you know, are under some time constraints. I propose suspending. The question, colleagues, is do you want to suspend and release these witnesses, or do you want to suspend and ask these witnesses to remain so that we can have our final rounds of questioning?

Mr. David de Burgh Graham:

If they're willing to stay, I'd like to ask my questions.

Mr. Alupa Clarke:

I would like to intervene with these witnesses, please.

The Chair:

With that, I'm going to suspend. I'm going to ask the witnesses to leave the room, but to stay nearby, and after we finish with the next witness to come back— [Translation]

Mr. Rhéal Fortin:

Mr. Chair, I have some questions for the witnesses, but I will leave it up to you to decide on a good time for me to ask them. [English]

The Chair:

We'll look forward to that, Mr. Fortin.

With that, we'll suspend for a couple of minutes while we bring in our next panel. Thank you.

(1540)

(1540)

The Chair:

Colleagues, I'd ask you to take your seats.

I ask the next set of witnesses to come forward—Mr. Brun, Mr. Cormier, and Monsieur Berthiaume.

I would ask that the cameras leave, please. That's all of the cameras, including the CBC camera. Thank you.

I want to thank you and your colleagues for coming, Mr. Cormier. Apparently you're fairly popular these days.

We have encouraged witnesses to make brief statements, with the emphasis on their being brief, because there is an appetite on the part of members to ask questions. I'm informed of various times by which, I believe, you, Mr. Cormier, have to leave—and what time is that?

Mr. Guy Cormier (President and Chief Executive Officer, Desjardins Group):

We're supposed to leave around 4:30, but maybe we can add—

The Chair:

I'd encourage you to stretch that if you would.

Mr. Guy Cormier:

Probably an hour would be okay.

(1545)

The Chair:

Okay. I think we can live with an hour. Possibly your colleagues can stay after you leave.

The issue is that this has been an emergency meeting and people have literally come from all over Canada to hear what you have to say.

With that, I'll ask you to make whatever remarks you have and then we'll turn it over to questions.

Mr. Guy Cormier:

Thank you very much. [Translation]

Good afternoon, Mr. Chair and members of the Standing Committee on Public Safety and National Security. I'm joined this afternoon by Denis Berthiaume, Senior Executive Vice-President and Chief Operating Officer, and Bernard Brun, Vice-President, Government Relations, Desjardins Group.

First, I want to say that, at Desjardins, we were ambivalent about this exceptional committee meeting.

On the one hand, this meeting may seem premature, since we're in the process of managing this situation and the police investigations are ongoing. It's far too early to assess the situation. As such, we intend to tell you everything that we know, but in a way that won't interfere with the ongoing investigations.

On the other hand, we see this special meeting as an opportunity to inform legislators and the public about the security of personal information and the need to rethink the concept of digital identity in Canada. In my reflection process, this point prevailed.

First, I'll state the obvious. What happened at Desjardins has happened elsewhere and could happen again in any private company or public organization whose mission involves personal information management. We can think of several banks around the world, such as the American bank Chase, Sun Trust, the Korea Credit Bureau, or a number of government entities in Canada and the United States, to name a few, that have been the victims of malicious employees.

Desjardins is a leading financial institution and one of the largest cooperative financial groups in the world, with more than $300 billion in assets. In 2015, Bloomberg ranked the Desjardins Group as the strongest financial institution in North America, ahead of all Canadian banks. In other words, even the best aren't immune, and we believe that this message must be heard.

Personally, I've been working at the Desjardins Group for 27 years. I chose this organization at the start of my career because the financial institution has managed, after nearly 120 years, to successfully combine the economic and social aspects of our society.

The malicious actions of one employee led to this deplorable situation. That employee has now been dismissed. He violated all the rules of our cooperative. In this situation, we acted as quickly as possible and as transparently as possible, with the sole objective of protecting the interests of our members. That was our priority.

On June 20, a few days after learning of the extent of the situation, we went public and shared all the information available, in conjunction with the police forces. At that time, we also announced the measures implemented to address the privacy breach.

We've taken all the necessary measures to address the situation. We quickly implemented additional monitoring and protection measures to protect the personal and financial information of our members and clients. We informed all the relevant authorities, including the Office of the Privacy Commissioner of Canada, the Commission d'accès à l'information du Québec, the Autorité des marchés financiers, the Office of the Superintendent of Financial Institutions, and the Quebec and federal departments of finance.

We've implemented additional measures to confirm the identity of individuals when they contact us. We're constantly monitoring all our members' accounts. The procedures for confirming the identity of our members and clients when they call the Desjardins caisses, Desjardins Business centres and our AccèsD call centre have also been the focus of additional measures.

We contacted the affected members through the AccèsD private messaging system and by personalized letter, to inform them of the situation and of the steps that they needed to take.

We've also added extra measures to help with the activation of the Equifax monitoring package. The affected members can now register in four ways. They can register on the Equifax website, through the AccèsD telephone service, through the AccèsD web and mobile application, and directly in our Desjardins caisses by speaking with their advisor.

We're actively working with the different police forces. Lastly, we're working with external experts to continue to protect our members' personal information.

I can confirm that we acted diligently. After we received information from the Laval police service, we conducted an internal investigation and quickly traced the source of the breach to a single employee. The employee was suspended and then dismissed.

At this time, our main priority is to reassure, assist, support and protect each and every member affected by the situation.

(1550)



Again this morning, we announced new protection measures for all our members. In this digital age, we at Desjardins believe that all our members must be protected.

As I was saying, Desjardins announced this morning that, from now on, all members of our cooperative will be protected from unauthorized financial transactions and identity theft. Membership is automatic and free of charge, regardless of whether they've been affected by the data breach. Since this morning, Desjardins has been protecting all its individual and corporate members. This sets a precedent in the financial services world in Canada. We're the first institution to take this step. In this situation, Desjardins is acting with rigour, a sense of duty and the willingness to honour its special relationship with its members.

We've entered an age where data is a resource on par with water, wood and the raw material needed to run entire sectors of our economy. Data is now the raw material for a whole innovative economy that will lead to tremendous productivity gains and make life easier for Canadians.

Canada is a few months away from the implementation of 5G mobile connectivity, which will increase the flow of data tenfold. According to experts, this ultra-fast connectivity will lead to futuristic applications related to artificial intelligence. Canada is already among the world leaders in this area with its three hubs, Montreal, Toronto and Edmonton. In addition, as we speak, the Department of Finance Canada is in the process of conducting a consultation on open banking, which would help open up the transactional sector. Several European countries have already made the shift.

I'll humbly ask you, the legislators, the following questions.

Is Canada currently well equipped to manage these promising technological developments, which also involve new risks? Should our identification systems be adapted to the digital age to ensure the protection of privacy and to better deal with cybercriminals? This issue is the whole notion of digital identity, which I referred to a few minutes ago.

I want to respectfully point out that these are real issues raised by the situation at Desjardins.

In closing, I want to make a proposal. I'd like to invite the committee to recommend to the Government of Canada the creation of an ad hoc multi-stakeholder working group to advise the government on how to regulate the management of personal data and digital identities. We believe that a group that listens to Canadians' concerns should at least include representatives of governments, the financial services and insurance sector, and the telecommunications sector, along with jurists and experts, or any other group that the government deems it appropriate to involve in the reflection process.

The mandate of this committee should consist of advising the government on legislation and regulations; ensuring the protection of the public; encouraging innovative technological development for the benefit of Canadians and communities; and ensuring the strategic monitoring of best practices around the world, so that Canada is always up to date.

I personally believe that Canada can't pursue excellence in digital technology and artificial intelligence without having the same ambition for data and personal information management. We must all learn from the current situation at the Desjardins Group.

Thank you.

The Chair:

Thank you, Mr. Cormier.

Mr. Picard, you have seven minutes.

Mr. Michel Picard:

Welcome, Mr. Brun, Mr. Cormier and Mr. Berthiaume. Thank you for participating in this exercise. Your presence is greatly appreciated.

Mr. Cormier, I'll start by reassuring you that, last January or even earlier, the Standing Committee on Public Safety and National Security and the Standing Committee on Access to Information, Privacy and Ethics began to address issues related to the unique identifier. We looked at models from abroad, including Estonia's model, which raises a number of other issues.

Before I ask you some more practical questions, I want to point out that the unique identifier is one of the cybersecurity issues. When someone gets their hands on the unique identifier, we'll be faced with the same issue.

I'm pleased to hear that you're offering protection to all your members. However, financial institutions tend to charge their clients to protect the clients' data from identity theft. The financial institutions themselves make the offer. Do you have the same philosophy?

To have my salary deposited into my bank account and to make transactions, automatic withdrawals and Interac payments, I must give my name, address and social insurance number to the institution that I'm dealing with. However, I must use a third party to protect this information. Why do I need to rely on someone other than the entity to which I give the information?

(1555)

Mr. Guy Cormier:

To answer the first part of your question, we made the decision this morning to set up a protection program for all our individual and corporate members. The corporate component sometimes isn't covered by other institutions or even by Equifax. We've decided to offer this service free of charge to our members as long as they stay at Desjardins. We won't charge them anything. I want to quickly reiterate that the program covers all unauthorized financial transactions involving a person's account, deposits and money. If a transaction hasn't been authorized, we'll reimburse the person. That's one thing.

Second, if a person is unfortunately a victim of identity theft, we'll provide assistance, not a list of the steps to take. We'll call on our experts to provide assistance, and the experts may even participate in conference calls to help the person recover their identity.

Third, we'll provide coverage of up to $50,000 to reimburse members for expenses that they may have incurred, such as lost wages, child care costs or the cost of obtaining documents.

This concept of free service is extremely important to us. If you're a member of the cooperative, you have access to the program.

We humbly propose that a committee be established to, among other things, address the issue of whether privacy should be managed by third party companies. I think that the status quo isn't an option.

Mr. Michel Picard:

There are two issues involved in what I consider the temporary solution of dealing with a third party. You're asking people to deal with a third party to protect their personal information. Two years ago, this third party was also the victim of hacking. We conducted a study on the matter here.

How liable would you be if your clients' personal information were hacked from the entity that you trust, such as Equifax?

Mr. Guy Cormier:

That's a relevant question. In Canada, Equifax is the firm with a market share of over 70% in data and information protection and management.

When the incident occurred, we decided to turn to the Canadian company that offered this service to Canadians. We worked with the company. However, in the days that followed, we noticed some issues. We quickly took our own steps to resolve the issues concerning member registration on the Equifax website. We went through this. We saw the need to improve the procedures and methods, and we took charge of the matter.

Now, should one, two or three private companies in Canada manage all this? We must think about it.

Mr. Michel Picard:

Identity theft is unique in that the data is active and will always remain on the market, unless the person using it dies. The data is virtually present all over the world. It can be used on the black market after 24 hours, as in cases of debit or credit card fraud.

The identity theft issue isn't about the security of the client's data at their own financial institution. I'm sure that your systems are up to date in terms of protection from external hacking and that you're fulfilling your responsibility to your clients by meeting the expectations of Quebecers and Canadians. If an issue arises in the account, you'll reimburse the criminally misappropriated money.

The identity theft issue is as follows. Let's say that a person goes to a bank tomorrow morning. The person says that his name is Guy Cormier and that he needs a mortgage to purchase a house. The mortgage would be at the other bank and not at Desjardins.

Identity theft causes damage in other areas. One example is the real estate flips in Saint-Lambert, in the South Shore, where people took out fake mortgages under fake identities. There were a baker's dozen, and that was only in Quebec. After that, it will be Canada and Europe. Identity theft has an impact, and it isn't limited to the Desjardins Group financial system.

The protection that you're offering is appreciated and necessary. However, if I may say so, the protection is limited to the client's financial situation within their institution.

(1600)

Mr. Guy Cormier:

Basically, the thought process behind the new measure announced this morning is that we're in the digital age. There will be fewer and fewer paper transactions in the coming years. This data becomes raw material for our economy. Given the importance of the data, at Desjardins, we've taken on the responsibility of offering protection to all our members.

I said that there were three pillars. The first pillar is the financial aspect that you're referring to. If Desjardins members see an unauthorized transaction in their transactions accounts, Desjardins will fully reimburse them. This answers the first part of your question on the financial transactions aspect.

In terms of other types of identity theft involving credit card transactions made elsewhere, such as cellphone purchases or car rentals, people can contact Desjardins and they'll be taken care of. Second, if they need help with recovering their identity, not from a financial perspective, but in relation to other aspects of their private lives, Desjardins will support them. If we need to call government agencies or private firms, or help them prepare notarized documents or a presentation, we'll do so. We're no longer talking about the financial aspect. We'll help the people with the other steps that they may need to take. [English]

The Chair:

Thank you, Monsieur Picard.[Translation]

Mr. Paul-Hus, you have seven minutes.

Mr. Pierre Paul-Hus:

Thank you, Mr. Chair.

Thank you for joining us, Mr. Cormier.

We fully understand that this situation is very emotional and complicated for Desjardins. Mr. Cormier, you said that it was premature to hold a committee meeting. I want to point out to everyone again that the Conservatives requested this meeting, with the NDP's support, to see how the federal government could help Desjardins and the nearly three million affected members.

The objective isn't to investigate the situation or to find out how the data was stolen. The police are in charge of that aspect. For my part, I hope that the individual will be punished to the full extent of the law. I hope that the law is strong enough to send him to prison for a long time, but that's another matter.

We've met with officials from various departments, including the Department of Finance and the Canada Revenue Agency. These are large departments. However, it's difficult to know whether the Government of Canada can be useful in this situation.

I want to know whether you've received effective support from the government. If not, what could the government do to help you?

Mr. Guy Cormier:

There are two or three parts to my response. When this incident occurred, we contacted several federal and provincial government agencies. We spoke with the different departments of finance. I want to tell you that the departments were very helpful and supportive. Bernard Brun can confirm that very clear and open discussions were held.

I've noticed that both the federal and provincial government authorities want to reassure the public. You have no idea how important this is to us. Sometimes, we see what's being written and said. I understand that people have concerns and questions. As MPs, you must hear about many of them from the people in your constituencies.

I can see that the federal and provincial government officials want to reassure people and give them the proper information. This is very helpful to Desjardins. People must be told to contact us so that we can introduce them to the programs that we announced this morning. Whenever we meet with people in our caisses or client contact centres, we're in direct contact with them and we reassure them.

We don't want to trivialize the situation. However, according to several studies and several experts who are currently assisting us, there's a clear difference between a data breach and what happens in a real data theft. This isn't a “one-to-one” case. The proportions are very small.

By adding the protection that we announced this morning, we're telling all our members, including businesses, not to worry. If any issues arise, they should call Desjardins. We'll assist them.

(1605)

Mr. Pierre Paul-Hus:

Since the incident, you've offered the affected members a free five-year Equifax membership. Is the new protection announced this morning a lifetime membership, or is it new internal protection?

Mr. Guy Cormier:

Exactly. There's new internal protection. As I said, it's the first pillar. If people see an unauthorized transaction posted to their account, they must notify Desjardins. We'll then review the transaction with them and give them a full reimbursement. I must point out that there's no limit, whether the amount is $10,000 or $100,000.

Second, if they're victims of identity theft, they must contact us. We'll assist them and hold conference calls. We even offer a period of psychological support, through our life insurance companies, to people who are going through this highly emotional situation.

Third, it's the new $50,000 protection for people who must incur personal expenses to recover their identity. Desjardins will cover these expenses. This is extremely important.

I want to reiterate that people who are victims of the data breach must continue to actively register for Equifax services, since this gives them access to the alert service. The alert service could notify them of an unauthorized transaction in the following weeks or months, and this service isn't included in the Desjardins package. The Desjardins Group strongly recommends that members who are victims of the breach register for Equifax services.

Mr. Pierre Paul-Hus:

I'm a Desjardins member, but also a Royal Bank client—

Mr. Guy Cormier: Thank you.

Mr. Pierre Paul-Hus: The Royal Bank has a system that I didn't know about. I learned about it from an employee last weekend. The Royal Bank site has a link to the TransUnion site. When I click on the link, my credit report and credit rating appear. It's completely free.

Will Desjardins provide a similar service?

Mr. Guy Cormier:

I'll let Mr. Berthiaume answer that. He'll undoubtedly be very happy to do so.

Mr. Denis Berthiaume (Senior Executive Vice-President and Chief Operating Officer, Desjardins Group):

We provide the same type of service with TransUnion. On the web and on mobile devices, you can access your credit rating in real time. With regard to the alert system, I think that we've explained it well. We work with Equifax, but we're also considering the possibility of providing an alert system with TransUnion.

Mr. Pierre Paul-Hus:

You've done an extraordinary job of putting all this in place. Congratulations.

I now want to talk about Canadians who are afraid that their data, which has been sent somewhere in the world, will be used to make transactions or for any other purpose. You can't be responsible for everyone. You have a responsibility to your members, and 90% of Quebecers are Desjardins members. However, you can't know whether data sent abroad comes from this particular breach.

In other words, if my stolen data is sent abroad, will you still cover me, even though the data could have been sent from another source?

Mr. Guy Cormier:

The current situation at Desjardins was not our only reason for making this morning's proposal, but we certainly sped up the process. At the beginning of each year, we do some planning. Based on security, our new products and our new offers, we consider what we should offer our members according to their needs.

Mr. Pierre Paul-Hus:

I'll interrupt you, because I made things unnecessarily complicated. What I meant was that even though a data breach occurred on your side, another organization may be sending my information elsewhere. In this case, wouldn't the government have some level of responsibility? You seem to be taking care of everyone's issues. At some point, shouldn't we suggest that the Government of Canada help all Canadians?

Mr. Denis Berthiaume:

Look, right now, the important thing is to reassure the members and to offer protection to everyone. We won't start determining whether data sent abroad comes from the data breach at Desjardins or from an information leak in another organization. We want to cover and reassure our members.

To answer your question, if fraud occurs in a Desjardins account, we'll cover the member concerned. As is the case with other financial institutions, in the event of attempted fraud, whether the account is a current transactions account, a credit card account or another type of account, we don't hold the members liable.

The Chair:

Thank you, Mr. Paul-Hus.

Mr. Dubé, you have seven minutes.

Mr. Matthew Dubé:

Thank you, Mr. Chair.

Mr. Cormier, Mr. Brun and Mr. Berthiaume, thank you for being here. You're welcome here. I think that you've fully understood our objective, which is to share information to restore the confidence of people who are extremely worried. You said it well. Like you, we're hearing from these people. This is all the more beneficial to us, since we've just completed a study. We've opened the door for members of the next Parliament with respect to cybersecurity in the financial sector. As such, we're particularly interested in this matter.

Since it hasn't been mentioned yet, I'd say that, as Quebec MPs, we're not here to conduct a witch hunt. Based on the number of activities that we're involved in, we can clearly see that Desjardins is a local partner in the community. We want to work together, and I think that your recommendation today reflects that. Thank you very much.

I want to touch on a few points, in the hope that you can answer some questions. I understand the constraints that you're operating under. The first thing is very simple. It seems silly, but it concerns Equifax's French services. A few people have reported difficulties with obtaining services in French. Have you worked with Equifax to ensure that your members, the vast majority of whom are French-speaking, receive service in French?

(1610)

Mr. Denis Berthiaume:

Yes. First, we wanted to proceed quickly with Equifax, and I think that was the intent of the process. The people at Equifax have been very helpful. They've even adjusted their service offer to accommodate us in several ways. We've worked very well together.

Now, over time, we've learned about the limits of the French-language capacity at Equifax. As a result, we've introduced a number of additional measures. The president mentioned the four initiatives that have been implemented.

First, people can go online or use their cellphones to register directly for Equifax services. We'll take care of referring them to the services, establishing the link with Equifax and providing the authentication.

Second, people can obtain a French-language service by contacting our AccèsD call centres. Wait times are very reasonable. We act as a bridge, in a way, between our members and Equifax to improve the experience. We've been implementing this approach over the past few days and weeks. We believe that this approach has been successful.

Mr. Matthew Dubé:

It's not necessarily specific to what we want to review, and it doesn't fall within the mandate of the committee. However, you'll appreciate that I still wanted to get the facts straight. Thank you.

I want to focus on regulations. We heard a bit about them from the government officials who spoke before you. Are the regulations becoming cumbersome when it comes to achieving your objectives and ensuring the security of your members' data? In your particular situation, you're subject to both Quebec and federal government regulations. Compared to traditional financial institutions and large banks, you're in a somewhat unique situation. You'll forgive me for perhaps not using the correct terminology, but I think that you understand what I mean. Can this different situation cause problems?

Simply put, would it be in our interest to ensure a better alignment between the Quebec government and the federal government requirements, so that you don't need to turn left and right to comply with two different regulatory entities?

Mr. Bernard Brun (Vice-President, Government Relations, Desjardins Group):

Thank you for your question.

It's extremely relevant because we operate in a bijurisdictional system. That said, overall, Desjardins is perfectly comfortable in the current framework. Obviously, with technological exchanges, the interconnectedness within the financial system is becoming more and more apparent. In this regard, we mustn't act in isolation.

Mr. Cormier pointed out earlier that we worked well together. We were able to speak with all the federal and provincial government stakeholders. We strongly encourage them to work together. We can see the collaborative efforts, but we urge the governments themselves to hold discussions.

With regard to the fact that an entity such as the Desjardins Group operates on both sides, I don't see this as an issue. However, we clearly need support in this area. We can feel it and we're focusing on it. This relates to our suggestion regarding the creation of a multi-stakeholder committee with people from different governments. This will enable us to move forward and adopt effective policies that will affect everyone.

Mr. Matthew Dubé:

Thank you.

It may be more difficult to answer my next question, as the police investigation is still ongoing.

Given the growing cyber security expertise, especially among people who work in that field, do you think it would be appropriate to recommend ongoing background or behaviour checks for employees who have access to sensitive information and can use the information belonging to other users, other employees?

I am not saying that you have failed in that area, but everyone is starting to recognize the existence of people whose expertise is growing. Their expertise is being used, but it can also have more harmful consequences.

(1615)

Mr. Guy Cormier:

My colleague can talk about our practices, and then I will complement his comments based on my perspective.

Mr. Denis Berthiaume:

The first thing is that rigorous security investigations are constantly being conducted at Desjardins. Investigations are indeed related to the job level. That is an important element.

Regarding the situation before us, we could wonder whether anything could have been detected. I would like to point out that internal fraud by a malicious employee is the most difficult risk to protect against. That is recognized across industry, and there are many examples of it.

In addition to security investigations, security mechanisms were in place. Obviously, we are talking about a malicious employee who found a way to circumvent all the rules and used a scheme to extract data. That said, I want to reassure you that security mechanisms are in place.

Mr. Guy Cormier:

With time, will we be able to go further in terms of the situation we are going through? As I was saying, in the digital age, people handle personal data not only in financial institutions, but also in all kinds of businesses. Today, when someone wants to enrol their child in daycare, they must provide their social insurance number, and that number can remain on the table for five, 10 or 15 minutes, during the enrolment process. That is the reality in Canada.

I think that any business where employees handle personal information must ensure they have been screened. [English]

The Chair:

We're going to have to leave it there. [Translation]

Thank you, Mr. Dubé.

Ms. Lapointe, go ahead.

Ms. Linda Lapointe:

Thank you very much, Mr. Chair. I will share my time.

Gentlemen, thank you very much for being here.

I have been a member of Desjardins since around 1980. Like my colleague was saying, Desjardins is omnipresent. My riding is Rivière-des-Mille-Îles, and it includes Deux-Montagnes, Saint-Eustache, Boisbriand and Rosemère. There is a caisse Desjardins in Deux-Montagnes and one in Thérèse-De Blainville. Those are two major institutions in the region. There are two RCMs and two caisses Desjardins.

Mr. Guy Cormier:

There is Mr. Bélanger.

Ms. Linda Lapointe:

Yes.

You said that internal fraud is the most difficult type of fraud to detect and protect against. Earlier today, officials from the Department of Finance and the Canada Revenue Agency talked to us.

How do things work internally at Desjardins? How could have supervisors detected that malicious employee? It is clear that he managed to get into the system. Are there access levels and screenshots? Does the system issue alerts when it identifies something unusual? Are your employees allowed to have their cellphone with them when they work with data?

I am sure you will re-evaluate the existing measures. You talked about a lone malicious employee, but what will you do to protect yourselves against other malicious employees? What are your rules? How does it work?

Mr. Guy Cormier:

Mr. Berthiaume, can you talk about operations?

Mr. Denis Berthiaume:

Yes.

Regarding operations, I first want to say that no one, when they turn on their computer in the morning, has access to all the data. That is not how things work. At Desjardins, jobs are categorized according to the data required to do the work. That's the first thing.

Moreover, our organization has implemented a number of internal security and control mechanisms, but we do not want to discuss those publicly, as even our employees are unaware of those mechanisms. So I cannot describe them in any great detail.

Concerning this particular situation, a police investigation is under way, and that makes the issue highly sensitive. Quite frankly, we don't want to hinder the ongoing police investigation in any way.

As I just said, we cannot provide details on our security mechanisms, as they are important for helping us prevent this from happening again. The situation involves a single employee, but I can tell you that our security mechanisms detect external or other elements of fraud. I want to reiterate that it is extremely difficult to completely protect against a malicious employee.

(1620)

Ms. Linda Lapointe:

Will you review your internal rules?

Mr. Denis Berthiaume:

Concerning the security measures, we are constantly evolving. In any given year, Desjardins invests $70 million in security, and data and personal information protection. We are constantly improving in order to adapt to new technologies that create new fraud possibilities. People try to create new schemes, and we are constantly evolving to be able to identify them.

Ms. Linda Lapointe:

Thank you very much.

I am glad you talked about the four procedures you have implemented. My parents are seniors and have no Internet. They went to their caisse Desjardins in person to get someone to assist them, and it did not work very well.

Mr. Guy Cormier:

In the early days, Equifax enrolment was a challenge for us.

Ms. Linda Lapointe:

People without Internet access cannot sign up for it.

Mr. Guy Cormier:

So we made the decision to provide a service to people without Internet access. As of today, people who want to could still obtain the alert service. That service will be taken over by Desjardins, which will be able to communicate with them afterwards. We have innovated when it comes to Equifax to find a solution for those people.

Ms. Linda Lapointe:

Thank you.

Mr. Francis Drouin:

Thank you very much, Mr. Chair.

Mr. Cormier, you and I, like Mr. Lapointe, are victims of the leak. I understand perfectly that it is difficult to fully control a malicious employee. It is virtually impossible.

That said, the leak will have various repercussions on Desjardins members. For some, nothing will come of it, while others will be victims of fraud at some point in the future. My constituents have asked me why you are offering the Equifax service free of charge for five years and not for 10, 15 or 20 years.

Mr. Guy Cormier:

Mr. Berthiaume, you can answer the question on the five-year period, and then we will come back to the answer from this morning. That is a question we have already been asked.

Mr. Denis Berthiaume:

First, we wanted to respond quickly by providing five years of protection. As we were unhappy with that protection period, we decided to extend it. The president announced this morning that Desjardins was committing to provide protection for life. We did not settle for a five-year protection period. We have a partnership with Equifax to provide that protection, which is important in two ways.

We are noting a strong increase in the number of Equifax enrolments, but we are not satisfied with that number. Judging from the current trend, we fear that, at the end of the day, only 20% or 25% of our members will sign up for Equifax. That still leaves people without coverage who choose not to use the alert system for their own reasons. However, we do not want to leave 75% or 80% of our members without any protection. We want to provide them with an assistance service in case something happens. That is what led to this morning's announcement. We want to go beyond the Equifax protection and provide our members with umbrella-type coverage.

Mr. Francis Drouin:

Yesterday, I experienced something while communicating with Equifax. Its website was down, and I called the company. Finally, between 45 minutes and one hour later, I could sign up.

In eastern Ontario, the Desjardins Group caisses are very popular and very represented in communities. Employees are trained to help seniors who cannot go online to enrol. I am lucky to go online and to check my credit report daily, but what about my grandmother, for instance? Will someone from Desjardins let her know that there has been movement in her credit report?

Mr. Denis Berthiaume:

Yes, that is the new solution we just launched. We will get organized to ensure that people can sign up for Equifax. Then, instead of Equifax contacting the individual by email, Desjardins will liaise between Equifax and the person. We will receive alerts and make sure they are real, and then we will contact the affected members, like your grandmother, in a way that suits them. That is what we are implementing.

Mr. Francis Drouin:

Thank you.

Mr. Guy Cormier:

I would like to briefly point out what the key message is. The Desjardins Group quickly decided to be transparent and to provide the information on June 20. When we looked at the data of 2.7 million people, we realized that some people did not have Internet access. There were also estate accounts. Situations arose, and we saw that we had to innovate and find solutions to them. So far, for all those cases, we are collaborating well with the Equifax people. They are helping us find a different solution, including for people like your grandmother.

(1625)

[English]

The Chair:

Thank you, Mr. Drouin.

Mr. Motz, you have five minutes.

Mr. Glen Motz:

Thank you, Chair.

Thank you for being here, gentlemen.

If we're to believe the information that we received, approximately 200,000 Canadians outside of Quebec have been impacted by this particular situation. Do you know about how many in each province were impacted? [Translation]

Mr. Denis Berthiaume:

The affected members are primarily in Quebec. There are some affected members in Ontario and very few in other provinces. We are talking about people who no doubt moved to other provinces and are members of Desjardins. That is an important aspect. They are affected Desjardins members.

Clients of State Farm or Patrimoine Aviso, which are our partners, are unaffected. We are talking about only caisse members who may have moved to other provinces or members of our caisses in Ontario. [English]

Mr. Glen Motz:

Okay.

You mentioned that you purchased State Farm in 2015. You're saying that none of them are impacted.

Mr. Denis Berthiaume:

They are not impacted at all, no.

Mr. Glen Motz:

In 2017 you created Aviso Wealth. That was the combination of a merged Credential Financial, Qtrade Canada and NEI Investments. Those all merged.

Mr. Denis Berthiaume: That's correct.

Mr. Glen Motz: Were any of those impacted?

Mr. Denis Berthiaume:

Those were not impacted at all outside of the scope of what we talked about—

Mr. Glen Motz:

What about previous Desjardins clients whose accounts were closed? Has any of their data been impacted?

Mr. Denis Berthiaume:

I'm not sure I—

Mr. Glen Motz:

They used to be clients. Do you still store their data even though they are no longer clients? Was any of that data compromised?

Mr. Denis Berthiaume:

Let me be very, very specific here. It's strictly the members of our caisse network who are impacted. Let's say you were a member a year ago and you closed your account for whatever reason. If you do not receive a letter, you will not be impacted. There is no impact. You haven't been impacted—

Mr. Glen Motz:

Just to be clear, if you do not have an active account with Desjardins, you have not been impacted by this data breach. Is that what I'm hearing you say?

Mr. Denis Berthiaume:

If you did not receive a letter.... The key is whether you have personally received a letter. If you received a letter, it means you're a member that may be affected and we encourage you to subscribe to Equifax.

Mr. Glen Motz:

It doesn't really answer my question. If I'm hearing you correctly, you have to have an active account with Desjardins to have been impacted by this data breach. Is that a yes or a no?

Mr. Denis Berthiaume:

The answer is no, because you could be a former member of Desjardins and you closed your account a year ago—

Mr. Glen Motz:

That's what I asked previously.

Mr. Denis Berthiaume:

—but you may be affected if you receive a letter.

Mr. Glen Motz:

I'm not worried about the letter because Canadians don't care about the letter. They want to know, if I am a current member, is it yes or no? The answer is yes. Current or former clients could be impacted.

Mr. Denis Berthiaume:

Yes.

Mr. Glen Motz:

In 2018, Desjardins Ontario merged with about 11 Ontario credit unions, if I remember correctly. Would any of those potential clients be impacted by this data breach?

Mr. Denis Berthiaume:

We're talking about the Ontario caisses....

Mr. Guy Cormier:

The answer is yes. For the caisses in Ontario, merged or not merged, it's possible that there are some members of these caisses who have been impacted by the breach.

Mr. Glen Motz:

In 2013 the Desjardins Group purchased insurance firms out west, particularly Coast Capital Insurance in B.C., First Insurance in B.C., Craig Insurance in Alberta, and Melfort Agencies and Prestige Insurance in Saskatchewan.

Would any of these clients be impacted by the Desjardins data breach?

Mr. Denis Berthiaume:

The answer is no.

Mr. Glen Motz:

Could the phones of clients who use Apple Pay or Android Pay as part of their banking practices be compromised by this data breach, and are they at higher risk for any fraudulent texts that could occur as a result of this?

Mr. Denis Berthiaume:

The data that has been leaked outside includes some phone numbers and some emails. The answer to your question is yes, there may be phishing, but again, that's if they are members of a caisse, not if they're clients. If they're clients of Aviso Wealth or of former insurance operations or of life and health insurance, or they're property and casualty clients, they are not impacted.

(1630)

Mr. Glen Motz:

It's only the financial side.

Mr. Denis Berthiaume:

It's only caisse members.

Mr. Glen Motz:

I'll share my time with Mr.—

The Chair:

You're going to have to share six seconds with him.

We'll go to Mr. Graham for five minutes. [Translation]

Mr. David de Burgh Graham:

I will continue somewhat along the lines of Mr. Motz's comments. Many of those who have not received a letter are worrying and wondering whether they are affected or not.

Can we say to all those who have not received a letter that they are not affected?

Mr. Denis Berthiaume:

According to the information we have, only those who receive a letter are affected.

Mr. David de Burgh Graham:

So if someone does not receive a letter, they are not affected. Is that right?

Mr. Denis Berthiaume:

If they have not received a letter, they are not affected.

Mr. Guy Cormier:

On June 14, we received information from the Laval police force. That information enabled our computer investigative teams to provide us with the figures of 2.7 million individuals and 173,000 businesses. We sent letters to those people.

Despite everything, we are hearing people's concerns. That is why, this morning, we decided to speed up the launch of this protection program for all members, be they affected or not.

Mr. David de Burgh Graham:

That protection is a good thing, but in some of the towns in my riding, Laurentides—Labelle, a number of people don't have Internet access or a cellphone. They are fewer than when I first took office, but there are still some. A number of them have even lost their Desjardins branch. What can those people do?

I have had an account with Equifax for several years. When something changes, I receive an email, but I must go on the website to try to figure out what it is, as it is not clear at all. So for those with an Internet connection, the Equifax-provided information is unclear, and those without a connection have nothing at all.

You talked a bit about this, but could you elaborate further?

Mr. Guy Cormier:

There are two things to consider. First, it is urgent to connect Canadians across the country to the Internet if we want to enter the 21st century. On our end, as some of our members are not connected to the Internet—sometimes by choice, sometimes because they have no access to it—we have proposed an additional solution in partnership with Equifax. Mr. Berthiaume can explain that.

Mr. Denis Berthiaume:

People who don't go online and don't necessarily have an email address must still be reached. Therefore, we have set up a call centre so they can reach us by telephone. We will undertake to sign them up for the Equifax services.

We have implemented an innovative solution with Equifax, which will enrol them, take care of monitoring and alerts, and then send us the results. At that point, we will contact those without Internet or email access. That is what we implemented today.

Mr. David de Burgh Graham:

So Equifax, and not Desjardins, will take care of the technical aspect.

Mr. Denis Berthiaume:

Yes. Currently, Equifax has the ability to handle alerts. As we were saying earlier, Equifax holds 70% of the Canadian market when it comes to credit bureaus and detection and alert systems. So those are the services we use for this aspect.

Once again, we liaise for people who have more difficulty accessing the Internet or don't have an email address. We reassure people and, in case of alert, we contact them.

Mr. David de Burgh Graham:

Fine.

In your statement, you talked about changing our digital identity system. What examples would you like us to follow?

Mr. Guy Cormier:

Far be it from me to give you the perfect example that should be followed, because there will always be gaps in the perfect solutions that we think we have found. There will always be dishonest people who will try to get around these solutions. However, countries such as Estonia, India and even some European countries have put in place measures regarding unique identifiers or, at the very least, measures to ensure that government-issued cards, whether drivers' licences or health insurance cards, do not become ways of identifying people. The objective of these countries was to restore the primary role of these cards, which have become identification documents over time. Canada should draw inspiration from these countries.

(1635)

Mr. David de Burgh Graham:

Very well.

I have one last question. What did the 2.9 million Desjardins clients who were affected have in common? Do we know why they were affected and not the others?

Mr. Denis Berthiaume:

On this subject, we have nothing conclusive. We relied on the data provided to us by the police services. We don't have conclusive data on why someone was on the list or not. We don't have that information.

Mr. David de Burgh Graham:

Thank you. [English]

The Chair:

We'll go to Mr. Clarke. [Translation]

Mr. Alupa Clarke:

Mr. Cormier, I would just like to reiterate what my colleague said. The fundamental objective of today's meeting, for us Conservatives, is to determine what the government, its agencies and institutions could do to help you and, in turn, to help Desjardins members, which is the most important thing. They are Canadian and Quebec citizens.

As you know, I have contacted the three directors of the Desjardins branches in my riding to express my support.

Has Canada's Department of Employment and Social Development contacted you to obtain the list of the 2.9 million citizens? This is a very important question.

Mr. Guy Cormier:

The department is in contact with us and collaborates with us. We have been talking directly with its representatives for more than two weeks now, whether it is about social insurance numbers or the situation Desjardins is in.

I do not believe that the information was requested, at least not on an operational level. I don't have that information. I don't know if Mr. Brun or Mr. Berthiaume know more, but I don't think so.

Mr. Alupa Clarke:

When you have the answer, could you give it to the analysts or the clerk? It would be important for us to know that. If the request has been made, could you provide a list of these Canadians? We are trying to find out what the government can do, but first it should know who it is talking about. So would you be able to send this list to the Canadian government? Unfortunately, it would still involve sending data, but the recipient would be the government.

Mr. Denis Berthiaume:

We will have to see if this is possible. From a legal point of view, I am not sure.

Mr. Alupa Clarke:

Next, I would like to know if a member of the current cabinet has contacted you since June 20.

Mr. Guy Cormier:

When you talk about the current cabinet, you are talking about the cabinet....

Mr. Alupa Clarke:

I am talking about the federal cabinet. So it would be a minister.

Mr. Guy Cormier:

Yes, that's right. I had a discussion with Minister Morneau on the situation. He offered me his support to see how the federal government could support Desjardins in this situation.

Mr. Alupa Clarke:

Fine.

In your introduction, you mentioned very humbly and respectfully that you had some questions. Personally, I would have liked to know your answers as an expert in your field. I don't remember your first question very well, but it was still interesting. You were wondering if Canada had an adequate system for social insurance numbers, for example. I would like to know your perspective on this.

Mr. Guy Cormier:

The first question was whether Canada is well equipped to manage technological development, which is full of promise, but also involves new risks.

Do we need to adapt our identification systems?

Mr. Alupa Clarke:

I would like to have your answers on both points.

Mr. Guy Cormier:

My two answers are simple: I think the status quo is not an option. The status quo in Canada today is not sufficient in the digital age, in the upcoming 5G era, and in the era of reflection about the world of financial services, including open financial services. On these two issues, I think we should not be satisfied with the status quo.

That is why we humbly propose the creation of a committee composed of several stakeholders, including citizens, governments, businesses—not just financial institutions, but companies that process data—to reflect on these issues and see if, using examples from other countries around the world, we can continue to be leaders.

As I mentioned in the beginning, I think that in artificial intelligence, Canada is taking an important leadership position in the world. At the same time, we must have the same ambition with regard to personal information and data protection. My answer revolves around these points.

Mr. Alupa Clarke:

I have a supplementary question, which will probably be the last one. I am addressing Mr. Cormier, the citizen.

You made a very important announcement this morning. You said that the protection applies to all members, whether or not they are affected by this unfortunate event. You said all they have to do is call you and you can take care of them. You will establish contacts, take action and take the necessary steps.

Do you think that's exactly the kind of attitude that the government, the federal state, should have right now towards the 2.9 million Canadian citizens?

Citizens are being asked to contact us, and I think it is the federal government that should contact citizens. Let's say that citizens are communicating with the federal government, shouldn't the federal government have the same approach as you and say that it takes care of everything?

The representative of Employment and Social Development Canada said that, if citizens' social insurance numbers were changed, they would have to call all their former employers. That's not what you're doing. You, incredibly, say you're going to take care of everyone at the last minute.

As a citizen, would you like the federal government to act in the same way towards the affected members?

(1640)

Mr. Guy Cormier:

As a citizen, I would say that elected officials are elected to provide a framework and adopt laws. In the current digital age, regulatory parameters must be put in place to protect citizens in this regard. That's my message, as a citizen.

This is also why, despite the fact that we found this meeting premature, we still made the decision to be present. We feel that this situation is sounding the alarm and that there is an awareness and a real willingness on the part of elected officials to address this issue. We wanted to provide our point of view on this subject. [English]

The Chair:

Thank you, Mr. Clarke.

We'll go to Mr. Dubé for three minutes and then Mr. Fortin for three minutes. [Translation]

Mr. Matthew Dubé:

Thank you, Mr. Chair.

I have a question that is somewhat similar to what Mr. Graham was saying about Internet and telephone access. Seniors have special needs.

Are we also looking at that?

Mr. Denis Berthiaume:

That's what I was saying. Often, seniors do not necessarily have an Internet connection or an email address. We take care of them. These people can call us. We will take charge of the situation from that moment on and act as intermediaries with Equifax regarding the alert system and what these people will receive as a message.

Mr. Matthew Dubé:

There is an interesting article in La Presse, in today's issue, if I'm not mistaken. It talks about how credit watch agencies, companies like Equifax, are regulated and that this regulation focuses more on consumer issues.

It may be too much speculation for what you are comfortable talking about today, but given the somewhat symbiotic relationship they have with financial institutions and the breach Equifax has experienced, do you think it would be relevant in the digital age to review how these agencies are regulated?

This has become more important than consumer protection; they now have a responsibility to protect data. We see that there are important consequences.

Should we review this in the context of all these changes you alluded to?

Mr. Guy Cormier:

I told you a few minutes ago: I think the status quo is not an option. That's why we're here today. Desjardins will be very honoured to participate in the discussions, if they are held.

I think we need to bring together the stakeholders who work in the data field in Canada to think about how we want to change the situation. Sometimes it could be about regulation, sometimes it could be about business processes, sometimes it could be about working together. I think the status quo is not an option.

Mr. Matthew Dubé:

I have one minute left. In closing, I would like to say that we are pleased to have you here. We understand that this is a difficult situation. I appreciate the fact that you understand why we have a duty to do this.

Citizens are calling us. It affects them, they are worried. Our objective is not only to reassure them in this case, but also to ensure that they and other citizens who are clients of other financial institutions do not experience the same thing. You are sharing your experience, which is very useful not only today, but also for the future Parliament. We still want to put in place a roadmap in this rapidly evolving area.

Mr. Guy Cormier:

That is why we accepted the invitation.

Mr. Matthew Dubé:

Your presence is very much appreciated, thank you.

The Chair:

Mr. Fortin, you have three minutes, please.

Mr. Rhéal Fortin:

Thank you, Mr. Chair.

Mr. Cormier, Mr. Brun and Mr. Berthiaume, I too will begin by congratulating you. I must admit that when I arrived here this morning, I had questions and concerns, which you answered. I think that your statement this morning is very beneficial to Desjardins. I too am affected by what happened at Desjardins, and I appreciate the measures you have taken.

About two or three weeks ago, the Bank of Canada established the Financial Sector Resiliency Group to address IT threats. As far as I know, Desjardins Group has not been invited to join this group. Chartered banks, among others, and systemically important banks were invited.

First, can you confirm that Desjardins Group has not been invited? Then, do you consider it would be appropriate for it to participate in such a working group?

Mr. Guy Cormier:

Mr. Brun, I know you've talked to this group. Can you give us the true story on that?

Mr. Bernard Brun:

Thank you for this very relevant question.

The Bank of Canada obviously has an extremely important role to play in ensuring financial stability. Recently, it announced the creation of a committee to develop supervision and review oversight by discussing matters with all kinds of partners. Naturally, it turned to the big banks and the regulator. We have had discussions with people at the Bank of Canada and we feel that they have an opportunity to explore this.

As already mentioned, the financial system is extremely interconnected. All the players in this sector have issues, regulations and regulators, but they must be able to work together, go beyond that and discuss matters. We certainly have a great interest in participating in all of this. We felt that there was an opening in this direction and we are waiting to see what form this will take.

Desjardins Group is certainly a Canadian and Quebec financial institution of systemic importance. If there are discussions, we should be involved.

(1645)

Mr. Rhéal Fortin:

You have the support of the Bloc Québécois on this. I hope my colleagues across the way will follow up on this and propose that the Bank of Canada invite you.

Presently, there are discussions on the establishment of a national identity validation system. Previously, the social insurance number was used in the relationship between the employer and employees and the government. Now we see that it is used in almost every way. It is no longer clear how to behave in this regard, but it is clear that the simple social insurance number is no longer sufficient to ensure a certain level of security for citizens.

In your opinion, would an identity validation system, which would include a PIN, fingerprint or whatever, be useful in a situation like the one you have experienced?

Mr. Guy Cormier:

That is why we humbly submit a recommendation to the committee today.

In Canada, 30, 40 or 50 years ago, we put in place certain mechanisms, which today are no longer used for what they were created for. It is time for industry players to sit down together to rethink all of this, and try to draw inspiration from best practices around the world; this reflection, as I can see very well, has already begun. [English]

The Chair:

Thank you, Monsieur Fortin.

I want to thank the witnesses for their appearance here. I'm happy to note that your announcement of your package coincided with your appearance here. That's quite fortunate. There are four or five members of this committee who are uniquely vulnerable as members of your association. I'm wondering whether their unique vulnerabilities as public figures is covered by your announcement today.

Mr. Guy Cormier:

All of the information, per the announcement we made this morning, of all of the people who were on the list of the members who have been affected by this leak will be taken care of by this program. With this protection program, if it's their financial activities in their accounts, if it's having access to assistance for recovery of their identity, or if there are problems with some fees they have to pay regarding the recovery of their identity, they will be allowed to go under this program.

The Chair:

I have taken note of that, as you mentioned it earlier. However, what I'm talking about is the unique vulnerability of public officials. If that vulnerability arises, will it be addressed by this particular package?

Mr. Guy Cormier:

This is something that we are looking at right now in our files. Among these 2.7 million people, we are looking right now if there are some more sensitive people. You probably read about policemen, judges, people like officials. This is something that we're looking at right now. Our priority was to send the letters to make contact with the people. Now we're looking what may be other sensitivity that we should be more careful—

The Chair:

So in the initial thrust, not necessarily.

Mr. Guy Cormier: Yes. We will look at it.

The Chair: My question is that we've been doing this for awhile now and one of, if you will, the gold standards of protection is what's called “zero trust”, which was brought up by a previous witness, who said, “identify and protect critical assets. Know where your key data lives; protect it; monitor the protection, and be ready to respond.”

Do you feel that Desjardins adhered to the zero trust principle that seems to be the gold standard for protection of data?

Mr. Denis Berthiaume:

When we say “zero trust”, we need to identify what we are talking about. Zero trust, we have people who have access to data. They need it to actually do their work. With zero trust, clearly we want to make sure that we have security mechanisms in place that aim at the zero trust principle. However, when you put it in practical terms, sometimes there's a difference between the theory and what you can really do practically. The objective is there to make sure that the data given to us by our customers, by our clients, is fully secure. That's our goal.

(1650)

The Chair:

That's the goal.

With that I want to thank you again for your appearance here. We will suspend for a couple of minutes and re-empanel with the officials and finish our questioning with them. Thank you.

(1650)

(1650)

The Chair:

We're reconvened. Thank you to the officials all and sundry for your patience with us. We were in the middle of questioning and I believe it's Mr. Graham up for five minutes, please. [Translation]

Mr. David de Burgh Graham:

Thank you.

Ms. Boisjoly, earlier you heard the people from Desjardins talk about the need to rethink the social insurance number system. Is research being done on the future of the social insurance number?

Ms. Elise Boisjoly:

Thank you for your question.

As you know, the social insurance number is one identifier among many. As we have already mentioned, on our website, we are advising citizens that they should only give their social insurance number in very limited circumstances. This is explained to them. We tell them not to give their social insurance numbers to organizations that cannot legally request them. However, from what we hear, citizens often give it voluntarily to organizations that are not authorized to take it.

We are certainly aware of the discussions. We are still looking at what we can do to improve the protection of our systems and practices related to the social insurance number.

We want to hear the recommendations or see the report that this committee will publish, as well as other reports.

I can assure you that work on improving the security of our systems is ongoing. I know that Treasury Board is also very actively working on digital identity projects. We are participating in these discussions to see how we can improve the digital identity of citizens in Canada.

(1655)

Mr. David de Burgh Graham:

Among the data that was taken, we know that there was a lot of information, not just social insurance numbers. There were also addresses, phone numbers, and so on. You have spoken several times about additional information to authenticate the social insurance number. Is all this information included in the data that was taken?

Ms. Elise Boisjoly:

The social insurance number is an identifier that provides access to federal programs and services, as well as to income and tax systems. In the case involving the federal government, with respect to benefits, for example, my colleague explained that at the Canada Revenue Agency you have to ask an additional, secret question to identify individuals, such as the amount entered on a certain line of the tax return. In the case of employment insurance, participants are given a program access code, and must give two digits of this code in order to access private information related to the employment insurance program.

The social insurance number is an identifier, but it is accompanied by other questions to validate the identity of the person with whom we do business.

Mr. David de Burgh Graham:

There are Service Canada officers in every city. If people come to their offices to find out what they need to do about the current situation, what instructions will they be given?

Ms. Elise Boisjoly:

Thank you for your question.

All our call centres, Service Canada offices and agents have received very clear instructions. Our call centres and Service Canada offices answered questions from approximately 1,500 citizens. They have informed them of the steps to take, including contacting a credit bureau, verifying their financial and banking transactions, and exercising extra vigilance with respect to the transactions they make. If they identify activities that are not related to their transactions, they should contact the police, Service Canada offices and the various institutions so that we can resolve the situation. To date, no fraud has been reported.

Mr. David de Burgh Graham:

The leak is recent, however.

Ms. Elise Boisjoly:

As I was saying, despite the number of leaks detected in recent years, there are about 60 cases per year requiring a change in the social insurance number.

Mr. David de Burgh Graham:

Is there a way to indicate somewhere that the social insurance number is no longer valid and then remove the liability associated with it?

If I change my social insurance number and I am still responsible for the old one, in my opinion, it doesn't make sense. Can you tell us more about this?

Ms. Elise Boisjoly:

One of the reasons is that we do not know to whom citizens have given their social insurance number. The social insurance number should only be used as an identifier to link certain information to provide benefits. Individuals are the only ones who know to whom they have given their social insurance number and for what purpose. You can give your social insurance number for private pensions, insurance and car rentals or purchases, for example.

The social insurance number should not be used to identify the person. This is a number that allows you to link certain files. We need this number to link the information. We now link the two social insurance numbers in our systems, but the first should never again be used by the individual.

(1700)

[English]

The Chair:

Thank you, Mr. Graham.

Mr. Clarke, for five minutes, please. [Translation]

Mr. Alupa Clarke:

Thank you, Mr. Chair.

Good afternoon, everyone.

Thank you for waiting and staying here.

Ms. Boisjoly, you are the assistant deputy minister at the Department of Employment and Social Development Canada. Did your minister instruct you to get the list? I asked the same question of Mr. Cormier. Have you received ministerial instructions to obtain the list of the 2.9 million Canadians affected by the massive data leak at Desjardins?

Ms. Elise Boisjoly:

You raise an interesting question.

The first thing to do, according to the Personal Information Protection and Electronic Documents Act, is to inform third parties. As you have heard, Desjardins has contacted us to ensure that we will provide the information and help Desjardins branches obtain as much relevant information as possible to help their members. In this case, we have given a lot of information on how to protect their members.

Mr. Alupa Clarke:

So there were no guidelines. In other words, you are reactive. I'm not talking about you, of course. You follow political orders, and we understand that. At the moment, everything is reactive and absolutely nothing is proactive.

You said you received 1,500 requests or calls about the social insurance number. Our goal is to know how the government can help people proactively. Since you don't know which Canadians are affected, you necessarily have to wait for them to contact you. That is what is happening right now. You wait for the people affected to contact you, not the other way around. That's impossible, because you don't have the data. Mr. Cormier, from Desjardins, seemed to say that they would be ready to send this data. I know I'm asking you to give a political opinion, but you can't.

I have to express something that royally disgusts the people in my riding. I went door-to-door a lot last week and the week before that. People have consistently told me that they doubt that the government can do anything. It saddened me very much. How is that possible? I would like to break the cynicism and listen to people. People contribute 50% of their income to the Canadian government. We Conservatives want the government to work for citizens, not the other way around.

Mr. Cormier said that when someone calls Desjardins, they are proactive and take care of things for them.

We learned something very important today. In fact, we already knew that because it had been mentioned here and there. I learned from an official like you that you can change your social insurance number. I know it's complex and that even if we change it, we still have to reach a myriad of institutions, our former employers, and so on. However, it is the government that requires that citizens have a social insurance number. It is a system that should perhaps even be called into question, and we are discussing it today, in a way.

Wouldn't it be your duty to contact the 2.9 million people? The Liberal government should do this to be proactive. It knows these people. For example, at the Pizzeria D'Youville, where I worked in 2004 when I was 17, it was the boss who sent the GST to the federal government. All these things are well known. Your departments could easily link this information and change the social insurance number, perhaps not in a comprehensive way, but it should support the citizen in the very difficult task of reaching all former employers or government agencies.

I really don't like this. I know it's not your fault. You have political directives from the Liberal government, but it is not proactive at the moment. I don't like it at all. What can you say about this?

Ms. Elise Boisjoly:

In view of the multiple leaks that can occur, the goal is to ensure that citizens and the benefits due to them, whether tax refunds or other benefits, are always protected. That is why we worked very closely with Desjardins to define what measures would enable us to support it in its relations with the affected citizens.

Desjardins has implemented measures. When there were leaks at the federal level, very similar measures were taken with respect to credit bureaus, because it is really the best way to protect citizens from fraud. We continue to work with Desjardins. If an exchange of information proved to be a good solution, we would consider it. However, at this stage, the measures put in place are the best that could have been taken.

(1705)

Mr. Alupa Clarke:

Thank you, Ms. Boisjoly. [English]

The Chair:

Are there any questions over here? No.

Mr. Dubé, for three minutes. [Translation]

Mr. Matthew Dubé:

Thank you, Mr. Chair.

I would like to come back to the question I asked, namely whether you want to hold information sessions in major centres in Quebec, among others. I know that people outside Quebec are also affected, but it is in Quebec that the leak had the greatest impact. The population must be informed.

I forgot what it was, but I have already received a letter in the mail regarding a change in federal policy. I would like to believe that it is possible to send letters by mail to the people of Quebec informing them of the schedule of public consultations or information sessions that will take place in the next two months. You are giving us information today and I think people are listening, of course. Nevertheless, we should make sure to reach as many people as possible. Despite the pervasiveness of social media, I am not convinced that this response is adequate.

Is this something you are open to? I believe that the Department of Finance and the Canada Revenue Agency also have a role to play.

Ms. Elise Boisjoly:

Absolutely.

To be proactive, we have put additional information on our website. We have issued press releases. We used social media, as you said. We hold workshops on the social insurance number in several communities. These are workshops that are given on a regular basis and I won't see why we can't use this method as well.

So, thanks for the recommendation. We will take it into consideration.

Mr. Matthew Dubé:

Perfect. We thank you for that because these are indeed special circumstances, and when there are natural disasters, for example, the local government—whether it is the municipalities or the Government of Quebec—always answers.

As my colleagues said, and not to insult anyone, the federal government is the furthest away. In this case, there are real impacts on people's lives.

Either way, if we ourselves—I'm just talking about myself right now—don't necessarily know how to navigate the social insurance number system when we are federal legislators, I don't think it's because of our own ignorance. It's just a very complex system. That's why you're here today, and that would be knowledge worth sharing.

Thank you for your openness. This completes my questions.

The Chair:

Fine.

You have two minutes, Mr. Fortin.

Mr. Rhéal Fortin:

Thank you, Mr. Chair.

I'll start with Ms. Boisjoly.

If we consider that the social insurance number was created in 1964 to govern employer-employee and government-to-government relations, we see that it is used in every way now, but in any case, much more widely than before.

Wouldn't it be necessary to review the security regulations concerning its use? For example, there could be a PIN that matches the health card, fingerprints or other data, for example.

In your opinion, can anything be done with this?

Ms. Elise Boisjoly:

That is an excellent question.

As I always say, it is important, when you have situations like this, to review and rethink certain things.

As far as the social insurance number is concerned, as I said, it is one of several identifiers. At the federal level—and, of course, in many places— people are invited to add secret questions that only they can answer. It is not a PIN, but it is an additional way to ensure security and identify the right person.

Mr. Rhéal Fortin:

Correct me if I'm wrong, but the social insurance number is valid, regardless of whether or not we have matching questions.

I am asked for my social insurance number for a transaction, whatever it is, with a bank, or whatever. I don't have a PIN. I just have the number.

Ms. Elise Boisjoly:

You are absolutely right. You do not have a PIN.

Is this something we could consider? Maybe. What is important to say is that, to access a service, you must give other identifiers such as the line...

Mr. Rhéal Fortin:

It depends on the companies we request services from, but, I agree, you're right.

Wouldn't a penalty be appropriate? We see that retailers or banks frequently ask for social insurance numbers, and this is not always necessary. Shouldn't there be a system of penalties for those who ask for a social insurance number when they don't need it?

(1710)

Ms. Elise Boisjoly:

That is an interesting question. I don't know if any predecessors have addressed this issue.

Currently, we have a very clear list of who can do so. We have very clear instructions for citizens. When someone asks them for a social insurance number and they are not on the list of people who should ask them for it, they can seek redress with the Privacy Commissioner of Canada.

Mr. Rhéal Fortin:

Couldn't we include criminal provisions in the act for this, whether it be a fine or some other sanction?

Ms. Elise Boisjoly:

Yes, it would be something to check, but I don't have any information on that today.

Mr. Rhéal Fortin:

All right. Fine.

I have one last question if you...

The Chair:

Unfortunately, your time is up, Mr. Fortin.[English]

That ends our questioning.

On behalf of the committee, I want to thank the officials not only for your initial appearance but also for your subsequent appearance and waiting for the other witnesses.

We are going to suspend and then go in camera. We will take a couple of minutes to clear the room.

[Proceedings continue in camera]

Comité permanent de la sécurité publique et nationale

(1330)

[Traduction]

Le président:

Mesdames et messieurs, nous nous efforçons de respecter notre horaire. Nous attendons l’arrivée de nos autres témoins, mais, dans l’intervalle, nous allons entendre le témoignage du représentant de la GRC, le capitaine Mark Flynn.

Vous ferez votre exposé et, si les représentants du Centre de la sécurité des télécommunications viennent, nous prendrons des dispositions afin qu'ils s'expriment eux aussi.

Soit dit en passant, la séance est maintenant publique.

En ce qui concerne les personnes qui témoignent devant nous, le véritable problème, c’est que les membres du Comité souhaitent poser des questions. Par conséquent, il est préférable de limiter la durée des exposés.

Et maintenant, je vous prie de faire votre exposé, surintendant Flynn.

Surintendant principal Mark Flynn (directeur général, Criminalité financière et la cybercriminalité, Opérations criminelles de la police fédérale, Gendarmerie royale du Canada):

Vous serez heureux d’apprendre que je ne ferai pas de déclaration préliminaire, et je crois comprendre que le Comité en a été informé. Je suis ici aujourd’hui simplement pour répondre à toutes les questions que vous pourriez avoir. Comme cet enjeu est, à première vue, lié à une enquête criminelle en cours, il serait toutefois inapproprié que je vous communique des détails relatifs à une enquête, en particulier une enquête qui n’est pas menée par la GRC.

Je suis disposé à répondre à toutes les questions. Je suis ici pour vous apporter toute l'aide que je suis autorisé à vous offrir.

Le président:

Monsieur Graham.

M. David de Burgh Graham (Laurentides—Labelle, Lib.):

Il est un peu plus difficile de poser des questions sans s’appuyer sur une déclaration préliminaire.

Ma première question est la suivante: si quelqu’un appelle la GRC pour déposer une plainte concernant un vol de données présumé, comment la GRC traite-t-elle cette plainte dès sa réception?

Surint. pr. Mark Flynn:

Cela dépend de l’endroit où le vol présumé a eu lieu. Sur le territoire où nous nous trouvons, ces cas relèvent des services de police. Par conséquent, les services de police provinciaux et municipaux se partagent la responsabilité. La plainte serait transférée à notre processus de réception là-bas, que ce soit notre bureau des télécommunications, la réception du détachement ou une unité d’enquête particulière qui a été désignée à cet effet.

Dans les cas où nous ne sommes pas les policiers compétents, comme en Ontario et au Québec, où nous assumons le rôle d’agents de police fédéraux, nous prenons conscience de ces situations en collaborant avec nos partenaires provinciaux et municipaux. Nous examinons l’information, et nous déterminons si la situation est liée à d’autres enquêtes en cours. De plus, nous offrons aux services de police compétents notre appui s’ils en ont besoin, bien que, dans bon nombre de cas, ces types d’incidents soient très bien gérés. Nos forces de police provinciales et municipales sont fort compétentes et sont en mesure de gérer ces incidents par elles-mêmes.

M. David de Burgh Graham:

À quel moment un incident devient-il de compétence fédérale? Si un problème relève des provinces, mais touche plusieurs provinces, les services de police provinciaux doivent-ils le gérer séparément? La GRC est-elle en mesure d’intervenir à ce moment-là?

Surint. pr. Mark Flynn:

La GRC n'intervient pas automatiquement uniquement parce qu'un problème touche plusieurs provinces. Comme avec les crimes traditionnels, qu'il s'agisse d'un réseau de voleurs qui exerce ses activités près de la frontière entre deux provinces ou d'homicides, les corps policiers de ces administrations ont l'habitude de collaborer et ils le font très efficacement.

Lorsqu'un cyberincident survient, s'il aura des répercussions sur un système du gouvernement du Canada ou un exploitant d'infrastructures essentielles, que des facteurs liés à la sécurité nationale doivent être pris en compte ou que l'incident est lié à un groupe important de criminels qui opère à l'échelle nationale et qui fait déjà parti des enjeux prioritaires sur lesquels nous enquêtons, nous donnerons suite à cet incident.

Dans le domaine du cyberespace, nous entretenons des relations et communiquons régulièrement avec la plupart des provinces et des municipalités dotées de cybercapacités dans leurs secteurs d'enquête. Nous savons que bon nombre de ces incidents surviennent dans plusieurs administrations, que ce soit au pays ou à l'étranger. Par conséquent, la coordination et la collaboration sont vraiment importantes.

C'est pourquoi l'Unité nationale de coordination de la lutte contre la cybercriminalité agira comme le service de police national qui contribuera à cette collaboration. Toutefois, avant sa mise en œuvre, l'une des responsabilités de mon équipe au quartier général est de communiquer régulièrement, que ce soit en tenant régulièrement des conférences téléphoniques ou des rencontres officielles au cours desquelles nous discutons de ce qui se passe dans les diverses administrations pour assurer la collaboration et la déconfliction. De plus, de façon ponctuelle, lorsqu'un incident important survient, les employés des nombreux corps policiers communiquent entre eux par téléphone pour déterminer l'intervention appropriée et s'assurer qu'elle n'est pas réalisée en double.

M. David de Burgh Graham:

Dans le cas de l'incident dont il est question aujourd'hui, qui est, de toute évidence, un incident majeur, la GRC est-elle tenue au courant de ce qui se passe même s'il ne s'agit pas de son enquête?

Surint. pr. Mark Flynn:

Je tiens à éviter de parler de cette enquête, mais je peux vous dire que les enquêtes de ce genre feront assurément l'objet de discussions. Ces discussions ont lieu en raison des rencontres régulières que nous tenons, que ce soit au sujet des cybercrimes ou d'autres types de crimes qui sont commis dans les différentes administrations. Il est évident qu'un incident de cette ampleur fera l'objet de discussions.

Pour l'instant, je n'ai pris part à aucune de ces discussions. Je ne sais pas s'il y en a.

M. David de Burgh Graham:

Je comprends.

D'accord.

Le président:

Monsieur Drouin, bienvenue au Comité.

M. Francis Drouin (Glengarry—Prescott—Russell, Lib.):

Merci, monsieur le président.

Monsieur Flynn, merci d'être venu. Je sais que vous ne ferez pas de commentaires sur l'enquête en cours, mais, en tant que député qui représente beaucoup de membres qui ont été touchés — je l'ai moi-même été —, je m'intéresse surtout aux répercussions possibles de la fraude.

Je sais que beaucoup de Canadiens reçoivent des appels frauduleux de gens qui se font passer pour des agents de l'Agence du revenu du Canada. J'ai moi-même rappelé une personne qui prétendait travailler pour la GRC. Elle voulait obtenir de l'argent pour une personne en particulier. Elle était très exigeante et insistante. Elle m'a donné un numéro où je pouvais rappeler, que j'ai transmis à la police. Est-ce quelque chose que vous conseillez aux Canadiens de faire où, de toute évidence, la GRC ou le service de police local est le premier point de contact?

(1335)

Surint. pr. Mark Flynn:

Absolument. En fait, le Centre antifraude du Canada dispose d'un programme à cet effet et il entretient une relation étroite avec les fournisseurs de services de télécommunications, qui ont beaucoup aidé à résoudre certains des problèmes entourant le télémarketing et les fraudes massives commises au téléphone. Lorsque nous découvrons et que nous validons les numéros utilisés pour commettre des fraudes, l'industrie des télécommunications bloque ces numéros pour réduire la victimisation. Nous avons adapté certaines de nos pratiques pour faire en sorte que cela se produise beaucoup plus rapidement qu'autrefois.

M. Francis Drouin:

Selon votre expérience et ce qu'on a appris des cas de fraude, nous savons que certains fraudeurs ont peut-être mon numéro d'assurance sociale. Ils ont peut-être mon adresse de courriel ainsi que mon adresse municipale. Ils pourraient prétendre de façon très convaincante être un représentant du gouvernement ou d'une quelconque institution financière. À votre avis, quel est le meilleur moyen pour que les Canadiens se protègent?

Surint. pr. Mark Flynn:

Dans toutes les campagnes de fraude massive, que ce soit un cas comme celui-ci ou en général, les gens doivent faire preuve d'un grand scepticisme et prendre des mesures pour se protéger. Le gouvernement du Canada offre de nombreuses ressources, comme le Centre antifraude du Canada et Pensez cybersécurité, qui fournissent une liste de conseils pour les Canadiens. Essentiellement, il faut protéger ses renseignements et émettre des doutes raisonnables quand quelqu'un nous appelle. Si une banque nous appelle, il faut composer le numéro de la succursale locale. Il ne faut pas répondre au numéro qu'on a fourni ni rappeler immédiatement à ce numéro. Il faut passer par des sources fiables pour valider les questions qu'on pose.

J'ai déjà reçu des appels semblables au vôtre. J'ai reçu un appel très convaincant de ma propre banque. J'ai communiqué avec cette dernière, qui m'a indiqué que l'appel était frauduleux. C'était intéressant parce que, au bout du compte, l'appel était réel, mais nous nous sommes tous sentis très en sécurité parce que nous avions pris les mesures appropriées. Je préfère risquer de ne pas obtenir un service plutôt que de compromettre mon identité ou mes renseignements financiers.

M. Francis Drouin:

Bien, parfait.

Merci.

Le président:

Monsieur Paul-Hus, vous disposez de sept minutes. [Français]

M. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, PCC):

Merci, monsieur le président.

Merci, monsieur Flynn. Je reviendrai à vous dans quelques instants.

Le chef du Parti conservateur du Canada, Andrew Scheer, m'a demandé d'appeler nos collègues afin d'organiser cette réunion, et j'aimerais lire quelques paragraphes d'une lettre ouverte qu'il a envoyée aux médias le 12 juillet: Comme la grande majorité des Québécois et de tous les Canadiens, je suis préoccupé par la sécurité des technologies de l'information, le vol d'identité et la protection des renseignements et informations personnels. La situation est très sérieuse et je comprends l'inquiétude et l'angoisse des victimes qui craignent les effets futurs de tels vols d'information personnelles, incluant les numéros d'assurance sociale, et qui doivent y consacrer temps et énergie pour y remédier. Il est rassurant de voir que les dirigeants du Mouvement Desjardins prennent la situation au sérieux en déployant beaucoup d'énergie à protéger et rassurer leurs membres. Le gouvernement fédéral a également la responsabilité et le devoir de soutenir toutes les victimes affectés par les vols d'identités, en travaillant avec tous les acteurs du secteur pour tirer des leçons et améliorer la sécurité informatique. [...] Je veux dire aux victimes de vol d'informations, ainsi qu'à tous les Canadiens, de notre solidarité et de la volonté d'un futur gouvernement conservateur de s'attaquer aux défis de la protection des renseignements et données personnelles des Canadiens. [Traduction]

Le président:

Eh bien, nous remercions M. Scheer pour ce merveilleux message. [Français]

M. Pierre Paul-Hus:

Nous tenons à démontrer l'importance que nous accordons à ce dossier. C'est pourquoi il est important pour nous d'être ici en cette belle journée ensoleillée du 15 juillet 2019.

Monsieur Flynn, vous avez répondu à mes collègues libéraux, mais je trouve un peu faible la réponse de la GRC concernant une telle situation. Je m'explique. Il y a 2,9 millions de Canadiens, dont 2,5 millions de Québécois et quelque 300 000 Canadiens de l'Ontario et d'ailleurs au pays, qui ont un compte auprès du Mouvement Desjardins, et ces gens sont très inquiets. Nos bureaux sont constamment interpellés depuis trois semaines et on n'a pas eu de réponse du gouvernement. C'est pourquoi nous tenons cette réunion d'urgence aujourd'hui afin de déterminer ce que peuvent faire les ministères fédéraux pour aider les Canadiens.

Vous nous dites que la GRC n'est pas vraiment impliquée, mais avec son agence de cybersécurité, ses liens avec des organisations comme INTERPOL et tous les autres moyens à sa disposition, n'est-elle pas en mesure d'intervenir? Nous ne voulons pas nous immiscer dans l'enquête policière, mais nous avons appris que des données auraient été vendues à l'étranger. Alors, n'y a-t-il pas des moyens technologiques ou techniques pouvant permettre à la GRC d'intercepter d'éventuelles fraudes?

(1340)

[Traduction]

Surint. pr. Mark Flynn:

Comme je l'ai expliqué tout à l'heure, dans bon nombre des situations de ce genre, le rôle de la GRC est de collaborer avec ses partenaires provinciaux et municipaux. Il est important de reconnaître que nos partenaires provinciaux et municipaux sont très habiles pour intervenir dans beaucoup de ces incidents. Il n'est pas toujours vrai que la GRC dispose de pouvoirs, d'autorisations ou de capacités supérieurs à ceux que nos partenaires ont pour faire face à un incident unique en son genre, où une personne est impliquée dans un événement unique, contrairement à un événement plus vaste.

Toutefois, si les partenaires provinciaux et municipaux de la GRC ont besoin d'assistance technique ou de conseils, cette dernière est toujours prête à les lui offrir. Il serait inapproprié que la GRC s'immisce dans la compétence d'un autre corps policier pour diriger l'enquête qu'il mène. [Français]

M. Pierre Paul-Hus:

Je comprends ce que vous nous dites au sujet de l'enquête qui est probablement menée par la Sûreté du Québec. Cependant, ce que les conservateurs et le NPD veulent savoir, c'est ce que peut faire la GRC en ce qui concerne les données de 2,9 millions de personnes qui ont été transmises à des criminels. Je ne veux pas parler de l'enquête, je veux savoir si vous avez des ressources. Si ce n'est pas le cas, nous voulons le savoir. C'est pour cela que nous sommes ici aujourd'hui. Si des données ont été vendues à l'étranger, ce n'est pas la Sûreté du Québec ni la police de Laval qui va s'en occuper. Je crois que cela relève de la GRC. [Traduction]

Surint. pr. Mark Flynn:

Au-delà de l'enquête, je peux dire que, dans la plupart des cas, les cybercriminels commettent leurs crimes pour avoir accès à des renseignements personnels ou financiers dans le but de mettre la main sur l'argent que détiennent les institutions financières. La GRC travaille constamment en étroite collaboration avec la communauté internationale pour trouver et poursuivre les personnes qui commettent une bonne partie de ces crimes.

En collaboration avec ses partenaires étrangers, de nombreuses grandes institutions financières du Canada et l'Association des banquiers canadiens, la GRC cible les personnes qui causent les dommages les plus importants. L'équipe du Programme de prévention et de mobilisation de la Police fédérale a organisé des rencontres avec les institutions financières et les intervenants du secteur de la cybersécurité. Nous avons un nouveau comité consultatif qui nous aide à cibler ces personnes.

Le savoir est entre les mains des institutions financières et des organismes de cybersécurité. Nous consacrons nos ressources d'enquête à cibler les personnes qui causent le plus de dommages.

Nous collaborons aussi avec les autres pays. Quand des cas se produisent, nous nous entretenons avec les forces de l'ordre des autres pays. Nous signalons les comportements que nous avons constatés dans nos dossiers ou dans ceux de nos partenaires canadiens. Si des liens peuvent être faits, ou si des personnes recherchées sont dans un de ces pays, nous invoquons le traité d'entraide juridique et nous collaborons entre services de police dans le but de concentrer tous les efforts internationaux vers un problème commun.

Comme je l'ai déjà dit, je ne peux pas parler de ce cas en particulier, et je m'en excuse. Je ne peux pas dire ce qui est fait et ce qui n'est pas fait dans ce cas-ci. [Français]

M. Pierre Paul-Hus:

Depuis qu’on est au fait de ce problème, est-ce qu’une cellule spéciale a été mise sur pied à la GRC pour aider à le résoudre? [Traduction]

Surint. pr. Mark Flynn:

Je ne peux pas parler de ce cas. Ce serait inapproprié.

Le président:

Je vous remercie, monsieur Paul-Hus.[Français]

Monsieur Dubé, vous avez sept minutes.

M. Matthew Dubé (Beloeil—Chambly, NPD):

Merci, monsieur le président.

Je remercie M. Flynn d’être ici aujourd’hui.

Il est important de parler de cette situation, car les gens sont inquiets, comme mon collègue vient de le mentionner. Il est essentiel d'obtenir plus d’information sur les capacités du fédéral et les moyens dont nous disposons pour traiter cette question, d'autant plus que ce comité vient de terminer, juste avant la levée des travaux en juin, une étude sur la cybersécurité dans le secteur financier. Je reviendrai sur certains éléments auxquels nous avions touché et qui sont pertinents dans le cas qui nous concerne aujourd’hui.

J’aimerais revenir sur quelques éléments que vous avez mentionnés dans vos réponses. Tout d'abord, il y a des rumeurs selon lesquelles des données auraient été vendues à des organisations criminelles au-delà des frontières du Québec et du Canada. Je ne vais pas parler de ce cas précis, puisque vous ne pouvez pas le commenter, mais à quel moment la GRC s’active-t-elle pour venir en aide aux instances très compétentes comme la Sûreté du Québec quand il s’agit d’une organisation criminelle qu’elle surveille déjà et qui opère à l’étranger?

(1345)

[Traduction]

Surint. pr. Mark Flynn:

Nous avons régulièrement des rencontres officielles avec les autres services de police du pays. Dans le domaine de la cybercriminalité, ces rencontres ont lieu une fois par mois. Dans d'autres domaines, elles ont lieu toutes les deux semaines. Quoi qu'il en soit, lorsqu'un cas comme celui-ci se produit, des appels sont immédiatement faits, comme vous le décrivez, pour que la collaboration fonctionne et que les renseignements pertinents que détiennent nos partenaires étrangers puissent servir aux enquêtes. [Français]

M. Matthew Dubé:

Merci.

En parlant des pouvoirs et des capacités de la police municipale, de la Sûreté du Québec et de la police provinciale de l'Ontario, vous avez dit qu'elles avaient des compétences importantes en matière de cybersécurité. Est-ce que la GRC détient une certaine expertise unique ou des informations qui pourraient leur être utiles?

Je pose la question parce que c'est que le gouvernement s'est vanté de la consolidation des compétences du CST, de la GRC et de toutes les agences qui œuvrent dans le domaine de la cybersécurité en nous disant qu'il voulait assurer une mise en commun de l'information afin que tout le monde soit sur la même longueur d'onde. D'ailleurs, j'y reviendrai quand ce sera le tour de M. Boucher, du Centre canadien pour la cybersécurité.

Est-ce que vous fonctionnez de la même façon avec la police municipale ou provinciale, le cas échéant? [Traduction]

Surint. pr. Mark Flynn:

Oui, c'est ce que nous faisons. Comme je l'ai dit, nous travaillons en étroite collaboration avec les services de police provinciaux et municipaux. En fait, je peux vous dire — et j'en suis très fier — que pendant certaines de ces rencontres, où l'équipe du Programme de prévention et de mobilisation de la Police fédérale avait réuni des intervenants du secteur privé, du secteur de la cybersécurité et des institutions financières, quelqu'un dans la salle a tenu à prendre la parole pour remercier la GRC de cette collaboration dans le domaine de la cybersécurité, qui était beaucoup mieux que cette personne n’avait jamais pu constater dans sa carrière.

J'en suis très fier parce que la collaboration et le soutien entre les forces de l'ordre, et non la concurrence, c'est une priorité pour mon équipe, mes employés et moi-même. Nous ne nous substituons pas aux autres services de police, nous cherchons à les aider. [Français]

M. Matthew Dubé:

Merci. Je ne veux pas vous couper la parole, mais le temps file.

Dans le cadre de notre étude sur la cybersécurité dans le monde financier, nous avons parlé du fait qu'on a tendance à se faire une image des acteurs étatiques. Sans les nommer, je suis certain que tout le monde a une idée des différents pays qui pourraient porter atteinte à la cybersécurité au Canada.

Je comprends que vous ne pouvez pas en parler, mais dans le cas qui nous concerne, on parle d’un individu. Il pose néanmoins une menace, car les données en question peuvent être vendues et se retrouver entre les mains d'acteurs étatiques. Une des choses que nous avons entendues, c'est que les individus posent la plus grande menace. Est-ce que c’est toujours le cas? Est-ce qu’un criminel qui voudrait procéder à un vol de données pose une plus grande menace que certains pays qu'on pourrait soupçonner?

(1350)

[Traduction]

Surint. pr. Mark Flynn:

L'origine de la menace est multiple. Je ne peux pas dire laquelle des origines possibles est la pire parce que, selon mon expérience, il y a un nombre considérable de groupes organisés et de personnes qui commettent des crimes sur Internet. Internet est tout aussi bien un catalyseur qu'un outil permettant d'utiliser et de mettre à profit les extraordinaires services qui nous sont offerts. [Français]

M. Matthew Dubé:

Je vais vous interrompre parce que mon temps de parole tire à sa fin.

La présence de groupes organisés ou de pays avec de mauvaises intentions et qui voudraient acheter les renseignements a-t-elle créé une espèce de marché? Y a-t-il un mauvais incitatif, mais néanmoins un incitatif, pour un individu comme l'individu allégué en question, de voler des renseignements pour ensuite les vendre à des groupes intéressés? La présence de tels groupes incite-t-elle des individus ayant une expertise en la matière à poser des gestes qu'ils ne poseraient pas normalement? [Traduction]

Surint. pr. Mark Flynn:

Oui, tout à fait. Il y a des services de cybercriminalité qui aident d'autres acteurs moins compétents à commettre des crimes sur Internet, qu'il s'agisse de créer des logiciels malveillants, de faire fonctionner les infrastructures ou de créer les mécanismes par lesquels quelqu'un peut vendre de l'information volée. C'est l'une des cibles visées par la GRC dans le cadre de son mandat fédéral. Elle cible les principaux services qui facilitent les crimes afin de s'attaquer plus efficacement aux crimes commis au lieu de pourchasser individuellement les criminels. [Français]

M. Matthew Dubé:

Je vous remercie encore d'avoir pris le temps de nous rencontrer aujourd'hui. [Traduction]

Le président:

Je vous remercie, monsieur Dubé.

M. André Boucher, du Centre de la sécurité des télécommunications, vient de se joindre à nous. Je lui donne la parole pour qu'il puisse faire sa déclaration préliminaire.

Je vais redire ce que j'ai déjà dit au surintendant Flynn, c'est-à-dire que les déclarations courtes valent mieux que les longues, car les participants ont plus de temps pour poser des questions.

Monsieur Fortin, je vois que vous voulez... [Français]

M. Rhéal Fortin (Rivière-du-Nord, BQ):

Si vous me le permettez, monsieur le président, j'aimerais m'adresser aux témoins. Je ne sais pas si c'est prévu dans votre ordre du jour. Si oui, j'aimerais avoir quelques instants. [Traduction]

Le président:

Non, ce n'est pas prévu. Je regrette, mais vous ne pourrez pas vous adresser aux témoins. [Français]

M. Rhéal Fortin:

Non? [Traduction]

Le président:

Non, pas maintenant. Nous en sommes encore au premier groupe.

Monsieur Boucher, comme je le disais, plus ce sera court, mieux ce sera. Je vous remercie. [Français]

M. André Boucher (sous-ministre adjoint, Opérations, Centre canadien pour la cybersécurité, Centre de la sécurité des télécommunications):

Merci, monsieur le président. Comme vous l'avez demandé, ma présentation sera plutôt courte.

Monsieur le président et distingués membres du Comité, je m'appelle André Boucher. Je suis sous-ministre délégué des opérations au Centre canadien pour la cybersécurité.

Tout d'abord, je vous remercie d'avoir accepté de nous recevoir et d'entendre mon témoignage cet après-midi.

En guise de préambule, permettez-moi de vous présenter brièvement l'organisme que je représente.

Le Centre canadien pour la cybersécurité a été institué le 1er octobre 2018 et relève du Centre de la sécurité des télécommunications. À titre d'autorité canadienne en matière de cybersécurité, l'organisme dirige les interventions du gouvernement suivant des événements liés à la cybersécurité.

Notre équipe nationale d'intervention travaille étroitement avec les ministères, les propriétaires et les exploitants d'infrastructures essentielles, les entreprises canadiennes et les partenaires internationaux pour intervenir en cas d'incidents de cybersécurité ou pour atténuer les conséquences qui découlent de ces incidents. Ce faisant, nous offrons des conseils et du soutien d'expert et coordonnons les communications d'information ainsi que les interventions en cas d'incident.

Les partenariats que le Centre canadien pour la cybersécurité établit avec les intervenants de l'industrie représentent un élément clé de notre mission. Nous avons pour objectif de promouvoir l'intégration de la cyberdéfense dans le modèle d'affaires de nos partenaires de l'industrie, ce qui aura pour effet d'accroître le niveau global de résilience du Canada à l'égard des cybermenaces. Or, malgré les efforts que l'industrie et le Centre ont à déployer, force est de constater que des cyberincidents ont tout de même lieu.

Cela m'amène à aborder le sujet dont j'aimerais vous entretenir cet après-midi. Il convient tout d'abord d'indiquer que le Centre canadien pour la cybersécurité n'est en mesure de fournir aucun détail concernant l'incident en question et qu'il n'émettra aucun commentaire quant aux pratiques de cybersécurité d'une entreprise particulière ou d'un individu. Au reste, toute forme d'atteinte à la cybersécurité peut être vue comme une occasion de réévaluer ses propres pratiques et de renforcer les systèmes, les processus ainsi que les mesures de protection.

Dans le cas présent, les articles de médias et les déclarations publiques indiquent qu'une divulgation de renseignements personnels a eu lieu suivant des actes commis par un individu œuvrant pour l'entreprise en cause, ce que l'on appelle communément une menace interne.[Traduction]

Dans sa récente publication intitulée Introduction à l'environnement de cybermenaces, le Centre pour la cybersécurité décrit la menace interne comme étant ces individus qui travaillent dans un organisme, mais que l'on considère comme particulièrement dangereux, puisqu'ils ont accès à des réseaux internes qui sont protégés par des périmètres de sécurité. Pour tout intervenant malintentionné, l'accès est l'élément déterminant. Comme ils jouissent d'un accès privilégié aux données protégées par l'organisme qui les emploie, les auteurs de menace internes ne sont pas contraints de recourir aux méthodes que l'on doit normalement appliquer à distance, ce qui leur permet de collecter assez aisément de précieux renseignements. De fait, cet incident nous rappelle l'importance du facteur humain en matière de cybersécurité. Or, les menaces internes ne sont qu'un exemple de ce type de problème.

Les cybercriminels ont été particulièrement ingénieux lorsqu'il s'est agi d'exploiter le comportement humain à des fins de piratage psychologique et d'inciter les personnes à divulguer, bien qu'à leur insu, des renseignements sensibles. La sécurité de nos systèmes dépend essentiellement de la fiabilité des humains, c'est-à-dire les utilisateurs, les administrateurs et les équipes responsables de la sécurité.

Il convient donc de nous demander ce que nous pouvons faire dans un environnement où les cybermenaces se multiplient. Sur le plan de l'entreprise, il est capital d'adopter une approche globale qui se caractérise d'abord par la promotion d'une culture de sécurité et par la mise en place des politiques, des procédures et des pratiques nécessaires en matière de cybersécurité. Nous disposerons ainsi d'un plan d'intervention en cas de problèmes; et nous savons que des problèmes, il y en aura toujours.

Il faut investir pour que les personnes détiennent les moyens d'agir. La formation et la sensibilisation des personnes et des entreprises s'avèrent essentielles. Ce n'est que par la sensibilisation que nous pourrons continuer de développer et d'inculquer de bonnes pratiques de sécurité, une mesure essentielle pour protéger les systèmes informatiques du Canada.

Il faut également déterminer et protéger les actifs essentiels. Il importe de savoir où se trouvent les données clés. Assurez-vous donc de leur protection et surveillez les mesures de protection prises. Soyez prêts à intervenir.

Au Centre pour la cybersécurité, nous continuerons à travailler avec les intervenants de l'industrie ainsi qu'à fournir des conseils et des avis en matière de cybersécurité par l'intermédiaire de notre site Web. En l'occurrence, nous publions des alertes et des avis lorsque des cybermenaces, des vulnérabilités ou des incidents possibles, imminents ou réels touchent ou pourraient toucher les infrastructures essentielles du Canada.

Quoi qu'il advienne, il conviendra de poursuivre le dialogue que nous tenons présentement, de redoubler de vigilance et de porter une attention particulière aux enjeux de cybersécurité.

En dernière analyse, on constate qu'il n'existe aucun remède miracle lorsqu'il est question de cybersécurité. Il nous est donc interdit de baisser la garde. Les enjeux sont beaucoup trop importants. Certes, les prochaines avancées technologiques pourraient très bien nous faciliter la tâche, mais il n'en demeure pas moins que nous devrons toujours pouvoir compter sur un effectif compétent et fiable.

Je vous remercie, et je suis maintenant disposé à répondre à vos questions.

(1355)

Le président:

Je vous remercie, monsieur Boucher.

Nous passons maintenant à M. Picard, qui dispose de sept minutes. [Français]

M. Michel Picard (Montarville, Lib.):

En guise de préambule, je rappelle que l'incident dont nous parlons aujourd'hui s'inscrit tout à fait dans l'étude que nous faisons depuis le mois de janvier sur la cybersécurité et les crimes financiers.

J'ai déposé une motion pour que nous fassions une étude sur ce sujet, tel que suggéré par mes collègues libéraux. Cela démontre notre grande préoccupation au sujet de la cybersécurité dans les institutions financières. Je me réjouis que M. Scheer ait salué les efforts que nous avons faits dans le cadre de cette étude. Finalement, il est tout à fait d'accord sur mon initiative et je suis content qu'on contribue aux efforts du Parti libéral pour traiter des préoccupations liées à cybersécurité dans les institutions financières. Alors, merci.

Monsieur Flynn, je pense qu'il est important de s'adresser au public maintenant et de gérer ses attentes dans une situation aussi grave qu'un vol d'identité.

On souhaite que la police intervienne dans l'enquête criminelle. Pour la plupart, les gens veulent qu'on remédie à la perte de leurs données et que leur identité soit restaurée, sans crainte qu'on l'usurpe à nouveau dans 5, 10 ou 15 ans. Quelles sont les attentes du public relativement aux résultats de l'enquête criminelle? [Traduction]

Surint. pr. Mark Flynn:

Du point de vue des services de police, je crois que les gens s'attendent à ce qu'ils trouvent l'auteur du vol ou de la monétisation des données ainsi que tous ceux qui y ont participé de quelque façon, que ce soit par l'intermédiaire de cybermenaces, de cybercompromissions, de menaces internes, et j'en passe. Ils s'attendent à ce que ces personnes répondent de leurs actes devant la justice, à ce qu'il y ait des conséquences, puis à ce que l'on prenne des mesures pour éviter que de tels incidents se reproduisent. [Français]

M. Michel Picard:

Les gens ont beaucoup de mal à comprendre jusqu'à quel point c'est difficile de prouver qu'on est bien la personne qu'on prétend être. De quelle façon peut-on prouver sa propre identité? Ce sera un grand défi lorsque trois personnes se présenteront avec le même nom et le même numéro d'assurance sociale éventuellement.

(1400)

[Traduction]

Surint. pr. Mark Flynn:

En tant qu'agent de police, la confirmation de l'identité n'est pas mon domaine de compétence. Comme je l'ai dit plus tôt, je me tournerais vers les ressources locales, qu'il s'agisse d'institutions financières ou d'autres types de services. Si vous pouvez utiliser un service local pour confirmer votre identité, c'est la meilleure façon de gérer les demandes des entreprises à cet effet. [Français]

M. Michel Picard:

Dans une certaine mesure, l’enquête criminelle va rendre justice. Si on met la main au collet des criminels à la suite du dépôt de la preuve, on les poursuivra en justice et il y aura une conséquence judiciaire, essentiellement leur emprisonnement.

Cela dit, la donnée sur le marché représente un actif virtuel et ne se trouve pas dans un endroit physique donné; elle peut être à plusieurs endroits. Je ne veux pas alarmer les gens, mais il est important qu'ils réalisent que, bien qu’on ait arrêté les criminels, cela ne veut pas dire nécessairement que la donnée a été éliminée et que l'identité a été restaurée. [Traduction]

Surint. pr. Mark Flynn:

C'est exact. Il est important de souligner que les poursuites ne sont pas forcément le seul indicateur de réussite. En fait, dans le milieu du cyber, beaucoup de poursuites peuvent, au fil de nos collaborations, relever d'autres compétences.

Une des approches adoptées par la GRC, tout comme d'autres corps policiers d'ailleurs, est d'inclure des institutions financières et des experts en cybersécurité dans nos enquêtes criminelles, ce qui ne correspond pas à la façon dont nous procédons habituellement. Toutefois, nous en constatons déjà les résultats, puisque nous en tirons des avantages importants. Ces « partenaires », comme je les appelle, repèrent des renseignements qui ne paraissent pas forcément importants aux policiers. Sans leur aide, nous ne pourrions peut-être pas savoir que ces renseignements peuvent servir à protéger leurs clients. Je connais au moins un exemple dans le cadre d'une enquête majeure en cours où, grâce à une telle collaboration, plusieurs institutions financières ont pu repérer des comptes compromis et en atténuer les vulnérabilités.

Je crois donc que l'approche que nous avons adoptée engendre des avantages qui ne se quantifient pas seulement en arrestations et en poursuites. [Français]

M. Michel Picard:

Monsieur Boucher, vous avez une approche-conseil auprès des organismes. Comment une entreprise peut-elle se protéger de ses propres employés? Quels conseils peut-on lui donner à cette fin?

Comme on l’a vu cet hiver, il n'y a aucune raison de croire que les banques, les institutions financières et les entreprises de services financiers ne profitent pas de la meilleure technologie possible pour protéger leurs données des menaces extérieures. Ce qui nous préoccupe, ce sont les menaces qui viennent de l'intérieur. À mon avis, il n’y a pas de logiciel qui aide à contrer ce genre de risque. Quelle approche conseil avez-vous auprès des organismes pour couvrir le risque humain de fraude?

M. André Boucher:

Je vous remercie de votre question.

Cela revient à mes commentaires d'ouverture. Il existe quelques outils, mais ce qui est le plus efficace, c'est de retourner aux principes de base et d’avoir une approche holistique et large en matière de sécurité.

Il faut d'abord avoir un programme de sécurité bien établi relativement au personnel à l'interne, bien comprendre où sont les choses qu’on veut protéger, connaître les individus avec qui on s’associe et avoir un programme toujours renouvelé. Ce n’est pas parce qu’on rencontre quelqu’un une fois dans une entrevue que sa situation de vie ne va pas changer. On renouvelle périodiquement ces conversations. Pour les individus, il y a un programme clair d’entraînement, de formation et de rafraîchissement des connaissances, lequel est soutenu par des processus clairs.

Les équipes de technologie de l’information ont accès à certains outils de prévention de la perte de données, notamment, qui peuvent contribuer à la détection d'une fraude. Cependant, par le temps qu'on détecte une fraude, il est souvent trop tard. Il est donc important d’investir le plus tôt possible dans l'édification d'une confiance et de s’entourer de gens fiables. [Traduction]

Le président:

Merci, monsieur Picard.

Monsieur Motz, vous avez cinq minutes.

M. Glen Motz (Medicine Hat—Cardston—Warner, PCC):

Merci, monsieur le président.

Je remercie tous les témoins de s'être déplacés.

Monsieur Boucher, vous avez déclaré dans vos commentaires d'ouverture que le Centre canadien pour la cybersécurité est l'autorité nationale en matière de cybersécurité et dirige la réponse du gouvernement en cas d'incident lié à la sécurité informatique, ce qui a attiré mon attention: Notre équipe nationale d'intervention travaille étroitement avec les ministères, les propriétaires et les exploitants d'infrastructures essentielles, les entreprises canadiennes et les partenaires internationaux pour intervenir en cas d'incidents de cybersécurité ou pour atténuer les conséquences qui découlent de ces incidents.

C'est fantastique. Et cela m'amène aussi à vous poser la question suivante: quelles sont les normes ou mesures appliquées à l'heure actuelle? Pour nous, le système bancaire canadien est une infrastructure essentielle de notre pays. Quelles sont les normes appliquées actuellement pour veiller à ce que ces attentes soient respectées? Y a-t-il des incitatifs? Y a-t-il des pénalités? Y a-t-il quoi que ce soit qui assure une approche uniforme au sein de ce secteur pour veiller à la sécurité des Canadiens? Nous sommes là pour servir les Canadiens. Je serais curieux de savoir s'il y a des exigences opérationnelles de base auxquelles tous les acteurs du secteur doivent se plier. S'il n'y en a pas, pouvez-vous me dire pourquoi? Et comment pouvons-nous en établir?

(1405)

M. André Boucher:

Je vous remercie pour votre question. Sa portée est très large. Je crois que, cet après-midi, vous entendrez des experts de ce secteur précis des institutions financières.

Je vous dirais que, du point de vue de la cybersécurité, le secteur financier est fort développé, puisqu'il comprend tant des organismes de réglementation que des pratiques exemplaires bien établis. En tant qu'experts de la cybersécurité, nous déployons des efforts considérables pour qu'une telle collaboration s'inscrive dans ces pratiques exemplaires. Nous laissons les organismes de réglementation du secteur établir les normes et lignes directrices de base, les revoir et assurer leur application. En fait, nous misons sur ce que chacun a de mieux à offrir et en tirons le maximum dans des secteurs en entier. Dans le cas présent, il s'agit du secteur financier. C'est l'un des secteurs très développés où la collaboration va de soi. C'est un secteur qui accorde sa véritable valeur aux risques pour la réputation. Des investissements majeurs sont faits à cet égard.

Sur le plan national, je crois que la présence de normes de base et d'organismes de réglementation qui veillent à leur application, sans compter des équipes qui s'emploient à aider les entreprises à offrir le meilleur rendement possible, est fort rassurante.

M. Glen Motz:

Environ 2,9 millions de particuliers et d'entreprises au Canada sont touchés par cet incident, mais des millions d'autres au pays ont aussi été victimes d'un vol d'identité ou de renseignements relatifs à leur carte de crédit. Le fait d'apprendre que notre secteur bancaire est bien développé ne suffira peut-être pas à les réconforter, puisqu'ils continuent de subir les répercussions de ce méfait. Je serais curieux de savoir si nous sommes aussi énergiques que nous pourrions ou devrions l'être quant à la sécurité des institutions financières et des personnes qui leur accordent leur confiance.

M. André Boucher:

Je vous assure que nous mettons énergiquement à profit toutes les mesures à notre disposition, qu'il s'agisse de pratiques exemplaires en matière de collaboration ou de mesures en place.

La triste réalité, comme je l'ai mentionné plus tôt, c'est que nous devons malheureusement tous vivre avec la perte de données et le fait que nous ne pourrons jamais les récupérer. Contrairement à un actif tangible, il n'est pas possible d'aller les chercher pour les ramener à la maison. C'est une nouvelle réalité, tant pour les clients que les entreprises.

Comme je l'ai souligné un peu plus tôt, cela vient confirmer toute l'importance d'investir tôt, tant dans l'acquisition de programmes que dans le recrutement mieux avisé des employés et l'adoption d'une approche globale en matière de sécurité afin de ne pas se retrouver en position de rattrapage.

M. Glen Motz:

D'accord, merci.

Monsieur Flynn, les circonstances actuelles et d'autres avant cela nous ont appris que les données constituent la marchandise la plus courue sur le Web profond. Nous le savons. Le nom, l'adresse, la date de naissance, le numéro d'assurance sociale, l'adresse IP et le courriel des gens, toutes ces données sont de la marchandise échangée à volonté en ligne. Quelques questions me viennent d'ailleurs à l'esprit. Pouvez-vous aider la population canadienne à comprendre de quelle façon le milieu interlope utilise ces renseignements, mais aussi de quelle façon nous pouvons faire preuve de vigilance? Vous avez déjà partiellement répondu à M. Drouin, mais, en votre qualité de représentant de l'organisme national d’application de la loi, à quels signaux d'alarme les Canadiens devraient-ils prêter attention, selon vous, si leurs données ont été compromises, et même avant qu'elles le soient?

Le président:

Monsieur Motz pose là une question importante. Malheureusement, il n'a plus de temps pour la réponse. Je vous invite donc à inclure votre réponse dans celle que vous ferez à une autre question. La séance dure trois heures et, si je ne respecte pas le temps alloué à chacun, nous ne nous en sortirons pas.

Madame Dabrusin, je vous en prie. Vous avez cinq minutes.

(1410)

[Français]

Mme Julie Dabrusin (Toronto—Danforth, Lib.):

Merci.

Quand nous avons fait notre étude au sujet des associations bancaires et de la cybersécurité, on a dit qu'il y avait beaucoup de sécurité du côté bancaire, ce qu'on remet peut-être en question maintenant, et on a parlé des individus comme s'ils étaient des boîtes de carton.

Qu'est-ce que les individus peuvent faire pour mieux se protéger? Pouvez-vous nous donner des informations et des données? Y a-t-il un endroit où les gens peuvent trouver de l'information, que ce soit sur des sites Web ou par téléphone, afin de mieux se protéger? Pouvez-vous nous aider, monsieur Boucher?

M. André Boucher:

Je vous remercie de votre question.

Nous avons un très grand programme. Sur notre site Web, cyber.gc.ca, les gens peuvent trouver des mesures appropriées pour les individus. Effectivement, l'individu doit être alerte lorsqu'il navigue sur Internet. Cela est au cœur de la cybersécurité. Il faut savoir non seulement comment utiliser Internet, mais aussi ce qu'on met en commun avec les gens. Nous menons constamment des campagnes d'information sur l'utilisation des appareils et nous conscientisons les gens à l'importance de choisir ceux à qui ils communiquent de l'information privilégiée.

C'est une chose de se munir du meilleur appareil et de le tenir à jour, mais encore faut-il faire de bons choix. Il faut aller sur des sites Web d'entreprises qu'on considère comme fiables et qui ont une bonne réputation. Une fois qu'on a fait tout cela, il faut aussi choisir les renseignements qu'on transmet à l'entreprise en question. Il y a donc trois étapes, et toute cette information est disponible dans les avis que nous donnons aux gens.

Mme Julie Dabrusin:

D’accord.

Il y avait aussi beaucoup d’information au sujet des mots de passe. Par exemple, on parlait des gens qui utilisent le même mot de passe pour toutes leurs activités sur Internet.

Est-ce que vous pouvez nous donner des informations sur les façons dont les gens peuvent mieux se protéger avec leurs mots de passe? C'est important.

M. André Boucher:

Oui. Sur notre site Web — j'en fais toujours la promotion —, nous donnons des conseils précis sur la longueur et la complexité des mots de passe. Il y a aussi quelques trucs. Je veux laisser la chance aux gens d'aller en prendre connaissance par eux-mêmes. Il y a souvent des rumeurs disant qu’il faut changer souvent son mot de passe. Le problème, c'est que cela signifie que l'on doit mémoriser plusieurs mots de passe qui sont constamment en changement. Au fil du temps, l’avis a évolué. Maintenant, on dit qu'il faut au moins choisir un mot de passe solide, ce qui est défini par certains paramètres, que l'on peut trouver en ligne, qu'il s'agisse de la longueur ou de la complexité, selon ce que le fournisseur offre. S'il offre d’utiliser 15 caractères, on doit essayer de tous les utiliser. Si on ne nous en offre que huit, c’est déplorable, mais on doit alors choisir un mot de passe plus complexe.

Changer souvent son mot de passe n'a pas beaucoup de valeur si cela nous force à les noter quelque part ou à utiliser le même sur plusieurs sites. Ce que nous demandons aux gens, c’est d’être diligents et de choisir un mot de passe unique et aussi fort que le permettent les paramètres du fournisseur. Ils peuvent garder le même mot de passe, mais s’il y a un incident, ils doivent réagir rapidement, le changer et mettre en place des mesures de sécurité additionnelles. Il y a donc une combinaison de choses à faire.

Mme Julie Dabrusin:

L’autre problème, c'est qu’une fois qu'ils ont trouvé un mot de passe qui fonctionne bien, les gens l’utilisent sur tous les sites Web. Certains sites Web nous disent qu’on a besoin de plus de caractères ou d’autres choses, mais on ne nous rappelle jamais que nous devrions avoir d’autres mots de passe et non utiliser le même partout. Est-ce que vous pouvez dire quelque chose à ce sujet aussi?

M. André Boucher:

Là, vous me demandez d’être très pragmatique.

Mme Julie Dabrusin: Oui, mais c’est pragmatique.

M. André Boucher: Si je vais au-delà du conseil spécifique d’être très pragmatique, ce que je proposerais aux gens, c’est de regrouper leurs mots de passe selon le niveau d’incertitude qu'ils ont à l'égard des différents services qu'ils utilisent. Par exemple, pour leurs services bancaires, ils voudront utiliser plusieurs mots de passe distincts et les plus complexes possible. Par contre, pour leur compte sur le site de leur club local de curling ou d'autres comptes similaires, ils pourraient peut-être se donner la latitude d’utiliser le même mot de passe quelques fois, même si je ne le leur recommande pas.

Mme Julie Dabrusin:

Qu’est-ce que les banques peuvent faire pour donner de meilleures informations aux gens qui utilisent leurs services?

M. André Boucher:

Je crois que la plupart, sinon toutes les banques demandent un minimum de sophistication quant au mot de passe. Elles ont déjà établi une certaine norme pour se protéger elles-mêmes d’un client qui ne serait peut-être pas diligent dans la sélection de son mot de passe. [Traduction]

Le président:

Merci, madame Dabrusin.

Bienvenue au Comité, monsieur Clarke. La parole est à vous. Vous avez cinq minutes. [Français]

M. Alupa Clarke (Beauport—Limoilou, PCC):

Merci, monsieur le président. Je suis très content d’être ici.

Je vous remercie, messieurs, d’être ici aujourd’hui et de donner de votre temps pour rassurer les Canadiens et répondre à nos questions.

Une des pierres angulaires du contrat social que nous avons sur notre territoire, c’est la protection des citoyens, non seulement celle qu'ils s'offrent réciproquement entre eux, mais aussi celle qu'ils reçoivent de l'État. Depuis trois semaines, les citoyens de toutes nos circonscriptions sont extrêmement préoccupés. Deux jours après que la fuite de données a été rendue publique, des gens venaient à mon bureau. Lorsque je faisais du porte-à-porte, c'est tout ce dont ils me parlaient. Il y a donc une vraie préoccupation et les gens sentent qu’il n’y a aucune réponse de la part du gouvernement.

Ce que mes concitoyens voudraient savoir de votre part, monsieur Boucher, est très simple: est-ce que le Centre canadien pour la cybersécurité peut effectivement assurer la sécurité en bonne et due forme des 2,9 millions de Canadiens qui ont été touchés par ce vol de données personnelles, oui ou non?

Est-ce que votre institution a les outils nécessaires pour faire face à cette situation et assurer la protection des citoyens victimes de vol d'identité?

(1415)

M. André Boucher:

Il est juste de dire que le Centre canadien pour la cybersécurité a les moyens de prendre des mesures concernant tous les aspects de la cybersécurité. Nous traitons aujourd'hui d'un cas de menace interne et de vol d’informations. Ce n’est pas, au sens strict, une question de cybersécurité...

M. Alupa Clarke:

Je ne parle pas de l’événement qui est arrivé, je parle de ce qui va arriver prochainement. C’est cela qui inquiète les citoyens. Je veux savoir si le Centre canadien pour la cybersécurité a la capacité de faire face aux fraudeurs internationaux ou nationaux qui tentent d’envoyer des messages textes ou quoi que ce soit.

Votre organisme a-t-il la capacité de faire face à cela?

M. André Boucher:

Je ne tente pas d'échapper à votre question, mais elle concerne plutôt un problème de loi ou de fraude, et non un problème de cybersécurité. Cela ne veut pas dire que, si nous voyons des manifestations, nous les ignorerions.

Nous commençons chaque journée en discutant avec nos partenaires, incluant ceux de la GRC, afin de leur faire part de ce que nous savons et de ce qu'il y a de nouveau. Nous nous assurons que l'intervenant responsable du dossier fera quelque chose de cette information. L'équipe nationale est la meilleure qui soit et ces gens ne vont rien laisser tomber. Ils vont tenter de régler les problèmes et de faire le maximum pour prendre soin de la sécurité des Canadiens.

M. Alupa Clarke:

Je vais profiter de votre expertise en cybersécurité.

Notre système actuel de numéros d'assurance sociale est-il adéquat dans ce monde contemporain où Internet prend toute la place? C'est rendu à un point où les gens font leurs achats avec leur téléphone ou paient en quelques secondes à une caisse. Notre système de numéros d'assurance sociale est-il adéquat dans le monde dans lequel nous vivons aujourd'hui?

M. André Boucher:

Je vous remercie encore de votre question. Vous ne posez pas des questions faciles, monsieur Clarke.

Je ne suis pas un expert en numéros d'assurance sociale et leur utilisation, mais je peux parler d'identifiants. Quels que soient les identifiants dont on se munit, que ce soit des identifiants cryptologiques complexes ou simples, il y a toujours un problème de gestion de l'information et de vol possible de l'information. C'est un problème très complexe et je vais laisser aux experts en numéros d'assurance sociale le soin de répondre à l'aspect spécifique de votre question.

Selon moi, le problème plus large est la gestion des identifiants. C'est un morceau d'information clé qu'il faut apprendre à gérer dans les systèmes de sécurité larges dont je parlais.

M. Alupa Clarke:

Monsieur le surintendant, j'ai une question qui va dans le même sens que celle de mon collègue M. Motz.

Tous les gens qui m'ont abordé dans la rue, au bureau ou lors d'un porte-à-porte m'ont posé la même question. Ils m'ont demandé quels actes criminels ces fraudeurs commettront ultérieurement et à quoi il faut s'attendre. Quels actes criminels seront posés en ce qui concerne les 2,9 millions de Canadiens touchés par cette immense fuite de données?

Ensuite, dans combien de temps ces actes seront-ils posés? En ce moment, les médias disent toutes sortes de choses. On dit notamment que cela prendra cinq ou dix ans avant que les fraudeurs n'agissent et qu'ils attendront que la poussière retombe. [Traduction]

Le président:

Ici encore, la question est importante. Vous avez une quinzaine de secondes pour y répondre.

Surint. pr. Mark Flynn:

Le fait est que, dès que des renseignements personnels, des mots de passe, etc. se retrouvent sur Internet, ils y demeurent à perpétuité. Les gens doivent être vigilants par rapport à cela, et utiliser les services à leur disposition, comme la surveillance du crédit, pour s'assurer que des déclencheurs sont activés quand quelqu'un essaie d'utiliser ces renseignements, ce qui les prévient et contribue à lutter contre la fraude.

C'est ce que je peux vous dire avec le temps qui m'est imparti.

(1420)

Le président:

Merci, monsieur Clarke.

Monsieur Graham, vous avez cinq minutes. [Français]

M. David de Burgh Graham:

Il y a une quinzaine d'années, j'étais sur un canal d'IRC — je ne sais pas si vous connaissez cela —, et quelqu'un y offrait des numéros de cartes de crédit avec les trois chiffres derrière ainsi que l'adresse; tout était prêt. Il demandait aux gens s'ils souhaitaient les acheter. Je trouvais que cela n'avait pas d'allure et j'ai voulu appeler la police ou différents services, mais personne ne répondait ou ne savait quoi faire.

Si quelqu'un voyait quelque chose de semblable sur Internet aujourd'hui, y a-t-il un endroit où il pourrait le rapporter? [Traduction]

Surint. pr. Mark Flynn:

La GRC, en collaboration avec la Police provinciale de l'Ontario et le Bureau de la concurrence, exploite le Centre antifraude du Canada. C'est l'un des meilleurs endroits où signaler des activités frauduleuses, que ce soit un numéro de téléphone utilisé par les fraudeurs, un vol d'identité ou un cas de fraude. Le Centre compile ce type de renseignements. Il les transmet. Des enquêtes policières sont lancées d'après ces renseignements. C'est le premier endroit où vous devriez appeler, de même qu'à votre poste de police.

Les forces de l'ordre locales, que ce soit la GRC ou un autre corps policier dans le cas de l'Ontario et du Québec, doivent être mises au courant des crimes perpétrés. Il y a un lien entre le crime organisé impliqué dans les cas de fraude et les autres activités criminelles. [Français]

M. David de Burgh Graham:

Quels sont les pouvoirs du Centre canadien pour la cybersécurité? Que peut-il faire?

M. André Boucher:

Parlez-vous en général ou du cas qui nous occupe?

M. David de Burgh Graham:

Je parle en général. Les gens de ce centre prennent-ils les commentaires de l'extérieur ou travaillent-ils seulement avec les entreprises? Expliquez-moi ce qu'ils font.

M. André Boucher:

Comme je l'expliquais tout à l'heure, le Centre canadien pour la cybersécurité est responsable de donner des avis. Il prépare et protège l'information d'intérêt national. Il s'occupe de la gestion des incidents et des stratégies d'atténuation qui s'ensuivent. Toutes les étapes se déroulent en coordination avec les partenaires du Centre, conformément à son mandat. Quand il y a des problèmes de fraude, on fait appel à l'équipe nationale, qui est formée des centres qui ont déjà été nommés. On s'assure que l'information disponible est mise en commun et on va de l'avant. Le dossier se poursuit, et si plus d'information est disponible, on la transmet à la personne responsable.

Voici ce que ce modèle d'affaires a d'intéressant. S'il survient un changement pendant que le dossier est en cours, par exemple s'il ne s'agit plus d'une enquête, le Centre canadien pour la cybersécurité va le prendre en charge jusqu'à ce que la victime ait eu... jusqu'à la fermeture du dossier, si vous voulez.

M. David de Burgh Graham:

Tout à l'heure, on a parlé de mots de passe. Maintenant, on voit beaucoup plus l'authentification de deux facteurs en ce qui concerne les comptes de banque. Pourrait-on faire la même chose pour le numéro d'assurance sociale?

M. André Boucher:

Je vais répondre la même chose que tout à l'heure. Je ne suis pas un expert en numéros d'assurance sociale, mais nous recommandons fortement aux gens, quand c'est possible, de se servir des deux facteurs. Ce n'est pas parfait, mais cela améliore la sécurité de leurs renseignements.

M. Michel Picard:

J'aimerais revenir sur la question de l'identifiant unique.

Il y a d'autres modèles. Dans d'autres comités, on a parlé du fameux modèle de l'Estonie, je crois. Ce système va dans le sens des discussions que nous avons eues sur le système bancaire ouvert, où toute l'information est centralisée et où les gens peuvent y avoir accès en fournissant un numéro d'identification unique.

Au bout du compte, peu importe le nom qu'on lui donne, le numéro d'assurance sociale est un numéro d'identification unique. Il faut comprendre les limites de notre système. On a beau avoir un système ultra moderne et par excellence, si on revient à une seule et unique façon d'identifier quelqu'un, la donnée sera toujours vulnérable si quelqu'un met la main dessus.

M. André Boucher:

Tout à fait. On ne peut pas les nommer aujourd'hui, mais plusieurs pays ont tenté d'avoir un numéro d'identification unique national. Quelques-uns ont connu du succès et d'autres, un peu moins, parce que, comme vous l'avez dit, ce numéro devient une donnée essentielle et que, s'il y a la moindre faiblesse, il risque d'être exploité.

M. Michel Picard:

Votre organisation gère-t-elle elle-même les données personnelles de ses employés?

M. André Boucher:

Oui, absolument, avec toutes les mesures dont je parlais tout à l'heure.

M. Michel Picard:

Comment fait-on pour se protéger d'un employé qui est de mauvaise humeur un matin et qui décide de traverser la clôture?

M. André Boucher:

Nous avons un programme exhaustif de sécurité qui s'applique dès la sélection du personnel. Évidemment, il y a une culture de sécurité dans l'ensemble de notre organisation, ce qui comprend la sécurité du personnel, la sécurité physique et la sécurité des systèmes informatiques.

Les processus sont en place. C'est un système evergreen, c'est-à-dire qu'il doit toujours être mis à jour. On ne se repose pas sur le système en place, on revoit celui-ci périodiquement. C'est vaste et complexe, mais c'est un investissement qui en vaut la peine.

(1425)

M. Michel Picard:

Votre approche est-elle utilisée ailleurs sur le marché? Y a-t-il un organisme qui a mis en place une culture de sécurité semblable à celle que vous développez?

M. André Boucher:

Notre approche est moderne et nous n'avons pas le monopole en la matière. Vous pouvez trouver des documents. Sécurité publique Canada a publié un document décrivant la façon de se munir d'un système de sécurité. C'est une très bonne source de référence et cela touche les mêmes modèles que ceux que nous avons.

M. Michel Picard:

Merci, monsieur Boucher. [Traduction]

Le président:

Merci, monsieur Picard.

Monsieur Dubé, vous avez trois minutes.

Monsieur Fortin, il nous restera ensuite quelques minutes. Souhaitez-vous avoir un peu de temps pour poser des questions?

M. Rhéal Fortin:

Oui, s'il vous plaît.

Le président:

Allez-y, monsieur Dubé. [Français]

M. Matthew Dubé:

Merci, monsieur le président.

Monsieur Boucher, je n'ai pas eu la chance de vous poser des questions tout à l'heure.

Ma première question concerne ce qu'a dit votre collègue M. Scott Jones, qui a comparu devant notre comité dans le cadre de l'étude à laquelle on fait référence régulièrement aujourd'hui. Il a mentionné qu'il était important que les institutions et les entreprises signalent les vols ou les fuites de données qui les touchent.

La recommandation du Comité était plutôt vague. Devrait-on insister sur le fait qu'il faut signaler ce genre de fuites à la police, afin de minimiser les dégâts pour la population et arrêter ceux qui ont commis le crime?

Cela m'amène à deux autres questions, lesquelles s'adressent à vous, monsieur Flynn.

Étant donné que l'information va demeurer sur Internet à perpétuité, la police doit-elle traiter ces menaces de la même façon que les menaces physiques? Si un meurtrier ou quiconque pose une menace physique, j'imagine qu'il y a un certain sentiment d'urgence dans les enquêtes policières. Devrait-on faire la même chose dans le cas des cybermenaces? Desjardins a quand même communiqué avec la SQ au mois de décembre, si je ne m'abuse.

Ma dernière question concerne les vérifications d'antécédents et les vérifications continues de sécurité. Maintenant que des individus possèdent une expertise très élevée en la matière, ces vérifications doivent-elles devenir la norme?

Je vous laisse répondre dans le temps qui reste.

M. André Boucher:

Concernant le signalement d'incidents, je vous rappelle que nous recommandons d'investir avant l'incident. Il faut qu'il y ait un programme de sécurité et de détection, et ainsi de suite. Nous recommandons toujours aux gens de signaler un incident et d'en faire part à leur communauté, parce qu'il y a probablement des points communs. Ainsi, tous pourront apprendre de cet incident.

En tant que centre national de cybersécurité, nous essayons de recueillir de telles informations dans toutes les communautés, de trouver les points communs et d'émettre des avis qui pourraient augmenter la sécurité à l'échelle nationale. Effectivement, il faut signaler les incidents. [Traduction]

Surint. pr. Mark Flynn:

En ce qui a trait aux menaces physiques par rapport aux cybermenaces, je suis d'accord avec vous. C'est très difficile à comprendre. Les forces de l'ordre peinent à établir l'allocation de leurs ressources, car elles cherchent toujours à cibler ce qui aura le plus d'effet sur la réduction des méfaits.

Prenons la fraude. C'est une menace très grave, tant au Canada qu'à l'échelle mondiale. Il est difficile de comparer une fraude de 400 000 $ ou de 2 millions de dollars à une menace physique ou à un homicide, voire à une agression. Cela nous donne bien du mal, mais je peux vous confirmer que nous en sommes conscients et que nous évaluons actuellement notre façon de jauger ce risque et d'établir nos priorités. [Français]

M. Matthew Dubé:

Ne serait-il pas pertinent de dire que cela a une incidence permanente sur la vie d'une personne et de voir les choses de cette façon? [Traduction]

Surint. pr. Mark Flynn:

Oui, c'est indéniablement un facteur.

Le président:

Merci, monsieur Dubé.[Français]

Monsieur Fortin, vous avez deux minutes.

M. Rhéal Fortin:

J'aimerais poser rapidement une question à M. Flynn. Je dis « rapidement » parce que je n’ai que deux minutes et que j'avais aussi une question à poser à M. Boucher.

Il y a deux ans, 19 millions de Canadiens ont été l’objet d’une fraude chez Equifax. Il s'agissait d'un vol de données semblables. L’an dernier, on parlait d’environ 90 000 clients de la CIBC et de la BMO. Cette année, il s'agit de clients de Desjardins.

Pouvez-vous nous dire s'il y a eu une augmentation des crimes liés à l'utilisation de ces données à la suite de ces événements? [Traduction]

Surint. pr. Mark Flynn:

Des données tirées de ces comptes compromis en tant que telles? [Français]

M. Rhéal Fortin:

Oui, mais je parle de ce type de crime.

(1430)

[Traduction]

Surint. pr. Mark Flynn:

Nous constatons que les fraudeurs utilisent des renseignements compromis pour effectuer leurs transactions. L'enquête de la GRC sur Leakedsource.com s'est avérée concluante: ce site revendait des renseignements tirés d'une imposante banque de données compromises rendues publiques. L'accusé a plaidé coupable.

La revente de tels renseignements n'est pas inhabituelle, comme en témoignent divers incidents. [Français]

M. Rhéal Fortin:

D'accord, mais est-ce que le taux de criminalité lié à l'utilisation de ces données volées a augmenté? [Traduction]

Surint. pr. Mark Flynn:

Je n'ai pas pris en note le taux de criminalité en particulier, mais il va sans dire que c'est le genre d'activités criminelles dont nous sommes témoins. [Français]

M. Rhéal Fortin:

D'accord.

Ma seconde question s’adresse à M. Boucher.

Monsieur Boucher, dans votre témoignage écrit, vous donnez trois recommandations. La deuxième consiste à investir dans la formation et la sensibilisation pour que les personnes aient les moyens d’agir. Est-ce que le gouvernement fédéral a prévu des investissements pour collaborer avec le gouvernement du Québec en vue d’améliorer la sécurité des Québécois?

M. André Boucher:

Je peux parler de mon organisation. Nous avons une responsabilité nationale, et travailler avec nos partenaires du Québec en fait partie. Nous investissons dans l’éducation et la formation et nous offrons aussi nos services aux entreprises québécoises...

M. Rhéal Fortin:

Excusez-moi de vous interrompre, je ne veux pas vous bousculer, mais comme vous le savez, deux minutes, c’est court.

Y a-t-il des projets d’investissement, et si c'est le cas, pouvez-vous les chiffrer? Par exemple, le fédéral a-t-il dégagé une enveloppe d'un certain nombre de millions de dollars pour s’entendre avec Québec sur un programme de formation ou autre en lien avec la cybercriminalité?

M. André Boucher:

Je n'ai pas cette information avec moi aujourd'hui.

M. Rhéal Fortin:

D'accord.

Je vous remercie. [Traduction]

Le président:

Vous n'aurez malheureusement pas le temps de répondre à cette question.

Avant de suspendre la séance, je voudrais simplement revenir au point trois de votre présentation, monsieur Boucher, où vous dites: « II faut également déterminer et protéger les actifs essentiels. II importe de savoir où se trouvent les données clés. Assurez-vous donc de leur protection et surveillez les mesures de protection prises. Soyez prêts à intervenir. » Autrement dit, des réseaux à confiance zéro, ce dont nous entendons parler depuis six mois.

Est-ce la norme qui devrait s’appliquer à toute institution financière, pas seulement à Desjardins?

M. André Boucher:

Je crois que toute grande entreprise doit évaluer ses actifs essentiels et leur valeur, puis décider de l'ampleur de ses investissements dans leur protection en fonction du risque. En partant du principe de la confiance zéro, le fait est que nous vivons aujourd’hui dans un environnement complexe. Il ne faut donc pas présumer que le système va fonctionner en vase clos. Il faut investir dans un programme de sécurité de façon globale, soit dans les bonnes personnes, les bons processus et la bonne technologie. L'ensemble de ces éléments vont...

Le président:

C'est une norme qui fait l'unanimité dans le milieu du cyber, si je puis dire, cette idée de confiance zéro, à votre point trois.

M. André Boucher:

On s'entend pour dire qu'il faut investir dans tous ces éléments.

Le président:

Merci, monsieur Boucher.

Sur ce, nous allons suspendre la séance.

Nous devons entendre des représentants du gouvernement et faisons somme toute des progrès intéressants. Je présume, mais sans savoir si j'ai raison, que si je suspends la séance pendant deux ou trois minutes, nous pouvons reprendre les travaux avec les témoins du gouvernement et poursuivre sur notre lancée. Est-ce que cela vous convient, chers collègues?

D'accord. Sur ce, la séance est suspendue et reprendra avec les témoins du gouvernement. Merci.

(1430)

(1435)

Le président:

Reprenons nos travaux. Je tiens à remercier les représentants du gouvernement pour leur souplesse et les prie de faire preuve d'un peu plus de patience, car le Comité attend toujours l'arrivée des représentants de Desjardins.

J'invite les divers représentants de Revenu Canada, du ministère des Finances, du ministère de l'Emploi et du Développement social et du Bureau du surintendant des institutions financières à être brefs. Si les représentants de Desjardins ont un temps limité à nous consacrer, je vais, s'ils se présentent, suspendre la séance un instant après vos déclarations et vous prier de vous asseoir au fond de la salle afin que nous puissions discuter avec eux pendant un certain temps. Ensuite, je vous demanderai de revenir devant le Comité, et les membres pourront vous poser des questions, si cela vous convient. Même si cela ne vous semble pas une façon convenable de mener la séance, c'est ainsi que nous allons procéder, donc je vais simplement demander au représentant de Revenu Canada ou du ministère des Finances de prendre la parole, selon celui qui souhaite s'exprimer en premier.

Mme Annette Ryan (sous-ministre adjointe déléguée, Direction de la politique du secteur financier, ministère des Finances):

Merci, monsieur le président. Je vais commencer, si cela vous convient.[Français]

Je m'appelle Annette Ryan. Je suis sous-ministre adjointe déléguée de la Direction de la politique du secteur financier au ministère des Finances. Je suis accompagnée de Robert Sample, directeur général de la Division de la stabilité financière et des marchés des capitaux, ainsi que de Judy Cameron, directrice principale du Bureau du surintendant des institutions financières du Canada, ainsi que de son collègue. Nous sommes heureux d'être ici avec vous aujourd'hui.

(1440)

[Traduction]

Mes remarques porteront sur deux sujets que je crois pertinents dans le contexte des questions dont vous êtes saisis. Plus particulièrement, je vais préciser les rôles des ministères et agences du gouvernement ainsi que des acteurs du secteur privé dans le cadre fédéral régissant le secteur financier, et fournir une mise à jour au Comité quant aux efforts entrepris par le ministère des Finances, les organismes fédéraux de réglementation et les banques pour appuyer la cybersécurité et la protection des données.

La protection de la vie privée et des données personnelles et financières des Canadiens est un objectif partagé du gouvernement et du secteur privé; il s'agit d'un objectif qui est essentiel au maintien continu de la confiance dans le système bancaire canadien.

Je vais aborder la question des rôles au sein du gouvernement fédéral, puis de celui des gouvernements provinciaux et des acteurs du secteur privé.

Le ministère des Finances et les organismes fédéraux de surveillance du secteur financier sont chargés des lois et des règlements qui régissent le système bancaire canadien sous juridiction fédérale. Collectivement, nous établissons les attentes et en surveillons la mise en œuvre afin de garantir que les risques opérationnels liés à la cybersécurité et à la protection de la vie privée sont convenablement gérés par les institutions financières que nous réglementons.

Le ministre des Finances a une responsabilité générale envers la stabilité et l'intégrité du système financier canadien. La cybersécurité est un aspect essentiel de la stabilité du secteur financier, car elle permet au secteur de demeurer résilient face aux cybermenaces et aux cyberattaques.

Le ministère de la Sécurité publique a, à son tour, reconnu le secteur des services financiers comme un secteur d'importance critique dans le cadre de sa Stratégie nationale sur les infrastructures essentielles.

Le ministère des Finances travaille étroitement avec un ensemble d'intervenants responsables de la réglementation du secteur financier et de la cybersécurité, tant au niveau national qu'avec nos partenaires internationaux, afin de s'assurer que le secteur adopte des pratiques appropriées pour favoriser la cyber-résilience et la protection des données et aussi afin de faire en sorte que les besoins du secteur financier soient pris en compte dans les politiques portant sur l'ensemble de l'économie et la législation ayant trait à la cybersécurité et à la protection des données.

Je vais maintenant aborder les responsabilités des différents régulateurs du secteur financier. Le Bureau du surintendant des institutions financières, l'organisme de réglementation prudentielle des institutions financières fédérales — par exemple, les banques — élabore des normes et des règles pour gérer les risques en matière de cybersécurité. Ceci est conforme à son mandat plus vaste de surveillance des risques opérationnels que les institutions financières doivent gérer.

La Banque du Canada surveille les infrastructures du marché financier, comme les systèmes de paiements, afin d'accroître leur résilience aux cybermenaces et coordonne les réponses de l'ensemble du secteur en cas d'incident opérationnel systémique.

D'autres organismes fédéraux sont responsables de la législation entourant le respect de la vie privée. Le Commissariat à la protection de la vie privée veille à ce que les banques respectent la Loi sur la protection des renseignements personnels et les documents électroniques, qui régit la protection des renseignements personnels dans le secteur privé canadien. Cette loi établit les exigences auxquelles les entreprises doivent satisfaire relativement à la collecte, à l'utilisation ou à la divulgation de données personnelles dans le cadre d'activités commerciales. Ces exigences comprennent la mise en place de mesures de protection appropriées pour protéger les données personnelles contre la perte, le vol ou la divulgation non autorisée.

Le ministère de l'Innovation, des Sciences et du Développement économique a une responsabilité stratégique globale à l'égard de la Loi sur la protection des renseignements personnels et les documents électroniques. En novembre 2018, le gouvernement du Canada a modifié les dispositions de la loi relatives au signalement d'atteinte à la protection des données et aux sanctions pécuniaires connexes pour ne pas avoir signalé une fraude.

Comme vous l'avez entendu plus tôt, d'autres agences et ministères fédéraux, y compris Sécurité publique, le Centre canadien pour la cybersécurité et la Gendarmerie royale du Canada, partagent des responsabilités à l'égard de plus vastes initiatives de cybersécurité du gouvernement du Canada.[Français]

Il est important de noter que la responsabilité de la surveillance du secteur financier canadien est partagée entre les gouvernements fédéral et provinciaux. Les provinces sont chargées de la surveillance des courtiers en valeurs mobilières, des conseillers en épargne collective et en fonds de placement, des coopératives provinciales, ainsi que des caisses d'épargne, des sociétés de fiducie, des compagnies d'assurances et des sociétés de prêt constituées par une loi provinciale.

Par conséquent, les autorités fédérales et provinciales du secteur financier ont des protocoles en place à l'égard de l'échange de renseignements, particulièrement pour les questions relatives à la stabilité financière. Les institutions financières ont bien sûr la responsabilité première quant au maintien de la cybersécurité et de la protection des données sur une base quotidienne, puisqu'elles gèrent directement les risques opérationnels grâce à un ensemble exhaustif de mesures de protection et de prévention sur le plan individuel et à la coopération avec les autres acteurs de l'industrie.

Ces mesures sont appuyées par des politiques et des normes qui sont constamment mises à jour pour répondre aux menaces changeantes et demeurent conformes aux pratiques exemplaires de l'industrie.

(1445)

[Traduction]

Les cyberattaques sont une menace sérieuse et permanente. J'aimerais aborder quelques-unes des mesures mises en place par le gouvernement du Canada, les organismes de réglementation du secteur financier et les banques afin de renforcer la cybersécurité dans le secteur financier.

Dans le budget de 2018, le gouvernement fédéral a investi plus d'un demi-milliard de dollars dans la cybersécurité et, en octobre 2018, le gouvernement a établi le Centre canadien pour la cybersécurité, qui sert de guichet unique d'expertise et de conseils techniques pour les Canadiens, les gouvernements et les entreprises. Le Centre lutte contre les auteurs de cybermenaces qui ciblent des entreprises canadiennes, y compris les institutions financières fédérales et provinciales, en vue d'obtenir des données de leurs clients, des renseignements financiers et des systèmes de paiement. Les efforts de lutte contre la cybercriminalité ont été stimulés par le Centre national de coordination de la lutte contre la cybercriminalité nouvellement créé au sein de la GRC, qui fournit un mécanisme national de signalement des cybercrimes, y compris les atteintes à la protection des données ou les fraudes financières.

Plus récemment, dans le budget de 2019, le gouvernement a proposé une loi et un financement afin de protéger les cybersystèmes essentiels dans les secteurs canadiens des finances, des télécommunications, de l'énergie et des transports.[Français]

Nos collègues du Secrétariat du Conseil du Trésor continuent de travailler conjointement avec les gouvernements provinciaux, les institutions financières et les partenaires fédéraux à l'élaboration d'un cadre de confiance pancanadien sur l'identité numérique qui vise à renforcer la protection de l'identité numérique dans le contexte des cybermenaces.[Traduction]

En ce qui concerne la réglementation, plus tôt cette année, le Bureau du surintendant des institutions financières a publié un nouveau guide sur les exigences de signalement des incidents liés à la technologie et à la cybersécurité par l'entremise du préavis sur le signalement des incidents liés à la technologie et à la cybersécurité. Ces directives visent à aider le bureau à déterminer où les banques peuvent prendre des mesures pour prévenir de façon proactive les incidents liés à la cybersécurité ou, lorsqu'un incident survient, à améliorer leur résilience cybernétique.

Bien que notre principal rôle soit de prévenir les atteintes à la protection des données, la réalité est que ces incidents surviennent et ils ne se limitent pas qu'au secteur financier. Cela étant dit, lorsqu'un incident lié à la cybersécurité survient dans une institution fédérale sous réglementation fédérale, des mécanismes de contrôle et de surveillance sont en place pour le gérer.

En résumé, la cybersécurité est un domaine d'une importance critique pour le ministère des Finances. Nous collaborons activement avec des partenaires de l'ensemble du gouvernement et du secteur privé pour nous assurer que les Canadiens sont bien protégés contre des incidents liés à la cybersécurité et que, lorsqu'ils surviennent, les incidents sont gérés de façon à atténuer les répercussions sur les consommateurs et le secteur financier dans son ensemble.

Je vous remercie de votre temps. Je serai heureuse de répondre à vos questions. [Français]

Le vice-président (M. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, PCC)):

Merci, madame Ryan.

Nous passons maintenant à Mme Boisjoly.

Mme Elise Boisjoly (sous-ministre adjointe, Direction générale des services d'intégrité, ministère de l'Emploi et du Développement social):

Merci beaucoup, monsieur le président.

Je m'appelle Elise Boisjoly et je suis la sous-ministre adjointe responsable des services d'intégrité à Emploi et Développement social Canada. Je suis accompagnée par Mme Anik Dupont, responsable du programme du numéro d'assurance sociale.

Je vous remercie de m'avoir donné l'occasion de m'adresser à vous aujourd'hui. Mon allocution portera sur le programme du numéro d'assurance sociale. Plus précisément, j'aimerais clarifier ce qu'est le numéro d'assurance sociale, fournir des renseignements sur son émission et son utilisation, informer le Comité sur la protection de la vie privée en ce qui concerne le numéro d'assurance sociale, et fournir de l'information sur notre approche en cas de fuite d'informations personnelles.

Le numéro d'assurance sociale est un identificateur de dossier ou un numéro de compte utilisé par le gouvernement du Canada pour coordonner l'administration des prestations et services fédéraux, et par le système du revenu. Le numéro d'assurance sociale est requis pour chaque personne qui occupe un emploi assurable ou donnant droit à une pension au Canada, et pour produire une déclaration de revenus.

Un numéro d'assurance sociale est émis avant le premier emploi, en arrivant au Canada pour la première fois ou même à la naissance. Au cours de la dernière année financière, plus de 1,6 million de numéros d'assurance sociale ont été émis.

Le numéro d'assurance sociale sert, entre autres, à verser plus de 120 milliards de dollars en prestations et à percevoir plus de 300 milliards de dollars en impôts. Il facilite l'échange d'information pour permettre l'allocation de prestations et de services aux Canadiens tout au long de leur vie, comme les prestations pour la garde d'enfants, les prêts étudiants, l'assurance-emploi, les pensions et même les prestations de décès. Ainsi, un numéro d'assurance sociale est attribué à une personne pour la vie.

Le numéro d'assurance sociale n'est pas un identificateur national et ne peut pas être utilisé pour obtenir une identification. En fait, il n'est même pas utilisé par tous les programmes du gouvernement fédéral, seulement par un certain nombre. Le numéro d'assurance sociale seul n'est pas suffisant pour accéder à un programme ou à un avantage gouvernemental, ou même pour obtenir du crédit ou des services dans le secteur privé. Des informations supplémentaires sont toujours requises.

(1450)

[Traduction]

Bien que les fuites de données soient de plus en plus courantes, le gouvernement du Canada suit des procédures rigoureuses et établies pour protéger les renseignements personnels des particuliers. Ma collègue a fait mention de la Loi sur la protection des renseignements personnels et de la Loi sur la protection des renseignements personnels et les documents électroniques, qui est administrée par Innovation, Sciences et Développement économique Canada. Ces lois établissent le cadre juridique régissant la collecte, la conservation, l'utilisation, la divulgation et l'élimination des renseignements personnels dans le contexte de l'administration des programmes des institutions gouvernementales et des activités du secteur privé.

Comme l'a dit ma collègue, le 1er novembre 2018, une nouvelle modification a été apportée à la Loi sur la protection des renseignements personnels et les documents électroniques exigeant que les organisations faisant face à une fuite de données et ayant des raisons de croire qu'il y a un risque réel de préjudice grave en informent le Commissariat à la protection de la vie privée, les personnes affectées ainsi que les organisations associées dès que possible. La violation de cette disposition peut conduire à des amendes allant jusqu'à 100 000 $ par infraction.

Au sein d'Emploi et Développement social Canada , nous avons des stratégies de surveillance interne, des politiques de confidentialité, des directives et des outils d'information sur la gestion de la protection de la vie privée, ainsi qu'un code de conduite ministériel et des formations obligatoires pour nos employés sur la protection des renseignements personnels. Nous croyons que toute atteinte à la sécurité touchant le numéro d'assurance sociale est très grave et, en fait, le gouvernement du Canada n'est pas à l'abri de telles situations. Par exemple, en 2012, des informations concernant des prêts étudiants canadiens ont été potentiellement compromises. Cette fuite a servi de catalyseur à l'amélioration des pratiques de gestion de l'information au ministère.

La prévention de la fraude en matière de numéro d'assurance sociale commence par l'éducation et la sensibilisation. C'est pourquoi notre site Web et nos documents de communication contiennent des renseignements qui aident les Canadiens à mieux comprendre les mesures qu'ils devraient prendre pour protéger leur numéro d'assurance sociale. Les Canadiens peuvent visiter le site Web du ministère, nous appeler ou visiter l'un de nos centres Service Canada pour apprendre la meilleure façon de se protéger. II est important de noter que la protection des renseignements personnels des Canadiens est une responsabilité partagée entre le gouvernement, le secteur privé et les particuliers. Nous encourageons fortement les Canadiens à ne pas donner leur numéro d'assurance sociale à moins d'être certains qu'il est légalement requis ou que c'est nécessaire. Les Canadiens devraient également surveiller activement leurs renseignements financiers, notamment en communiquant avec les agences d'évaluation du crédit du Canada.[Français]

La perte d'un numéro d'assurance sociale ne signifie pas automatiquement qu'une fraude s'est produite ou se produira.

Cependant, si des Canadiens détectent une activité suspecte touchant leur numéro d'assurance sociale, ils doivent agir rapidement afin de minimiser les répercussions potentielles en signalant tout incident à la police, en contactant le commissaire à la protection de la vie privée et le Centre antifraude du Canada, et en informer Service Canada. Dans les cas où il est prouvé que le numéro d'assurance sociale a été utilisé à des fins frauduleuses, Service Canada travaillera en étroite collaboration avec les personnes touchées.

Le nombre de Canadiens dont le numéro d'assurance sociale a été remplacé par Service Canada en raison d'une fraude est demeuré stable à environ 60 par année depuis 2014, malgré les fuites de données de plus en plus importantes.

Cela dit, nous savons que de nombreux Canadiens ont signé une pétition demandant à Service Canada d'attribuer un nouveau numéro d'assurance sociale aux personnes touchées par cette atteinte aux données. La raison principale pour laquelle nous n'attribuons pas automatiquement un nouveau numéro d'assurance sociale dans ces circonstances est simple: l'obtention d'un nouveau numéro d'assurance sociale ne protégera pas les particuliers contre la fraude. L'ancien numéro d'assurance sociale continue d'exister et est toujours lié aux particuliers. Par exemple, si un fraudeur utilise l'ancien numéro d'assurance sociale d'une personne et que son identité est mal vérifiée, les prêteurs peuvent quand même demander à la personne fraudée de payer les dettes.

Également, il incombera à la personne de fournir son numéro d'assurance sociale à chacune des institutions financières, à ses créanciers, à ses fournisseurs de régime de retraite, à ses employeurs actuels et passés, ou à toute autre organisation à laquelle elle aurait donné son numéro d'assurance sociale. Le faire incorrectement pourrait mettre à risque l'octroi de bénéfices ou laisserait la porte ouverte à la fraude ou au vol d'identité.

Cela signifierait aussi de doubler la surveillance. Les particuliers devraient quand même surveiller leur compte et leurs rapports de solvabilité pour leurs deux numéros d'assurance sociale de façon régulière et continue. La multiplication des numéros d'assurance sociale augmente donc le risque de fraude potentielle.

La surveillance active des bureaux de crédit ainsi que l'examen régulier des relevés bancaires et des relevés de cartes de crédit demeurent la meilleure protection contre la fraude.

En terminant, la protection de l'intégrité du numéro d'assurance sociale est importante pour nous. Je peux vous assurer que nous continuerons à prendre toutes les mesures nécessaires pour y parvenir, incluant la lecture du rapport de ce comité ou d'autres informations provenant de ce comité ou autres sur les meilleures façons d'améliorer la situation.

Je vous remercie de votre temps. Je me ferai un plaisir de répondre à vos questions.

(1455)

Le vice-président (M. Pierre Paul-Hus):

Merci, madame Boisjoly.

Y a-t-il d'autres intervenants qui veulent prendre de parole avant que nous passions aux questions?

Monsieur Guénette, vous avez la parole.

M. Maxime Guénette (sous-commissaire et chef de la protection des renseignements personnels, Direction générale des affaires publiques, Agence du revenu du Canada):

Merci, monsieur le président.

Bonjour à tous les membres du Comité. [Traduction]

Je m'appelle Maxime Guénette et je suis sous-commissaire de la Direction générale des affaires publiques et chef de la protection des renseignements personnels de l'Agence du revenu du Canada. Ma collègue Gillian Pranke, sous-commissaire adjointe de la Direction générale de cotisation, de prestation et de service de l'Agence, m'accompagne aujourd'hui.

L'Agence du revenu du Canada est une organisation qui touche la vie de pratiquement tous les Canadiens. Elle est l'un des plus importants détenteurs de renseignements personnels du gouvernement du Canada. À l'Agence, nous traitons plus de 28 millions de déclarations de revenus de particuliers chaque année. II est donc essentiel qu'elle dispose d'un cadre de protection des renseignements personnels exhaustif pour gérer et protéger les renseignements de tous les Canadiens.[Français]

L'intégrité en milieu de travail est la pierre angulaire de la culture mise en avant par l'Agence. L'Agence aide ses employés à bien agir en leur fournissant des lignes directrices claires et des outils visant à assurer la sécurité et la confidentialité ainsi qu'à protéger les renseignements personnels, les programmes et les données.

L'Agence est tenue de respecter la Loi sur la protection des renseignements personnels ainsi que les politiques et directives du Conseil du Trésor qui y sont liées pour assurer la gestion et la protection des renseignements personnels des Canadiens. L'article 241 de la Loi de l'impôt sur le revenu impose également des exigences en matière de confidentialité aux employés de l'Agence et aux autres personnes ayant accès aux renseignements sur les contribuables.

L'Agence observe aussi la Politique sur la sécurité du gouvernement et les orientations fournies par les principaux organismes de sécurité, comme le Centre de la sécurité des télécommunications et le Centre canadien pour la cybersécurité, qui sont intervenus tantôt.

En avril 2013, l'Agence a nommé son premier chef de la protection des renseignements personnels, qui est, entre autres, responsable des fonctions liées à l'accès à l'information et à la protection des renseignements personnels à l'Agence.[Traduction]

En tant que chef de la protection des renseignements personnels, mon rôle consiste, entre autres, à faire en sorte que la protection des renseignements que l'Agence détient soit assurée et renforcée par la supervision des décisions liées à la protection des renseignements personnels, y compris l'évaluation des répercussions de nos programmes sur la protection de ces renseignements; la défense des droits relatifs à la protection des renseignements personnels, ce qui comprend la gestion des atteintes à la vie privée à l'interne; et le rapport à la haute direction de l'Agence sur l'état de la gestion de la protection des renseignements personnels.

À l'Agence, la responsabilité quant à la saine gestion de la protection des renseignements personnels ne se limite pas à nommer un chef de la protection des renseignements personnels; il s'agit d'une responsabilité que partagent tous les employés.

Pour préserver son intégrité, l'Agence doit avoir en place les systèmes appropriés pour protéger les renseignements de nature délicate des menaces externes. Les réseaux et les postes de travail de l'Agence sont dotés de logiciels de détection et de suppression de logiciels malveillants et de virus. lls sont mis à jour quotidiennement et protègent l'environnement de l'Agence contre les menaces de virus et de codes malveillants.[Français]

Pour ce qui est des employés de l'Agence, leurs ordinateurs sont dotés d'un ensemble de produits de sécurité allant de logiciels antivirus à des logiciels de détection des intrusions au niveau de l'hôte.

Les services externes sont pris en charge par des plateformes sécurisées et protégées par des pare-feu et des outils de prévention des intrusions visant à détecter et à prévenir l'accès non autorisé aux systèmes de l'Agence.

Pour ce qui est des transactions en ligne, nous nous assurons que les renseignements de nature délicate sont chiffrés lors de la transmission entre l'ordinateur d'un contribuable et nos serveurs Web. Peu importe la façon dont les Canadiens choisissent d'interagir avec l'Agence, ils doivent suivre un processus d'authentification en deux étapes pour accéder à leur compte.

Ces étapes sont essentielles pour que seules les personnes autorisées aient accès aux renseignements personnels. Le processus comprend la validation d'un ensemble de points de données personnelles et confidentielles, dont, entre autres, le numéro d'assurance sociale d'une personne, mais aussi le mois et l'année de sa naissance, et des renseignements tirés de sa déclaration de revenus de l'année précédente.[Traduction]

L'Agence mettra sous peu en œuvre un nouveau numéro d'identification personnel pour les contribuables qui appellent la ligne des demandes de renseignements sur l'impôt des particuliers. De plus, l'Agence étudie actuellement des procédures de sécurité supplémentaires pour protéger les renseignements des contribuables. Comme la cybercriminalité et l'hameçonnage sont maintenant fréquents et que les techniques utilisées sont de plus en plus sophistiquées, l'Agence agit de façon proactive en avertissant le public que des fraudeurs communiquent avec les gens en prétendant travailler pour elle.

Une façon simple pour les contribuables de se protéger contre la fraude est de s'inscrire à Mon dossier ou à Mon dossier d'entreprise afin de gérer leur dossier fiscal facilement et en toute sécurité au moyen des portails sécurisés de l'Agence. Ceux qui sont inscrits à Mon dossier peuvent aussi s'inscrire au courrier en ligne afin de recevoir des alertes du compte qui les informent des arnaques possibles ou d'autres activités frauduleuses qui pourraient avoir une incidence sur eux.

L'Agence est fière de sa réputation d'organisation de pointe engagée à assurer l'excellence de l'administration du régime fiscal du Canada. Toutefois, des activités inappropriées ou frauduleuses peuvent se produire en milieu de travail. L'Agence a mis en place toute une gamme de contrôles pour s'assurer que les seules personnes qui accèdent aux renseignements des contribuables sont les employés tenus de le faire dans le cadre de leur travail. Elle peut ainsi détecter les cas d'inconduite qui pourraient se produire.

(1500)

[Français]

La surveillance de l'accès des employés aux renseignements des contribuables est centralisée, ce qui garantit un processus indépendant permettant à l'Agence de détecter des activités douteuses dans ses systèmes et d'intervenir quand c'est nécessaire. De cette façon, les utilisateurs autorisés ont accès uniquement aux applications et aux données auxquelles ils ont droit d'accéder en fonction de règles administratives strictes.[Traduction]

En 2017, l'Agence a mis en œuvre une solution de gestion de la fraude d'entreprise, qui complète les contrôles de sécurité existants et réduit encore plus les risques d'accès non autorisé et d'atteinte à la vie privée. La solution de gestion de la fraude d'entreprise permet la surveillance proactive et la détection de l'accès non autorisé des employés. L'Agence prend très au sérieux toute allégation ou tout soupçon d'inconduite de la part d'un employé et fait minutieusement enquête. Lorsque les soupçons d'actes répréhensibles ou d'inconduite sont fondés, des mesures disciplinaires appropriées sont prises, qui peuvent aller jusqu'au congédiement. Si l'on soupçonne une activité criminelle, la question est renvoyée aux autorités compétentes.[Français]

Au moment de leur embauche, les employés de l'Agence doivent attester avoir lu le Code d'intégrité et de conduite professionnelle ainsi que le Code de valeurs et d'éthique du secteur public.

Le code décrit de façon claire la norme de conduite que les employés doivent respecter, dont l'obligation de protéger les renseignements des contribuables, conformément à l'article 241 de la Loi de l'impôt sur le revenu. L'accès non autorisé à ces renseignements est considéré comme une inconduite grave, comme l'indique la Directive sur la discipline de l'Agence.[Traduction]

Le code veille à ce que les employés, actuels et anciens, soient au courant que l'obligation de protéger les renseignements des contribuables se poursuit même après leur départ de l'Agence. Chaque année, on demande à tous les employés de relire et de confirmer leurs obligations en vertu du Code d'intégrité et de conduite professionnelle de l'Agence.

Toute atteinte à la vie privée qui survient est évaluée conformément aux politiques et aux procédures du Secrétariat du Conseil du Trésor afin de consigner et d'évaluer tous les risques potentiels pour la personne touchée. Un représentant de l'Agence spécialisé lui offrira un soutien afin qu'elle puisse poser des questions et obtenir les renseignements dont elle a besoin, et selon le cas, accéder à des services gratuits de protection du crédit.

Dans les rares cas où les renseignements d'un contribuable sont véritablement compromis, l'Agence prend des mesures pour résoudre toutes les questions en suspens. Ces mesures comprennent l'examen de toutes les activités frauduleuses qui pourraient avoir eu lieu dans le compte, y compris les remboursements frauduleux.[Français]

L'Agence est fermement résolue à maintenir la confiance des Canadiens en notre organisation et à répondre à leurs attentes concernant la mise en place des contrôles nécessaires pour assurer la sécurité des renseignements qui lui sont confiés. Nous avons travaillé fort pour gagner la confiance du public, puisque celle-ci est à la base d'un régime fiscal fondé sur l'autocotisation.[Traduction]

II faut des années pour se forger une bonne réputation, et nous maintenons la nôtre en demeurant vigilants dans nos efforts pour protéger les contribuables contre les atteintes à la sécurité et pour protéger le système d'administration de l'impôt du Canada contre toute inconduite et infraction criminelle.

Je vous remercie, monsieur le président. Je répondrai maintenant avec plaisir à vos questions. [Français]

Le vice-président (M. Pierre Paul-Hus):

Merci, monsieur Guénette.

S'il n'y a personne d'autre, nous allons commencer la période de questions.

Monsieur Drouin, vous avez sept minutes.

M. Francis Drouin:

Merci beaucoup, monsieur le président.

Je remercie tous les témoins de comparaître devant le Comité à court préavis.

Je tiens à dire que je suis une des victimes de la fuite de données chez Desjardins, tout comme plusieurs de mes concitoyens.

Madame Boisjoly, vous avez fait allusion à la pétition en ligne visant à faire changer les numéros d’assurance sociale des gens touchés. Pouvez-vous expliquer au Comité pourquoi on ne le ferait pas et pourquoi cela ne ferait que compliquer les choses sans donner plus de sécurité aux Canadiens et aux Canadiennes?

Mme Elise Boisjoly:

J’en ai fait brièvement mention dans ma présentation, et je vous remercie de me donner l’occasion d’en parler plus longuement.

Tout d’abord, une fuite d’information ne signifie pas nécessairement qu’il y a eu fraude ou vol d’identité. Ensuite, si on ne change pas automatiquement les numéros d’assurance sociale à la suite d’une fuite comme celle-ci, c’est d'abord parce que cela ne résout pas vraiment le problème et n'écarte pas nécessairement tout risque de fraude.

Laissez-moi vous expliquer un peu plus ce premier point. Si on ne change pas le numéro d’assurance sociale associé à un certain numéro de crédit et qu’un bureau de crédit utilise l’ancien numéro de crédit, l'individu concerné ne pourra pas nécessairement obtenir du crédit. De plus, si un prêteur ne fait pas une bonne vérification de l'identité de ce dernier et qu'un fraudeur emprunte de l’argent en son nom, le prêteur pourrait lui demander de payer la dette. Il peut donc y avoir d'autres fraudes si le prêteur ne vérifie pas correctement l'identité de l'individu.

La deuxième raison, c’est que cela peut créer de graves problèmes d’accès à des avantages et à des services. Comme je l’ai dit dans ma présentation, la personne qui est victime d'une fuite d’information doit prévenir toutes les personnes, les institutions financières, les agences de crédit, les employeurs passés et futurs et les gestionnaires des régimes de pensions auxquels elle a adhéré avec son ancien numéro d’assurance sociale et faire les changements nécessaires. Souvent, les gens ne se souviennent plus des personnes à qui ils ont donné leur numéro d’assurance sociale, surtout au début de leur carrière. Cela peut empêcher une personne de recevoir sa pension, par exemple, car on ne pourrait plus faire le lien entre l'individu et les avantages auxquels il a droit.

Au sein du fédéral, nous aviserions certainement l’Agence du revenu et tous les organismes concernés, mais les changements pourraient se faire de façon manuelle et il pourrait y avoir des erreurs, ce qui pourrait compliquer le calcul des pensions ou des prestations d’assurance-emploi. Si on oublie un employeur et que celui-ci fait des erreurs, il pourrait y avoir un mauvais calcul des prestations d’assurance-emploi ou de la pension de vieillesse.

(1505)

M. Francis Drouin:

En d'autres mots, changer notre numéro d’assurance sociale ne protège pas nécessairement nos renseignements personnels.

Pourquoi émet-on un autre numéro d’assurance sociale dans les cas où la fraude a été prouvée?

Mme Elise Boisjoly:

Quand la fraude est prouvée, on en détermine le type et on discute avec le citoyen touché. Souvent, celui-ci va décider de ne pas changer son numéro d’assurance sociale. Il va s’inscrire ou être inscrit à un bureau de vérification de crédit. Par le fait même, il sera mieux protégé qu'il ne le serait en changeant son numéro d’assurance sociale. Souvent, après avoir été informé, le citoyen décide de ne pas changer son numéro d’assurance sociale. Dans un très petit nombre de cas, soit 60 cas par année depuis 2014, le citoyen tient absolument à faire un changement lorsque la fraude est confirmée. À ce moment-là, on va permettre l’émission d’un nouveau numéro d’assurance sociale, mais on va aussi lui faire comprendre que cela ne réglera pas nécessairement la situation.

M. Francis Drouin:

Voici une question plus pragmatique.

Comme les citoyens qui sont dans la même situation que moi, je me dis qu’il y a un risque de fraude. Comment puis-je donc aviser les autorités, que ce soit Revenu Canada ou Service Canada, que mon numéro d’assurance sociale va peut-être être utilisé de façon frauduleuse? Est-ce que je peux appeler Service Canada pour l'en aviser? Est-ce qu’il existe un processus interne qui permet aux citoyens de faire cela?

Mme Elise Boisjoly:

Absolument. Je dirais deux choses là-dessus.

Premièrement, depuis que la fuite a été rendue publique, nous avons reçu directement de 1 400 à 1 500 demandes de citoyens. Ils nous ont appelés pour savoir comment mieux protéger leurs renseignements personnels, et nous leur avons donné beaucoup d'information à ce sujet. Souvent, les citoyens prendront les mesures que nous leur conseillons de prendre, c'est-à-dire regarder les rapports des bureaux de crédit et vérifier leurs transactions bancaires.

Deuxièmement, s'ils constatent une activité suspecte, ils doivent suivre des procédures très claires pour nous en informer. Si des transactions suspectes sont détectées, nous leur demandons de communiquer avec Service Canada, qui pourra prendre les mesures nécessaires pour les aider.

M. Francis Drouin:

D'accord.

Sur le site Web, il est question de 29 cas où il est permis aux Canadiens et aux Canadiennes de communiquer leur numéro d'assurance sociale, par exemple à des institutions bancaires ou à d'autres entités.

Que fait Service Canada pour que les Canadiens et les Canadiennes sachent quand ils devraient communiquer leur numéro d'assurance sociale et quand ils ne devraient pas le faire? Quel est le recours possible quand un organisme demande un numéro d'assurance sociale alors qu'il ne devrait pas le faire?

(1510)

Mme Elise Boisjoly:

Notre site Web, nos centres d'appel et les centres de Service Canada indiquent aux citoyens à qui ils devraient donner leur numéro d'assurance sociale. À vrai dire, lorsque nous émettons un numéro d'assurance sociale à un citoyen, nous lui mentionnons à qui ils devraient le donner et à qui ils ne devraient pas le donner. Un certain nombre d'organismes sont réglementés pour obtenir le numéro d'assurance sociale, par exemple quand une banque ou un créditeur donne des intérêts, ce qui concerne l'Agence du revenu du Canada.

Si quelqu'un ne faisant pas partie de cette liste demande le numéro d'assurance sociale d'une personne, cette dernière peut refuser et demander de produire une autre forme d'information. Par exemple, il y a longtemps de cela, les propriétaires demandaient souvent le numéro d'assurance sociale d'un locataire potentiel pour vérifier son crédit. La personne concernée peut simplement remettre un rapport de crédit plutôt que donner son numéro d'assurance sociale. La personne qui pose la question doit... [Traduction]

Le président:

Merci.

Il est utile que les témoins jettent un coup d'œil à la présidence de temps à autre afin que je puisse leur faire signe.

Mme Elise Boisjoly:

Merci beaucoup.

Ces lunettes ne... [Français]

Le président:

Monsieur Paul-Hus, vous avez sept minutes, s'il vous plaît.

M. Pierre Paul-Hus:

Merci, monsieur le président.

Merci à vous tous d'être présents aujourd'hui.

À vous écouter, nous nous sentons comme dans Les Douze travaux d'Astérix. Nous nous mettons à la place des citoyens. Ce qui les inquiète, c'est qu'ils ne savent pas trop ce qui va arriver. Nous avons demandé à vous rencontrer pour avoir de l'information à cet égard. On sait que le numéro d'assurance sociale est une mesure en place, mais y a-t-il autre chose qui devrait être fait à l'avenir pour changer le système? Pourrait-on faire ce qu'ont fait d'autres pays, c'est-à-dire avoir plus d'identification numérique, que ce soit au moyen d'empreintes digitales ou d'autre chose?

Madame Boisjoly, vous avez dit qu'il y a environ 60 cas par année, mais là, les données de 2,9 millions de personnes ont été volées. Vous attendez-vous à une grande augmentation de changements requis du numéro d'assurance sociale à la suite de ces vols d'identité?

J'ai aussi une question pour vous, monsieur Guénette.

Les gens qui suivent ce qui se passe actuellement veulent savoir ce qu'on fait. Vous avez proposé une bonne solution, et c'est ce que les gens ont besoin qu'on donne, des solutions. On a parlé d'aller sur le site du gouvernement du Canada et d'ouvrir son dossier de finances. Si j'ai bien compris, en ouvrant son dossier, on peut recevoir des alertes ou des avis.

Cela fait trois semaines maintenant. Nous sommes ici aujourd'hui à la suite d'une demande d'urgence. Pourquoi n'a-t-on pas communiqué avec le public immédiatement ou dans la semaine qui a suivi les vols pour lui faire savoir ce que le gouvernement du Canada peut faire pour l'aider? C'est ce qu'on a besoin de savoir.

Je vous écoute, madame Boisjoly.

Mme Elise Boisjoly:

Merci.

Pour répondre à votre première question sur les nouvelles mesures, toute situation comme celle-ci nous donne l'occasion de revoir nos mesures de sécurité et de protection de la vie privée. Tous nos collègues et moi nous penchons certainement là-dessus lorsqu'il y a de tels incidents. Nos collègues qui nous ont précédés ont beaucoup parlé de l'évolution de la cybersécurité. Ils ont dit qu'il fallait toujours être prêt. Il est certain que nous nous penchons toujours là-dessus.

Ma collègue a mentionné le Conseil du Trésor, dont le mandat comprend la gestion de l'identité. Il se penche sur les façons dont on peut mieux résoudre les problèmes liés à l'identité numérique, notamment en menant des projets pilotes avec les provinces. Nous participons à ces forums et nous pensons à des façons de faire avancer la discussion en ce qui concerne l'identité numérique.

Deuxièmement, au sujet du nombre de vols d'identité, on nous a signalé de nombreux vols d'identité au cours des 14 ou 15 dernières années. Ce sont probablement des millions de personnes qui ont déjà été touchées et, malgré cela, le nombre de personnes qui demandent un nouveau numéro d'assurance sociale demeure plutôt faible. Alors, je ne peux pas répondre à votre question, puisque je ne connais pas l'avenir, mais je peux dire qu'il y a eu beaucoup de vols et que le nombre semblait constant, soit près de 60 par année.

M. Maxime Guénette:

Je vous remercie de votre question, monsieur Paul-Hus.

Comme Mme Boisjoly le disait, toutes les occasions sont bonnes pour rappeler aux gens les choses qu'ils peuvent faire. Pendant la période des impôts, nous avons mené des campagnes publicitaires et des initiatives de communication sur le Web et sur les médias sociaux pour rappeler aux gens les services qui sont à leur disposition. Cela dit, il y a toujours plus à faire de ce côté-là. Nous cherchons toujours des occasions de communiquer davantage là-dessus. Alors...

(1515)

M. Pierre Paul-Hus:

D'accord, mais dans le cas qui nous occupe, il s'agit de gérer une crise. Nous sommes ici pour savoir si un organisme fédéral peut donner un coup de main à Desjardins, qui prend ses propres mesures pour rectifier la situation du mieux qu'elle le peut. À l'heure actuelle, je vois des mesures interagences, mais il n'y a pas vraiment de mesures proactives pour aider les citoyens, mis à part un message qu'on a déjà fait passer.

Selon vous, pourquoi le gouvernement semble-t-il aussi passif et ne dit-il rien? Est-ce parce qu'il n'y a rien à faire? N'y a-t-il pas de solution?

Nous cherchons des solutions, parce que les gens sont inquiets. Si vous nous dites que les agences en place n'ont pas les moyens ou les outils pour les aider, nous allons nous tourner vers d'autres solutions.

Est-ce que les solutions comme celle proposée par Desjardins, c'est-à-dire les services d'Equifax, sont assez efficaces, selon votre expérience et votre évaluation de la situation? Nous cherchons à rassurer les gens avec les vraies choses; nous ne voulons pas dire n'importe quoi.

M. Maxime Guénette:

À l'heure actuelle, puisque l'enquête est encore en cours, il y a pas mal d'information...

M. Pierre Paul-Hus:

L'enquête n'a rien à y voir, car on sait comment la fuite de données a eu lieu. On a aussi une idée de l'endroit où elles ont été envoyées, mais, pour l'instant, ce n'est pas cela qui nous intéresse. On sait qu'il y a quelqu'un, quelque part sur la planète, qui a nos coordonnées et qui peut nous faire du mal en volant notre identité. Nous voulons donc savoir si nos agences peuvent intervenir de façon proactive ou non, et ce qu'on peut faire si ce n'est pas le cas.

Vous avez une solution concernant mon dossier, alors c'est déjà un élément qui pourrait être communiqué aux citoyens. Ce serait important de le faire rapidement, parce que les gens ne sont pas de très bonne humeur pendant leurs vacances. Ensuite, il faudra voir si on peut faire autre chose.

La question du numéro d'assurance sociale a été soulevée partout. Plusieurs ont fait des suggestions. Vous êtes responsable de ce dossier et vous dites qu'il n'y a rien à faire, du moins pas de cette façon. Ce sont des réponses qu'on doit entendre, mais il reste qu'il faut sortir d'ici en disant aux gens ce que le gouvernement peut faire pour aider Desjardins, premièrement, et deuxièmement, les 2,9 millions de personnes touchées. On entend beaucoup parler de protocoles internes, mais, pour les citoyens qui nous écoutent, cela ne veut pas dire grand-chose. Voilà pourquoi j'aime entendre des réponses claires. Je sais que vous en donnez quand vous le pouvez, mais en fin de compte, lorsqu'on va sortir d'ici, il faudra savoir ce qu'on peut faire.

M. Maxime Guénette:

Je peux vous assurer qu'il y a des discussions très proactives entre les différents ministères concernés.

Du côté de l'Agence du revenu, comme je le disais dans mon allocution, le numéro d'assurance sociale, l'adresse et la date de naissance sont certaines des informations dont on a besoin pour s'identifier auprès de l'Agence. Cela prend aussi de l'information sur les déclarations de revenus des années précédentes, ce qui ne fait pas partie de l'information qui a été volée chez Desjardins, selon les discussions que nous avons eues. Cela dit, encore une fois, l'enquête est toujours en cours. Alors, ces questions...

M. Pierre Paul-Hus:

Comme je vous l'ai dit, cela ne change rien, en fin de compte.

Combien de temps me reste-t-il, monsieur le président? [Traduction]

Le président:

Vous avez une dizaine de secondes. [Français]

M. Pierre Paul-Hus:

S'il y a un vol d'identité, quelle est la première chose qu'un citoyen doit faire? Appeler la police?

Mme Elise Boisjoly:

Oui.

M. Maxime Guénette:

Effectivement.

Le président:

Merci, monsieur Paul-Hus.

Monsieur Dubé, vous avez sept minutes.

M. Matthew Dubé:

Merci, monsieur le président.

Merci à vous tous d'avoir pris le temps de venir ici aujourd’hui.

Madame Boisjoly, j’ai retenu un point dans votre réponse à M. Drouin. Vous avez dit qu’une fuite de données personnelles ne mène pas au vol d’identité. C’est un peu ce qui nous amène ici aujourd’hui. Les citoyens veulent justement éviter un vol d’identité; c’est la préoccupation principale. Dans ce contexte, j’ai quelques questions à poser.

Vous avez dit que les gens devraient rapporter les activités suspectes liées au numéro d’assurance sociale. Je suis un législateur fédéral et je ne sais pas ce qu'est une activité suspecte liée au numéro d’assurance sociale. Dieu merci, je n’ai jamais été victime de fraude, et c'est la même chose pour les gens de mon entourage. Je touche du bois. Cependant, je connais des gens qui en ont été victimes. Ils l'apprennent quand ils reçoivent une facture de téléphone cellulaire qu'ils n'ont pas ou une carte de crédit de Canadian Tire qu'ils n'ont jamais demandée. Ils se retrouvent avec des dettes et ont des obligations qui ne sont pas les leurs.

Pouvez-vous me dire ce qu'est exactement une activité suspecte liée au numéro d’assurance sociale?

Mme Elise Boisjoly:

Je vous remercie de votre question.

Vous avez bien cerné certaines activités suspectes, comme vous le dites. Nous demandons aux gens de se protéger le mieux possible en faisant affaire avec un bureau de crédit, pour que les transactions soient suivies du plus près possible. Ils doivent regarder leurs transactions bancaires et de cartes de crédit. S’ils voient qu'on leur attribue une transaction qu'ils n'ont pas faite, nous leur demandons de contacter le bureau...

(1520)

M. Matthew Dubé:

Pardonnez-moi de vous interrompre, mais mon temps est limité et j'ai juste un tour.

Ces activités suspectes ou ces transactions problématiques que nous pourrions voir sur notre relevé de carte de crédit peuvent être liées à toutes sortes de choses. Ce peut être quelqu’un qui a volé notre courrier et qui a obtenu notre adresse. Il s'agit d'informations qui sont vraisemblablement plus faciles à obtenir. Vous avez justement mentionné qu'en ce qui concerne la situation dont nous discutons aujourd'hui, la personne a de telles informations complémentaires. En principe, avec toutes les informations qui ont été volées, la personne pourrait facilement appeler Revenu Canada et obtenir un nouveau mot de passe. On a toute l’information nécessaire, si on a le dossier complet d’un individu.

Mme Elise Boisjoly:

Oui, et c’est le point le plus important. On parle du nombre d’identifiants. Il revient à chacune des organisations de vérifier l’identité du citoyen.

Mon collègue a dit qu’on doit aussi avoir une ligne de la déclaration de revenus. Dans le cas de l’assurance-emploi, il y a un code d’accès, et on vous demande de donner les deux chiffres de ce code d'accès. En tant que vérificateur d’identité, il faut nous assurer de poser des questions d’identification secrètes et qui ne sont partagées qu’avec les personnes que nous connaissons. Cela nous permet ainsi de mieux vérifier l’identité des gens et de leur fournir le service. Par exemple, vous ne pourriez pas appeler Service Canada et obtenir des prestations d’assurance-emploi avec l’information qui est divulguée présentement.

M. Matthew Dubé:

Concernant l'obtention d'un nouveau numéro d'assurance sociale, j’ai un peu de difficulté à comprendre. Dans le fond, l’argument, c’est que cela devient compliqué pour le citoyen. En principe, on attribue un numéro d’assurance sociale pour des raisons d'efficacité. Un identifiant unique vise à faciliter les transactions avec les instances gouvernementales.

Vous me pardonnerez cette comparaison qui n’est peut-être pas exacte. Si, aujourd’hui, je constate un problème lié à ma carte de crédit, la banque ou la compagnie émettrice est quand même en mesure de transférer un solde ou de faire le lien entre les transactions légitimes sur ma carte de crédit fraudée et le nouveau numéro de carte qu'elle m'a envoyée.

Pourquoi une institution financière pourrait-elle faire cela alors que, de votre côté, vous n’êtes pas capable de dire que le numéro d'assurance sociale d'une personne est compromis et qu’elle a un nouveau numéro? Un ancien employeur pourrait devoir s'occuper, par exemple, de questions qui concernent la pension de cette personne. Sachant que c'est la même personne, pourquoi n’êtes-vous pas capable de faire le lien entre l’ancien et le nouveau numéro d'assurance sociale? Il faudrait peut-être faire une vérification additionnelle, étant donné que le numéro a été compromis, mais il reste que j'ai un peu de difficulté à comprendre pourquoi vous ne pouvez pas faire cela.

Mme Elise Boisjoly:

Au départ, vous avez énoncé que la première raison pour laquelle on ne donne pas automatiquement le numéro d’assurance sociale est que cela pourrait rendre la vie difficile aux citoyens. Or la première raison est plutôt que cela ne préviendrait pas nécessairement la fraude. C'est un point très important. Il faudrait que le citoyen continue à faire la vérification de son ancien numéro d’assurance sociale parce qu’il existe encore...

M. Matthew Dubé:

Je suis désolé de vous interrompre, mais, si je perds ma carte de crédit, cela ne veut pas nécessairement dire qu'elle a été volée. Elle est peut-être tombée quelque part dans un égout, de sorte qu'on ne la reverra plus jamais et qu'elle ne sera pas utilisée. J'appellerais tout de même ma banque, Visa ou peu importe, pour lui demander d'annuler cette carte. Je ferais quand même des vérifications et j'aurais la paix d'esprit en sachant que je suis protégé.

Pourquoi ne pas suivre la même logique pour un citoyen victime d'une fuite de données personnelles, qui, en plus, est hautement médiatisée? Le citoyen veut mettre tous les points-virgules qu'il peut pour se protéger. Il change ses cartes de crédit et tout le reste, comme on le fait quand on perd son portefeuille. Pourquoi ne pas procéder de la même façon?

Mme Elise Boisjoly:

Le numéro d'assurance sociale n'est pas comme une carte de crédit, qui est le seul identifiant de cette personne pour la banque. C'est un identifiant utilisé par les employeurs d'une personne depuis qu'elle est sur le marché du travail. Ce numéro est aussi utilisé par différents programmes et services.

Présentement, il n'y a pas de système informatique qui relie tous ces systèmes pour faire une mise à jour du numéro d'assurance sociale utilisé par les employeurs et les différents groupes et programmes. Ce travail se ferait de façon manuelle. C'est pour cela que nous ne connaissons pas l'ensemble des employeurs. Au sein du gouvernement fédéral, cela se ferait de façon manuelle. Comme je l'ai dit, c'est ce que nous avons fait un petit nombre de fois. Il y a des risques d'erreur. Je ne fais que le mentionner au Comité.

(1525)

M. Matthew Dubé:

Il me reste moins d'une minute.

Au risque de nous emmêler dans les détails techniques, j'aimerais mieux comprendre. Si un employeur veut utiliser le numéro d'assurance sociale, comment cela fonctionne-t-il? Il doit bien y avoir une sorte d'alignement, quand on remonte l'échelle.

J'ai une dernière question, qui revient à ce que M. Paul-Hus a dit à juste titre.

Je vais prendre l'exemple du Québec. Quand il y a des inondations, les forces de l'ordre et le gouvernement du Québec font des consultations publiques sur place pour que les gens puissent se déplacer.

Monsieur Guénette, je respecte ce que vous avez dit, mais les programmes publicitaires ou les publications sur les médias sociaux ne sont peut-être pas suffisants.

Compte tenu de l'ampleur du vol et de la fuite, avez-vous considéré organiser des consultations en personne dans des endroits névralgiques au Québec ou dans des grands centres à Longueuil, à Montréal ou ailleurs? [Traduction]

Le président:

Encore une fois, monsieur Dubé, vous avez posé une question importante, mais vous n'avez pas prévu de temps pour la réponse, alors vous devrez y revenir de quelque façon à un autre moment.

Vous êtes pourtant si efficace habituellement, monsieur Dubé.[Français]

Je vous souhaite la bienvenue au Comité, madame Lapointe. Vous avez sept minutes.

Mme Linda Lapointe (Rivière-des-Mille-Îles, Lib.):

Merci beaucoup, monsieur le président.

Bonjour à vous tous et merci d'être avec nous.

Je ne siège pas à ce comité ordinairement, mais c'est avec plaisir que j'ai accepté de remplacer un de ses membres permanents.

J'ai discuté avec plusieurs concitoyens dans ma circonscription de Rivière-des-Mille-Îles, qui est au nord de Montréal et qui comprend Deux-Montagnes, Saint-Eustache, Boisbriand et Rosemère, et ils sont très inquiets. C'est quelque chose qui revient constamment depuis que la Chambre a ajourné, le 21 juin dernier. C'est pour cela que j'ai accepté avec empressement d'être ici aujourd'hui, même si je ne connais pas toutes les études qu'a faites ce comité.

Madame Ryan, tantôt, vous avez commencé par dire que c'est le ministère des Finances qui établit les lois et les règlements qui régissent le système bancaire canadien. Vous avez dit par la suite que la surveillance du secteur financier canadien est partagée entre les gouvernementaux fédéral et provinciaux.

Revenons au Québec spécifiquement. Les provinces sont chargées de la surveillance des courtiers en valeurs immobilières, des conseillers en épargne collective et en fonds de placement et des coopératives provinciales, entre autres. Desjardins est une coopérative provinciale. Je viens de parler de mes concitoyens, mais toute ma famille et moi faisons aussi partie des 2,9 millions de personnes touchées. Cela nous préoccupe énormément et nous nous demandons quelles seront les répercussions futures de ce vol sur notre vie.

Avez-vous reçu des demandes de Desjardins? M. Guénette a dit qu'il y a des discussions continues entre les ministères, mais les gens de Desjardins ont-ils communiqué avec vous pour obtenir des informations supplémentaires? [Traduction]

Mme Annette Ryan:

Puisque Desjardins est en grande partie régie par des lois provinciales, son premier interlocuteur gouvernemental serait l'Autorité des marchés financiers du Québec. Quand j'ai parlé de la réglementation qui régit le système bancaire au fédéral, il faut savoir qu'elle s'applique aux institutions qui ont opté pour une réglementation fédérale.

Puisque Desjardins est en grande partie régie par des lois provinciales, nombre des exigences d'exploitation mises en œuvre avant cet incident l'ont normalement été par l'intermédiaire de l'Autorité des marchés financiers.

Ma collègue du Bureau du surintendant des institutions financières peut vous expliquer de quelle façon cela fonctionne au fédéral. Dans l'incident en question, l'institution s'est empressée de prendre diverses mesures responsables afin de ne rien camoufler de la fuite, ce qui est conforme aux lois provinciales et fédérales en matière de confidentialité. Les commissaires à la protection de la vie privée du Canada et du Québec ont également entamé une enquête conjointe sur cet incident, quoique nombre des dispositions relatives à la réglementation financière de Desjardins, mais aussi à la protection des consommateurs, soient ici de compétence provinciale. Nous pouvons traiter du système fédéral, mais nombre des questions que vous pourriez avoir dans ce dossier devraient être posées aux responsables provinciaux.

(1530)

[Français]

Mme Linda Lapointe:

J'ai une autre question. Les bureaux de crédit sont-ils de compétence fédérale? [Traduction]

Mme Annette Ryan:

Ils sont en grande partie de compétence provinciale et, dans ce cas-ci, il est question de compétence provinciale. [Français]

Mme Linda Lapointe:

D'accord.

Les gens d'Equifax ont-ils communiqué avec vous? [Traduction]

Mme Annette Ryan:

Equifax ne communiquerait pas avec nous ni avec le ministère; elle est principalement régie par les lois provinciales sur la protection des consommateurs dans ce cas-ci. [Français]

Mme Linda Lapointe:

Merci.

J'ai écoulé la moitié de mon temps de parole et je vais maintenant m'adresser à vous, monsieur Guénette.

Vous avez parlé tantôt de règles externes sur la prévention des vols d'identité, mais vous n'avez pas parlé beaucoup des règles internes. J'aimerais savoir quelles sont les règles internes à l'Agence du revenu du Canada. Après tout, nous sommes ici aujourd'hui parce qu'il y a eu un vol de données à l'interne.

Comment cela fonctionne-t-il à l'Agence du revenu du Canada? Les employés doivent-ils être à certains échelons pour avoir accès aux systèmes? Vous avez parlé de centraliser ou de détecter les problèmes en intervenant, si nécessaire. Vous avez dit qu'il y a des règles strictes et j'aimerais que vous m'en parliez un peu plus. Les gens peuvent-ils travailler avec leur équipement électronique quand ils sont devant des écrans de l'Agence du revenu du Canada? J'aimerais en savoir plus.

M. Maxime Guénette:

Je vous remercie de votre question.

Évidemment, nous appliquons des règles de sécurité à plusieurs niveaux. D'abord, nous faisons un filtrage du personnel que nous embauchons. Les gens qui ont des accès plus privilégiés ont une cote « Secret » plutôt qu'une cote moins élevée. Une panoplie de mesures de sécurité physique sont en place. Les gens qui travaillent dans les centres d’appel et qui ont accès à des écrans contenant de l’information sur des contribuables n’ont pas le droit d’avoir leur téléphone personnel avec eux. Il y a des mesures prises de ce côté-là.

Quant à l’accès aux données des contribuables, ces données sont sur des serveurs distincts et non branchés à l'Internet. Il y a un mécanisme selon lequel l’accès des employés aux données est révisé sur une base annuelle ou chaque fois qu’ils changent de poste. L’accès de ces employés est vérifié sur une base régulière par les gestionnaires.

En ce qui concerne la charge de travail, dans mes notes d'allocution, j'ai parlé des règles administratives. Quand nous confions une charge de travail à des employés, notre système de gestion de la fraude d’entreprise fait en temps réel une vérification par algorithme. Ce système applique plusieurs douzaines de règles. Par exemple, si un employé vérifie son propre compte d’impôt, une alerte est automatiquement émise et le système la voit tout de suite. Si un employé exécutait un travail ne lui ayant pas été confié, le système émettrait immédiatement une alerte au gestionnaire, qui serait alors en mesure de demander à l'employé ce qu’il faisait dans le système. Des captures d’écran sont faites à la minute près, ce qui nous permet de savoir quelles pages l’employé a consultées ou quels changements il y a apportés. Ce système a été mis en place en 2017 et il est très avancé. Il nous permet d’avoir des contrôles en place.

Pour ce qui est de la prévention de la fuite de données, les employés sont incapables de copier de l’information sur des CD, des DVD ou des clés USB. Le système ne le leur permet pas.

Mme Linda Lapointe:

Merci.

Le président:

Merci, madame Lapointe.[Traduction]

Passons maintenant à M. Motz, puis à M. Clarke.

M. Glen Motz:

Merci, monsieur le président.

Je tiens à remercier une fois de plus les représentants des ministères qui sont ici.

Je n'ai que deux questions brèves pour la représentante du ministère des Finances. Vous dites que votre objectif premier est de prévenir la fuite de données. Nous savons cependant que ces fuites se produisent et qu'elles ne se limitent pas au secteur financier.

Madame Ryan, vous avez dit que, lorsqu'un incident lié à la cybersécurité survient dans une institution fédérale sous réglementation fédérale — ce dont il est question aujourd’hui —, il y a des mécanismes de contrôle et de surveillance en place pour le gérer. Pouvez-vous expliquer concrètement aux Canadiens ce qui arrive quand cela se produit?

(1535)

Mme Judy Cameron (directrice principale, Affaires réglementaires et politique stratégique, Bureau du surintendant des institutions financières):

Permettez-moi de vous répondre.

Je représente le Bureau du surintendant des institutions financières, dont le mandat est de surveiller les institutions financières et de leur imposer des règles afin de protéger les droits et les intérêts des déposants et des créditeurs. En gros, le bureau assure la sûreté et la fiabilité des institutions financières, mais il veille aussi à ce qu'elles se conforment à toute la réglementation fédérale. Par exemple, il s'attend à ce qu'elles aient des systèmes conformes aux lois sur la protection de la vie privée.

Le bureau établit les attentes par rapport aux activités des institutions, comme le respect des lois sur la protection de la vie privée. Il s'attend également à ce qu'elles effectuent des autoévaluations des risques pour établir les protections nécessaires contre les menaces internes de cybersécurité. Il supervise donc les institutions pour s'assurer qu'elles respectent les attentes établies de sorte à confirmer la présence de systèmes de gestion dûment conformes.

M. Glen Motz:

Essentiellement, c'est de la surveillance, sans plus. Et, dans le cas présent, c'est de la surveillance par rapport à ce qui s'est passé pour s'assurer que...

Mme Judy Cameron:

C'est la surveillance de leurs systèmes pour prévenir ce genre de situations, en fait.

M. Glen Motz:

D'accord. Va pour cette question. L'autre question est pour Mme Ryan ou quiconque peut...

Je vais simplement lire le résumé que vous avez fourni. Vous avez dit: « ... la cybersécurité est un domaine d'une importance critique pour le ministère des Finances. Nous collaborons activement avec des partenaires de l'ensemble du gouvernement et du secteur privé pour nous assurer que les Canadiens sont bien protégés contre des incidents liés à la cybersécurité et que, lorsqu'ils surviennent, les incidents sont gérés de façon à atténuer les répercussions sur les consommateurs et le secteur financier dans son ensemble ».

À quoi est-ce que cela ressemble pour les consommateurs touchés, pour l'ensemble des consommateurs, pour l'institution financière, pour le secteur bancaire et pour les divers ministères? Vous pouvez certes faire ce genre de déclarations, mais à quoi cela ressemble-t-il concrètement?

Mme Annette Ryan:

Je pense que le nombre de partenaires fédéraux que vous avez entendus aujourd'hui en témoigne.

Les investissements dans le centre pour la cybersécurité faisaient partie de la première ligne de défense en vue du renforcement de la capacité de prévenir les atteintes à la cybersécurité et, comme l'a dit André Boucher, ils sont axés sur la mise en œuvre d'une réponse adaptée à celles-ci. Dans ce cas-ci, un type particulier d'atteinte à la cybersécurité s'est produit, une infraction commise par un employé, si bien qu'un grand nombre des moyens de défense mis en place par le centre pour la cybersécurité n'ont pas été déployés, mais les ressources de ce centre sont complétées par les nouvelles ressources de la GRC. Vous avez entendu cette dernière parler du centre national de lutte contre la cybercriminalité et de ses efforts au sein du Centre antifraude du Canada.

Nous sommes également conscients que les atteintes à la cybersécurité ou aux données relèvent de la protection de la vie privée. Par conséquent, des mesures telles que les nouvelles exigences obligeant les entreprises à aviser leurs clients de toute atteinte sont essentielles pour permettre aux citoyens de se montrer vigilants quant à leurs propres finances et de savoir que des renseignements importants à leur sujet ont été touchés. Il est important de faire appel à des services de surveillance comme Equifax parce qu'ils permettent à ces personnes de savoir quand quelque chose est fait en leur nom à leurs dépens.

M. Glen Motz:

J'ai une question complémentaire à ce sujet. Si j'étais l'un des 2,9 millions de Canadiens concernés par cette situation, ou l'un des millions de Canadiens qui ont déjà été victimes d'atteintes aux données de toutes sortes, je voudrais moi aussi obtenir de l'aide pour reprendre le contrôle de ma vie. On parle actuellement beaucoup de ce en quoi pourrait consister cette aide, mais concrètement, les Canadiens veulent savoir comment reprendre le contrôle de leur vie. Ils veulent atténuer les risques et les répercussions qu'une telle atteinte peut avoir sur leur vie personnelle, sur leur avenir financier et sur celui de leur famille.

Je suis curieux; il semble que le ministère des Finances a un rôle à jouer dans la création d'un lieu où les Canadiens puissent obtenir les renseignements dont ils ont besoin, suivre un modèle, trouver des numéros à appeler ou autre pour mettre de l'ordre dans leur vie, car ces événements sont et seront catastrophiques pour ceux dont ces criminels vont profiter.

En tant que gouvernement, nous avons la responsabilité de veiller à protéger les Canadiens du mieux que nous le pouvons. Ces problèmes ne vont pas disparaître.

(1540)

Le président:

Je vais devoir en rester là. Je vous remercie de votre témoignage.

Chers collègues, j'ai besoin de votre avis. Nos prochains témoins sont à l'extérieur et, comme vous le savez, ils sont soumis à des contraintes de temps. Je propose de suspendre la séance. Ma question, chers collègues, est la suivante: voulez-vous suspendre la séance et laisser ces témoins partir, ou voulez-vous suspendre la séance et leur demander de rester pour que nous puissions poser notre dernière série de questions?

M. David de Burgh Graham:

S'ils sont disposés à rester, j'aimerais poser mes questions.

M. Alupa Clarke:

J'aimerais poser mes questions à ces témoins, s'il vous plaît.

Le président:

Sur ce, je vais suspendre la séance. Je vais demander aux témoins de quitter la salle, mais de rester à proximité, et de revenir quand nous aurons terminé avec le prochain témoin... [Français]

M. Rhéal Fortin:

Monsieur le président, j'aurais des questions pour les témoins, mais je vous laisse décider à quel moment il sera opportun de les poser. [Traduction]

Le président:

Nous avons hâte de les entendre, monsieur Fortin

Sur ce, nous allons suspendre la séance pour quelques minutes pendant que nous accueillons notre prochain groupe de témoins. Je vous remercie.

(1540)

(1540)

Le président:

Chers collègues, veuillez vous asseoir.

Je demande au prochain groupe de témoins de se joindre à nous —  M. Brun, M. Cormier et M. Berthiaume.

Je vais demander aux caméras de quitter la salle. Cela concerne toutes les caméras, y compris celle de CBC. Merci.

Monsieur Cormier, j'aimerais vous remercier, vous et vos collègues, de votre présence. Vous semblez être très populaires dernièrement.

Nous avons encouragé les témoins à faire de brèves déclarations, en insistant sur le fait qu'elles doivent être courtes, parce que les députés souhaitent vivement poser des questions. Monsieur Cormier, on m'a communiqué des renseignements contradictoires quant à l'heure à laquelle vous devez partir. À quelle heure devez-vous nous quitter au juste?

M. Guy Cormier (président et chef de la direction, Mouvement Desjardins):

Nous sommes censés partir vers 16 h 30, mais nous pouvons peut-être ajouter...

Le président:

Je vous encourage à rester plus longtemps si possible.

M. Guy Cormier:

Nous pourrions probablement rester une heure.

(1545)

Le président:

D'accord. Je pense que cela suffira. Vos collègues pourront peut-être rester après votre départ.

Le fait est qu'il s'agit d'une réunion d'urgence et que des gens sont venus de partout au Canada pour entendre ce que vous avez à dire.

Sur ce, je vous demande de formuler vos observations, après quoi nous passerons aux questions.

M. Guy Cormier:

Merci beaucoup.[Français]

Monsieur le président, mesdames et messieurs les membres du Comité permanent de la sécurité publique et nationale, bonjour. Je suis accompagnée cet après-midi de M. Denis Berthiaume, premier vice-président exécutif et chef de l’exploitation, et de M. Bernard Brun, vice-président des relations gouvernementales, du Mouvement Desjardins.

D'entrée de jeu, j'aimerais dire que, chez Desjardins, nous étions ambivalents à l'égard de cette séance extraordinaire du Comité.

D’une part, cette séance peut paraître prématurée, dans la mesure où nous sommes en train de gérer cette situation et que des enquêtes policières sont en cours. Il est donc beaucoup trop tôt pour faire un bilan de la situation. Dans ce contexte, nous nous engageons à vous dire tout ce que nous savons de façon, toutefois, à ne pas nuire aux enquêtes en cours.

D’autre part, cette séance spéciale représente à nos yeux une occasion d’alerter les législateurs et l’opinion publique sur l'enjeu de la sécurité des renseignements personnels et sur la nécessité de repenser la notion d’identité numérique au Canada. Dans ma réflexion, c’est ce point qui l’a emporté.

Je vais d'abord dire une évidence: ce qui s’est produit chez Desjardins s’est produit ailleurs et pourrait se reproduire ailleurs, dans n’importe quelle entreprise privée ou n'importe quel organisme public dont la mission comporte la gestion de renseignements personnels. Qu’on pense à plusieurs banques dans le monde, par exemple Chase, aux États-Unis, Sun Trust, le Korea Credit Bureau ou, encore, plusieurs entités gouvernementales du Canada et des États-Unis, pour ne nommer que ceux-là, qui ont d’ailleurs été victimes d’employés malveillants.

Desjardins est une institution financière de premier plan et l'un des plus importants groupes financiers coopératifs dans le monde, avec plus de 300 milliards de dollars d’actifs. En 2015, le Mouvement Desjardins a été classé par Bloomberg au premier rang des institutions financières les plus sûres en Amérique du Nord, devant toutes les banques canadiennes. En d’autres mots, même les meilleurs ne sont pas à l’abri, et ce message doit être entendu, selon nous.

Personnellement, je travaille au Mouvement Desjardins depuis 27 ans. J’ai choisi cette organisation dès le début de ma carrière parce que c’est une institution financière qui réussit, après près de 120 ans, à très bien conjuguer l’économie et le social dans notre société.

Les agissements d’un employé malveillant sont à l'origine de cette situation déplorable, lequel est aujourd’hui congédié. Il a contrevenu à toutes les règles de notre coopérative. Dans cette situation, nous avons agi le plus rapidement possible et de la façon la plus transparente possible, avec pour seul objectif la protection de l’intérêt de nos membres. C’était notre priorité.

Dès le 20 juin, quelques jours après avoir appris l’ampleur de la situation, nous sommes sortis publiquement et avons donné toute l’information disponible, en concertation avec les forces policières. Nous avons aussi annoncé dès ce moment les mesures mises en place concernant la fuite des renseignements personnels.

Nous avons déployé tous les moyens que requiert la situation. Nous avons rapidement apporté des mesures additionnelles de surveillance et de protection, afin de protéger les renseignements personnels et financiers de nos membres et de nos clients. Nous avons avisé toutes les autorités compétentes: le Commissariat à la protection de la vie privée du Canada, la Commission d’accès à l’information du Québec, l’Autorité des marchés financiers, le Bureau du surintendant des institutions financières, ainsi que les ministères des Finances du Québec et du Canada.

Nous avons mis en place des mesures additionnelles pour confirmer l’identité des personnes lorsqu’elles font appel à nous et assurons une vigie constante de l’ensemble des comptes de nos membres. Les procédures pour confirmer l’identité de nos membres et de nos clients, lorsqu’ils appellent les caisses Desjardins, les centres Desjardins Entreprises et notre centre d’appel AccèsD, ont également fait l’objet de mesures additionnelles.

Nous avons communiqué avec les membres concernés par la messagerie privée AccèsD et par lettre personnalisée, afin de les informer de la situation et des actions qu'ils devaient poser.

Nous avons aussi ajouté des mesures complémentaires pour faciliter l’activation du forfait de surveillance d’Equifax. Les membres touchés peuvent maintenant s’inscrire de quatre façons: sur le site Internet d’Equifax, par le service téléphonique d’AccèsD, par l’application Web et mobile d’AccèsD et directement dans nos caisses Desjardins en parlant avec leur conseiller.

Nous poursuivons activement notre collaboration avec les différents corps policiers. Finalement, nous travaillons avec des experts externes pour continuer à protéger les renseignements personnels de nos membres.

Je peux vous confirmer que nous avons agi avec diligence. À la suite des informations transmises par le Service de police de Laval, notre enquête interne a rapidement permis de remonter à la source de la fuite: un employé unique. Cet employé a été suspendu, puis congédié.

À l’heure actuelle, notre première priorité est de rassurer, d’accompagner, de soutenir et de protéger chacun des membres qui ont été touchés par cette situation.

(1550)



Encore ce matin, nous avons annoncé de nouvelles mesures de protection pour l'ensemble de nos membres. Dans cette ère du numérique, nous croyons, chez Desjardins, que tous nos membres doivent être protégés.

Comme je le disais, ce matin, Desjardins a annoncé qu'à compter de maintenant tous les membres de notre coopérative vont bénéficier d'une protection contre les transactions financières non autorisées et le vol d'identité. L'adhésion est automatique et sans frais, qu'ils aient été touchés ou pas par cette fuite de données. Depuis ce matin, Desjardins protège tous ses membres, tant les membres particuliers que les membres entreprises. C'est un précédent dans le monde des services financiers au Canada; nous sommes la première institution à faire cela. Dans cette situation, Desjardins agit avec rigueur, un sens du devoir et la volonté d'honorer son lien particulier avec ses membres.

Nous sommes entrés dans une ère où les données sont une ressource au même titre que l'eau, le bois et les matières premières essentielles au fonctionnement de pans entiers de notre économie. C'est la matière première, dorénavant, de toute une économie innovante qui va permettre des gains de productivité formidables et faciliter la vie des citoyens.

Le Canada est à quelques mois de l'opérationnalisation de la connectivité mobile 5G, qui va décupler les flots de données en circulation. Selon les spécialistes, cette connectivité ultrarapide sera le déclencheur d'applications futuristes liées à l'intelligence artificielle, un domaine où le Canada figure déjà parmi les leaders mondiaux avec ses trois pôles, Montréal, Toronto et Edmonton. Également, à l'heure où on se parle, le ministère des Finances du Canada est en consultation sur l'open banking, un système bancaire ouvert qui amènerait une ouverture du secteur transactionnel. Le virage a d'ailleurs déjà été entrepris dans plusieurs pays d'Europe.

À vous, législateurs, je me permets humblement de poser les questions suivantes.

Le Canada est-il bien outillé actuellement pour encadrer ces développements technologiques pleins de promesses, mais qui comportent aussi des risques nouveaux? Y a-t-il lieu d'adapter nos systèmes d'identification à cette ère du numérique pour garantir la protection des renseignements personnels et mieux lutter contre les cybercriminels? C'est toute la notion de l'identité numérique à laquelle j'ai fait allusion il y a quelques minutes.

Je vous soumets respectueusement que ce sont des questions réelles soulevées par la situation survenue chez Desjardins.

En terminant, je me permets de faire une proposition. J'invite ce comité à recommander au gouvernement du Canada la formation d'un groupe de travail spécial multipartite qui conseillerait le gouvernement sur la manière d'encadrer la gestion des données personnelles et l'identité numérique. Un tel groupe à l'écoute des préoccupations des citoyens devrait rassembler minimalement, selon nous, des représentants des gouvernements, du secteur des services financiers et des assurances, du secteur des télécommunications, ainsi que des juristes et des experts, ou tout autre groupe que le gouvernement trouverait pertinent de faire participer à la réflexion.

Le mandat de ce comité devrait consister en ceci: conseiller le gouvernement en matière de lois et de règlements; assurer la protection du public; favoriser un développement technologique innovant au bénéfice des citoyens et des communautés; et assurer une veille stratégique des meilleures pratiques dans le monde, afin que le Canada soit toujours à la page.

Personnellement, j'estime que le Canada ne peut viser l'excellence en technologie numérique et en intelligence artificielle sans avoir la même ambition en ce qui a trait à la gestion des données et des renseignements personnels. Nous devons tous tirer des leçons de la situation que vit le Mouvement Desjardins actuellement.

Merci.

Le président:

Merci, monsieur Cormier.

Monsieur Picard, vous avez sept minutes, s'il vous plaît.

M. Michel Picard:

Messieurs, bienvenue. Je vous remercie de vous prêter à l'exercice. Votre présence est très appréciée.

Monsieur Cormier, d'entrée de jeu, je vais vous rassurer en vous disant que le Comité permanent de la sécurité publique et nationale et le Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique ont commencé, en janvier dernier ou même avant, à traiter de questions entourant l'identifiant unique. Nous avons regardé des modèles de l'étranger, par exemple celui de l'Estonie, qui pose un certain nombre d'autres problèmes.

Avant de vous poser des questions d'ordre plus pratique, j'aimerais vous soumettre que l'identifiant unique fait partie des problèmes liés à la cybersécurité. La journée où quelqu'un mettra la main sur l'identifiant unique, on fera face au même problème.

Je suis content d'apprendre que vous offrez une protection à tous vos membres. Cependant, les institutions financières ont tendance à faire payer leurs clients pour protéger leurs données contre le vol d'identité. L'offre est faite par les institutions financières elles-mêmes. Avez-vous la même philosophie?

Pour que mon salaire soit déposé dans mon compte bancaire, pour faire des transactions, des retraits automatisés et des paiements Interac, je suis obligé de donner mon nom, mon adresse et mon numéro d'assurance sociale à l'institution avec laquelle je fais affaire. Or, je dois recourir à une tierce personne pour protéger ces informations. Pourquoi dois-je compter sur quelqu'un d'autre que l'entité à qui je donne ces informations?

(1555)

M. Guy Cormier:

Pour répondre à la première partie de votre question, je vous dirais que nous avons pris la décision, dès ce matin, de mettre en place un programme de protection pour l'ensemble de nos membres, tant les particuliers que les entreprises. Le volet entreprises n'est parfois pas couvert par d'autres institutions, voire par Equifax. Nous avons décidé d'offrir ce service gratuitement à nos membres tant qu'ils restent chez Desjardins. Il n'est pas question de leur facturer quoi que ce soit. Je répète très rapidement que le programme couvre toutes les transactions financières non autorisées sur le compte d'une personne, ses dépôts et son argent. Si une transaction n'a pas été autorisée, nous allons rembourser la personne. C'est une première chose.

Deuxièmement, si une personne est malheureusement victime d'un vol d'identité, nous lui offrirons une assistance, et non pas une liste de ce qu'elle doit faire. Nous allons lui offrir l'assistance de nos experts, qui pourront même participer à des conférences téléphoniques pour l'aider à restaurer son identité.

Troisièmement, nous allons offrir une protection allant jusqu'à 50 000 $ pour rembourser des frais que les membres auront pu subir, que ce soit une perte de salaire, des frais de gardiennage d'enfants ou d'obtention de documents.

Ce concept de gratuité est extrêmement important pour nous. Si vous êtes membre de la coopérative, vous avez accès à ce programme.

Nous proposons humblement qu'on mette sur pied un comité pour, entre autres, répondre à la question de savoir si la protection des données personnelles doit être gérée par des tierces entreprises. Je pense que le statu quo n'est pas une option.

M. Michel Picard:

Il y a deux problèmes à la solution que je considère comme temporaire de faire affaire avec une tierce partie. Vous demandez aux gens de faire affaire avec une tierce partie pour protéger leurs renseignements personnels, tierce partie qui, il y a deux ans, a aussi été victime d'actes de piratage. Nous avons fait une étude là-dessus ici.

Quelle serait la limite de votre responsabilité si l'entité à qui vous faites confiance, notamment Equifax, se faisait pirater les renseignements personnels de vos clients?

M. Guy Cormier:

C'est une question pertinente. Au Canada, la firme qui détient une part de marché de plus de 70 % dans le domaine de la protection et de la gestion de renseignements et de données est Equifax.

Quand cet événement est survenu, nous avons décidé de nous tourner vers l'entreprise canadienne qui offrait ce service aux Canadiens. Nous avons donc travaillé avec elle, mais, au cours des jours suivants, nous avons constaté qu'il y avait des problèmes. Nous avons rapidement pris nos propres mesures pour remédier aux problèmes liés à l'inscription des membres sur le site Internet d'Equifax. Nous l'avons vécu. Nous avons vu qu'il fallait améliorer les procédures et les façons de faire, et nous avons pris cela en charge.

Maintenant, faudrait-il que ce soit une seule, deux ou trois entreprises privées au Canada qui pilotent tout cela? La réflexion s'impose tout à fait.

M. Michel Picard:

Le vol d'identité a ceci de particulier que la donnée est active et à jamais sur le marché, à moins que la personne qui l'utilise ne meure. La donnée est virtuellement présente partout dans le monde. Elle peut être utilisée sur le marché noir après 24 heures, comme dans les cas de fraude de cartes de débit ou de crédit.

Le problème du vol d'identité ne concerne pas la sécurité des données du client à sa propre institution financière. Je suis convaincu que vos systèmes sont à jour quant à la protection contre le piratage de l'extérieur et que votre responsabilité envers vos clients est à la hauteur des attentes des Québécois et des Canadiens. S'il y a un problème dans le compte, vous allez rembourser l'argent qui a été détourné de façon criminelle.

Le problème du vol d'identité est le suivant. Disons qu'une personne se présente à une banque demain matin, dise s'appeler Guy Cormier et avoir besoin d'un prêt hypothécaire pour acheter une maison. L'hypothèque serait dans cette autre banque et non chez Desjardins.

Le vol d'identité fait des dommages dans d'autres milieux. Il y a eu les fameux flips immobiliers à Saint-Lambert, dans la Rive-Sud, où des personnes ont contracté de fausses hypothèques sous de fausses identités. Il y en a eu treize à la douzaine, et ce n'était qu'au Québec. Après cela, ce sera le Canada et l'Europe. Le vol d'identité a des répercussions et prend effet à l'extérieur du système financier du Mouvement Desjardins.

La protection que vous offrez, qui est appréciée et nécessaire, est quand même limitée à la vie financière du client, si je puis dire, au sein de son institution.

(1600)

M. Guy Cormier:

Essentiellement, la réflexion derrière la nouvelle mesure que nous avons annoncée ce matin, c'est qu'on est à l'ère numérique. Il y aura de moins en moins de transactions sur papier au cours des prochaines années. Cette donnée devient une matière première pour notre économie. Compte tenu de l'importance de ces données, chez Desjardins, nous avons pris la responsabilité d'offrir une protection à l'ensemble de nos membres.

Je disais qu'il y avait trois piliers. Le premier est la dimension financière à laquelle vous faites allusion. Si un membre de Desjardins voit une transaction non autorisée par lui-même apparaître dans ses comptes d'opération, Desjardins va totalement l'indemniser. Cela répond à la première partie de votre question sur la dimension des transactions financières.

S'il survient d'autres types de vol d'identité liés à des transactions de carte de crédit effectuées ailleurs, par exemple, des achats de téléphones cellulaires ou des locations de véhicules, la personne peut communiquer avec Desjardins et on va s'occuper d'elle. Deuxièmement, si elle a besoin de soutien pour restaurer son identité, pas sur le plan financier, mais relativement à d'autres éléments de la vie privée, Desjardins va l'accompagner. S'il faut appeler des agences gouvernementales ou des firmes privées, ou encore l'aider à préparer des documents notariés ou une présentation, nous allons le faire. On n'est donc plus dans la dimension financière, on accompagne la personne dans les autres démarches qu'elle pourrait avoir à entreprendre. [Traduction]

Le président:

Merci, monsieur Picard.[Français]

Monsieur Paul-Hus, vous avez sept minutes.

M. Pierre Paul-Hus:

Merci, monsieur le président.

Merci, monsieur Cormier, messieurs, d'être avec nous.

Nous comprenons très bien que c'est une situation très émotive et très compliquée pour Desjardins. Monsieur Cormier, vous avez mentionné qu'il était prématuré de tenir une réunion de comité. Ce que je veux expliquer de nouveau à tout le monde, c'est que les conservateurs ont demandé cette réunion, avec l'appui du NPD, dans le but de voir ce que le gouvernement fédéral pouvait faire pour aider l'entreprise Desjardins et les quelque 3 millions de membres touchés.

L'objectif n'est pas d'enquêter sur la situation ou de connaître la façon dont les données ont été subtilisées. Ce sont les policiers qui s'en occupent. De mon côté, j'espère bien que l'individu va être puni avec toute la rigueur de la loi. J'espère que la loi est assez forte pour l'envoyer en prison longtemps, mais c'est une autre question.

Nous avons rencontré des fonctionnaires de différents ministères, notamment du ministère des Finances et de l'Agence du revenu du Canada. Ce sont de grands ministères, mais il est difficile de savoir si le gouvernement du Canada peut être utile dans cette situation.

Je veux savoir si vous avez reçu un soutien efficace du gouvernement. Sinon, que pourrait-il faire pour vous aider?

M. Guy Cormier:

Il y a deux ou trois éléments de réponse. Lorsque cet événement s'est produit, nous sommes entrés en contact avec plusieurs agences des gouvernements fédéral et provincial. Nous avons parlé aux différents ministères des Finances et, je tiens à vous le dire, nous avons senti une bonne collaboration et un bon soutien. M. Bernard Brun pourra confirmer qu'il y a eu des discussions très claires et très franches.

Ce que je constate, c'est que les autorités gouvernementales, tant fédérales que provinciales, veulent rassurer la population. Vous ne savez pas à quel point cela est important pour nous. Parfois, on voit ce qui s'écrit et ce qui se dit, et je comprends que les gens aient des inquiétudes et des questions. Comme députés, vous devez en recevoir beaucoup de vos concitoyens dans vos circonscriptions.

Je constate que les gens des gouvernements fédéral et provincial veulent rassurer les gens et les informer adéquatement. Cela aide beaucoup Desjardins. Il faut dire aux gens de communiquer avec nous afin que nous puissions leur présenter les programmes que nous avons annoncés ce matin. Chaque fois que nous rencontrons les gens, que ce soit dans nos caisses ou dans nos centres de contact avec la clientèle, nous sommes en contact direct et nous les rassurons.

Sans vouloir banaliser la situation, plusieurs études et plusieurs experts qui nous accompagnent actuellement nous disent très clairement qu'il y a une différence entre une fuite de données et ce qui se matérialise en un réel vol de données. Ce n'est pas un cas de « un pour un ». Ce sont des proportions très infimes.

En ajoutant la protection que nous avons annoncée ce matin, à nos yeux, nous venons dire à tous nos membres, y compris les entreprises, de ne pas s'inquiéter. S'il y a un problème, ils doivent appeler Desjardins. Nous nous occupons de les accompagner.

(1605)

M. Pierre Paul-Hus:

Depuis l'incident, vous offrez aux membres touchés un abonnement gratuit de cinq ans aux services d'Equifax. Est-ce que la nouvelle protection annoncée ce matin est un abonnement à vie aux mêmes services, ou s'agit-il d'une nouvelle protection interne?

M. Guy Cormier:

C'est exact, il y a une nouvelle protection interne. Comme je le disais, il s'agit du premier pilier. Si les gens voient une transaction non autorisée passée à leur compte, ils doivent aviser Desjardins. Nous allons ensuite regarder cela avec eux et les rembourser en totalité. Il est important de mentionner qu'il n’y a pas de plafond, que ce soit 10 000 $ ou 100 000 $.

Deuxièmement, s'ils sont victimes d’un vol d’identité, ils doivent communiquer avec nous. Nous allons les accompagner et faire des conférences téléphoniques. Nous offrons même des heures de soutien psychologique, par l'entremise de nos compagnies d'assurance-vie, aux gens qui vivent cette situation avec beaucoup d'émotion.

Troisièmement, il s'agit de la nouvelle protection de 50 000 $ pour les gens qui doivent engager des dépenses personnelles pour restaurer leur identité. Desjardins va assumer ces dépenses. C'est extrêmement important.

Pour ce qui est des services d'Equifax, je répète qu’il est important que les gens victimes de la fuite de données continuent de s'y inscrire activement, car cela leur donne le service d’alerte. Celui-ci pourrait les alerter d'une transaction non autorisée dans les semaines ou les mois suivants, ce qui n’est pas inclus dans le forfait de Desjardins. Le Mouvement Desjardins recommande très fortement aux membres victimes de cette fuite de s’inscrire aux services d'Equifax.

M. Pierre Paul-Hus:

Je suis membre de Desjardins, mais également client de la Banque Royale...

M. Guy Cormier: Merci.

M. Pierre Paul-Hus: La Banque Royale a un système que je ne connaissais pas. Je l'ai appris d'un employé la fin de semaine dernière. Sur son site, il y a un lien vers le site de TransUnion et, en cliquant dessus, mon dossier de crédit et ma cote de crédit apparaissent, et c’est tout à fait gratuit.

Est-ce que Desjardins va offrir un service semblable?

M. Guy Cormier:

Je vais laisser M. Berthiaume répondre à cela. Il va sûrement être très content.

M. Denis Berthiaume (premier vice-président exécutif et chef de l'exploitation, Mouvement Desjardins):

Nous offrons le même type de service avec TransUnion. Sur le Web et sur les appareils mobiles, on peut avoir accès à sa cote de crédit en temps réel. En ce qui a trait au système d’alerte, je pense que nous l'avons bien expliqué. Nous faisons affaire avec Equifax, mais nous considérons également la possibilité d'offrir un système d'alerte avec TransUnion.

M. Pierre Paul-Hus:

Vous avez fait un travail extraordinaire pour mettre tout cela en place. Je vous félicite.

Maintenant, je voudrais parler des citoyens qui ont peur que leurs données qui ont été envoyées quelque part dans le monde soient utilisées pour faire des transactions ou quoi que ce soit. Vous ne pouvez pas être responsables de tout le monde. Vous avez une responsabilité envers vos membres, et 90 % des Québécois sont membres de Desjardins, mais vous ne pouvez pas savoir si une donnée envoyée à l'étranger provient de cette fuite précise.

En d'autres mots, si mes données volées sont envoyées à l’étranger, allez-vous me couvrir quand même, alors qu'elles auraient pu être envoyées par une autre source?

M. Guy Cormier:

Ce n'est pas seulement la situation que nous vivons chez Desjardins qui nous a amenés à faire la proposition de ce matin, mais nous avons certainement accéléré les choses. À chaque début d'année, nous faisons une planification et, en fonction de la sécurité, de nos nouveaux produits et de nos nouvelles offres, nous nous demandons ce qu'il est pertinent d'offrir à nos membres en fonction des besoins.

M. Pierre Paul-Hus:

Je vais vous interrompre, parce que j'ai compliqué les choses inutilement. Ce que je voulais dire, c’est que même s'il y a eu une fuite de données de votre côté, il se pourrait qu'une autre organisation envoie mes informations ailleurs. Dans un tel cas, le gouvernement n’aurait-il pas une certaine responsabilité? On dirait que vous vous occupez des problèmes de tout le monde. À un moment donné, ne devrait-on pas suggérer que le gouvernement du Canada donne un coup de main à tous les citoyens?

M. Denis Berthiaume:

Écoutez, en ce moment, ce qui est important, c'est de rassurer les membres et d'offrir une protection à tout le monde. On ne va pas se mettre à déterminer si une donnée envoyée à l'étranger provient de la fuite de données chez Desjardins ou d'une autre fuite de renseignements dans une autre organisation. Nous voulons couvrir et rassurer nos membres.

Pour répondre à votre question, si une fraude survient dans un compte Desjardins, nous allons couvrir le membre concerné. Comme c'est le cas chez d'autres institutions financières, en cas de tentative de fraude, qu'il s'agisse d'un compte d'opérations courantes, d'un compte de carte de crédit ou d'un autre type de compte, nous n'en tenons pas les membres responsables.

Le président:

Merci, monsieur Paul-Hus.

Monsieur Dubé, vous avez sept minutes.

M. Matthew Dubé:

Merci, monsieur le président.

Messieurs Cormier, Brun et Berthiaume, je vous remercie d’être ici. Vous êtes les bienvenus. Je crois que vous avez très bien saisi notre intention, c'est-à-dire échanger pour rétablir la confiance des personnes qui sont extrêmement inquiètes. Vous l’avez bien dit. Comme vous, nous entendons parler ces gens-là. C’est encore plus intéressant pour nous, puisque nous venons de terminer une étude. En fait, nous avons plutôt ouvert la porte aux députés de la prochaine législature en ce qui concerne la cybersécurité dans le secteur financier. Dans ce contexte-là, cela nous intéresse particulièrement.

Puisqu'on ne l’a pas mentionné encore, je dirais que, comme députés québécois, nous ne sommes pas ici pour faire une chasse aux sorcières. Avec le nombre d'activités auxquelles nous assistons, nous constatons clairement que Desjardins est un partenaire local de la communauté. Nous voulons travailler ensemble, et je pense que votre recommandation d'aujourd’hui va dans ce sens-là. Alors, je vous remercie.

J’aimerais aborder quelques éléments, en espérant que vous puissiez répondre à quelques questions. Je comprends les contraintes sous lesquelles vous vous présentez. La première chose est toute simple et semble niaiseuse, mais il s'agit des services français d'Equifax. Quelques personnes ont signalé qu'elles avaient de la difficulté à obtenir des services en français. Avez-vous collaboré avec eux pour vous assurer que vos membres, dont la très grande majorité est francophone, reçoivent un service en français?

(1610)

M. Denis Berthiaume:

Oui. Tout d'abord, nous voulions agir rapidement avec Equifax, et je pense que cela a été le sens de la démarche. Les gens d'Equifax ont été très collaboratifs. Ils ont même ajusté leur offre de service pour nous accommoder à plusieurs égards. Nous avons donc eu une excellente collaboration.

Maintenant, au fil du temps, nous avons réalisé effectivement que la capacité francophone atteignait certaines limites chez Equifax. C'est la raison pour laquelle nous avons apporté un certain nombre de mesures additionnelles. Le président vous a mentionné les quatre initiatives qui ont été mises en place.

Premièrement, les gens peuvent aller, que ce soit sur le Web ou sur leur téléphone cellulaire, s'inscrire directement aux services d'Equifax. Nous nous occupons de les diriger vers ces services, de faire le lien avec Equifax et de faire l'authentification.

Deuxièmement, les gens peuvent obtenir un service francophone en joignant nos centres d'appels AccèsD. Les temps d'attente sont très raisonnables. Nous faisons l'interface, en quelque sorte, entre nos membres et Equifax afin d'améliorer l'expérience. C'est ce que nous avons mis en place au cours des derniers jours et des dernières semaines. Nous croyons que cela a porté ses fruits.

M. Matthew Dubé:

Ce n'est pas nécessairement propre à ce qu'on veut examiner, et cela ne relève pas du mandat du Comité, mais vous comprendrez que je voulais tout de même avoir l'heure juste là-dessus. Merci.

J'aimerais revenir sur la réglementation. On en a un peu entendu parler de la part des représentants du gouvernement qui vous ont précédés. Cela devient-il encombrant pour ce qui est d'atteindre vos objectifs et d'assurer la sécurité des données de vos membres? Vous êtes dans une situation particulière où vous êtes assujettis à la fois à la réglementation du gouvernement du Québec et à celle du gouvernement fédéral. Comparativement aux institutions financières traditionnelles et aux grandes banques, vous êtes dans une situation un peu unique. Vous me pardonnerez la terminologie qui n'est peut-être pas appropriée, mais je pense que vous comprenez ce que je veux dire. Cette situation différente peut-elle causer des ennuis?

Plus simplement, aurait-on intérêt à assurer une meilleure harmonie entre les exigences du gouvernement du Québec et celles du gouvernement fédéral, de sorte que vous n'ayez pas à tourner à gauche et à droite pour vous conformer à deux entités réglementaires différentes?

M. Bernard Brun (vice-président, Relations gouvernementales, Mouvement Desjardins):

Je vous remercie de votre question.

Effectivement, c'est extrêmement pertinent, parce que nous évoluons dans un système bijuridictionnel. Cela dit, dans l'ensemble, Desjardins est parfaitement à l'aise dans le cadre actuel. Évidemment, avec les échanges technologiques, l'interrelation au sein du système financier est de plus en plus manifeste. À ce sujet, il est primordial de ne pas agir en vase clos.

Plus tôt, M. Cormier a souligné que nous avions eu une bonne collaboration. Nous avons pu discuter avec tous les intervenants des gouvernements fédéral et provincial. Nous les incitons beaucoup à travailler ensemble. Nous sentons qu'il y a une collaboration, mais nous insistons pour que les gouvernements eux-mêmes discutent.

Quant au fait qu'une entité comme le Mouvement Desjardins navigue des deux côtés, je ne vois pas cela comme étant un problème. Cependant, nous avons manifestement besoin de soutien à cet égard. Nous le sentons et nous mettons l'accent là-dessus. Cela vient rejoindre notre suggestion de mettre sur pied un comité multipartite avec des gens des différents gouvernements. C'est ce qui nous permettra d'avancer et d'avoir des politiques efficaces qui vont toucher tout le monde.

M. Matthew Dubé:

Merci.

Il sera peut-être plus difficile de répondre à ma prochaine question, puisque l'enquête policière est toujours en cours.

Compte tenu de l'expertise en hausse en matière de cybersécurité, surtout chez les gens qui en font leur travail, croyez-vous qu'il serait approprié de recommander la vérification continue des comportements ou des antécédents d'employés qui ont accès à de l'information sensible et qui sont en mesure d'exploiter les informations d'autres utilisateurs, c'est-à-dire d'autres employés?

Je ne suis pas en train de dire que vous n'avez pas été à la hauteur à cet égard, mais tout le monde commence à reconnaître qu'il y a des personnes qui ont de plus en plus d'expertise. On se sert de leur expertise, mais cela peut aussi avoir des conséquences plus néfastes.

(1615)

M. Guy Cormier:

Mon collègue peut parler de nos pratiques, puis je compléterai ses remarques selon ma perspective.

M. Denis Berthiaume:

La première des choses, c'est qu'il y a des enquêtes de sécurité rigoureuses qui se déroulent chez Desjardins de façon continue. Ensuite, effectivement, les enquêtes sont liées au niveau d'emploi. C'est un élément important.

En ce qui concerne la situation qui nous occupe, on pourrait se demander si on aurait pu détecter quoi que ce soit. J'aime bien rappeler que la fraude interne par un employé malveillant est le risque contre lequel il est le plus difficile de se prémunir. C'est reconnu partout dans l'industrie, et il y a beaucoup de cas patents.

Outre les enquêtes de sécurité, il y avait des mécanismes de sécurité en place. Évidemment, on parle d'un employé malveillant qui a trouvé une façon de contourner toutes les règles et qui a utilisé un stratagème pour exfiltrer les données. Cela dit, je tiens à vous rassurer: il y a des mécanismes de sécurité en place.

M. Guy Cormier:

Est-ce qu'avec le temps nous pourrons aller plus loin en ce qui concerne la situation que nous vivons? Comme je le disais, à l'ère du numérique, des gens manipulent des données personnelles non seulement dans les institutions financières, mais également dans toutes sortes d'entreprises. Aujourd'hui, lorsqu'une personne veut inscrire son enfant à la garderie, elle doit donner son numéro d'assurance sociale, et ce numéro peut demeurer sur la table pendant cinq, dix ou quinze minutes, le temps de l'inscription. C'est la réalité au Canada.

Je crois que toute entreprise où des employés manipulent des renseignements personnels doit s'assurer que ces derniers ont fait l'objet de vérifications. [Traduction]

Le président:

Nous allons devoir en rester là.[Français]

Merci, monsieur Dubé.

Madame Lapointe, vous avez la parole.

Mme Linda Lapointe:

Merci beaucoup, monsieur le président. Je vais partager mon temps de parole.

Messieurs, je vous remercie beaucoup d'être ici.

Je suis membre de Desjardins depuis 1980 à peu près. Comme mon collègue le disait, Desjardins est partout. Ma circonscription est Rivière-des-Mille-Îles et elle comprend Deux-Montagnes, Saint-Eustache, Boisbriand et Rosemère. Il y a une caisse Desjardins à Deux-Montagnes et une à Thérèse-De Blainville. Ce sont deux grosses institutions dans la région. Il y a deux MRC et deux caisses Desjardins.

M. Guy Cormier:

Il y a M. Bélanger.

Mme Linda Lapointe:

Oui.

Vous avez dit que la fraude interne est la plus difficile à détecter et contre laquelle il est le plus difficile de se prémunir. Un peu plus tôt aujourd'hui, des représentants du ministère des Finances et de l'Agence du revenu du Canada nous ont parlé.

Comment cela fonctionne-t-il à l'interne chez Desjardins? Comment les superviseurs auraient-ils pu repérer cet employé malveillant? Il est clair qu'il a été capable de se faufiler dans le système. Y a-t-il des niveaux d'accès et des captures d'écran? Le système émet-il des alertes s'il repère des choses inhabituelles? Vos employés ont-ils le droit d'avoir leur téléphone cellulaire avec eux lorsqu'ils travaillent sur des données?

Je suis sûre que vous allez réévaluer les mesures en place. Vous avez parlé d'un seul employé malveillant, mais qu'allez-vous faire pour vous prémunir contre d'autres employés malveillants? Quelles sont vos règles? Comment cela fonctionne-t-il?

M. Guy Cormier:

Monsieur Berthiaume, pouvez-vous parler des opérations?

M. Denis Berthiaume:

Oui.

En ce qui concerne les opérations, je tiens d'abord à vous dire que personne, en ouvrant son ordinateur au bureau le matin, n'a accès à toutes les données. Ce n'est pas ainsi que cela fonctionne. Chez Desjardins, les emplois sont catégorisés en fonction des données qui sont nécessaires pour faire le travail. C'est la première chose.

Ensuite, notre organisation a mis en place plusieurs mécanismes internes de sécurité et de contrôle, mais nous ne voulons pas en parler publiquement, car même nos employés ne sont pas au courant de ces mécanismes. Je ne peux donc pas donner beaucoup de détails là-dessus.

Quant au cas particulier qui nous intéresse, une enquête policière est en cours, ce qui rend le sujet fort sensible. Honnêtement, nous ne voulons en aucun cas nuire à l'enquête policière en cours.

Comme je viens de le dire, nous ne voulons pas donner de détails sur nos mécanismes de sécurité, car ils sont importants pour éviter que la situation dont il est question aujourd'hui ne se reproduise. Cette situation met en cause un seul employé, mais je peux vous dire que nos mécanismes de sécurité détectent des éléments de fraude externe ou autres. Je réitère qu'il est extrêmement difficile de se protéger complètement d'un employé malveillant.

(1620)

Mme Linda Lapointe:

Allez-vous revoir vos règles internes?

M. Denis Berthiaume:

Concernant les mesures de sécurité, nous sommes en évolution constante. Bon an, mal an, Desjardins investit 70 millions de dollars par année dans la sécurité et la protection des données et des renseignements personnels. Nous nous améliorons continuellement pour nous adapter aux nouvelles technologies qui créent de nouvelles possibilités de fraude. Des gens essaient de créer de nouveaux stratagèmes et nous sommes en évolution constante pour nous permettre de les repérer.

Mme Linda Lapointe:

Merci beaucoup.

Je suis contente que vous ayez parlé des quatre procédures que vous avez mises en place. Mes parents sont des personnes âgées et n'ont pas Internet. Ils se sont rendus en personne à leur caisse Desjardins pour que quelqu'un les aide, et cela n'a pas très bien fonctionné.

M. Guy Cormier:

Dans les premiers jours, l'inscription à Equifax a représenté un défi pour nous.

Mme Linda Lapointe:

Les gens qui n'ont pas accès à Internet ne sont pas capables de s'y inscrire.

M. Guy Cormier:

Nous avons donc pris la décision d'offrir un service aux gens qui n'ont pas accès à Internet. Dès aujourd'hui, les gens qui le souhaitent pourront quand même bénéficier du service d'alerte. Ce service sera pris en charge par Desjardins, qui pourra communiquer avec eux par la suite. Nous avons innové en ce qui concerne Equifax, afin de trouver une solution pour ces gens.

Mme Linda Lapointe:

Merci.

M. Francis Drouin:

Merci beaucoup, monsieur le président.

Monsieur Cormier, vous et moi, comme Mme Lapointe, sommes victimes de cette fuite. Je comprends très bien qu'il soit difficile de contrôler complètement un employé malveillant. C'est quasi impossible.

Cela dit, cette fuite aura diverses répercussions sur les membres de Desjardins. Pour certains, rien ne va arriver, alors que d'autres seront victimes de fraude quelque temps dans le futur. Mes concitoyens m'ont demandé pourquoi vous offrez le service Equifax gratuitement pour 5 ans, et pas pour 10, 15 ou 20 ans.

M. Guy Cormier:

Monsieur Berthiaume, vous pouvez répondre à la question au sujet de la période de cinq ans, puis nous reviendrons à la réponse de ce matin. C'est une question qu'on nous a déjà posée.

M. Denis Berthiaume:

Premièrement, nous avons voulu agir rapidement en offrant une protection de cinq ans. Comme nous n'étions pas satisfaits de cette période de protection, nous avons décidé de la prolonger. Le président a annoncé ce matin que Desjardins s’engage à fournir une protection à vie. Nous ne nous sommes pas contentés d'une période de protection de cinq ans. Nous avons un partenariat avec Equifax pour fournir cette protection, ce qui est important de deux façons.

Nous observons une bonne augmentation des inscriptions à Equifax, mais nous ne sommes pas satisfaits de ce nombre. À en juger par la tendance actuelle, nous craignons que, au bout du compte, seuls 20 % ou 25 % de nos membres s'inscrivent à Equifax. Cela laisse quand même des gens sans couverture et qui choisissent de ne pas bénéficier du système d’alerte, pour des raisons qui leur sont propres. Or nous ne voulons pas laisser 75 % ou 80 % de nos membres sans aucune protection. Nous voulons leur fournir un service d’assistance, s’il arrive quelque chose. C'est ce qui a mené à l’annonce de ce matin. Nous voulons aller au-delà de la protection d’Equifax et offrir à nos membres une couverture parapluie.

M. Francis Drouin:

Hier, j’ai vécu une expérience en communiquant avec Equifax. Son site Web ne fonctionnait pas et j'ai appelé. Finalement, entre 45 minutes et une heure et demie plus tard, j'ai pu m'inscrire.

Dans l’Est de l’Ontario, les caisses du Mouvement Desjardins sont très populaires et très présentes dans les communautés. Les employés sont formés pour aider les personnes âgées qui ne peuvent pas aller sur Internet pour s'inscrire. J’ai la chance d’aller sur Internet et de vérifier mon rapport de crédit chaque jour, mais qu'en est-il pour ma grand-mère, par exemple? Quelqu’un de Desjardins va-t-il l'aviser qu'il y a eu un mouvement sur son rapport de crédit?

M. Denis Berthiaume:

Oui, c’est la nouvelle solution que nous venons de lancer. Nous allons nous organiser pour que les gens puissent s'inscrire à Equifax. Par la suite, plutôt qu'Equifax communique avec la personne par courriel, Desjardins va faire le lien entre Equifax et la personne. Nous allons recevoir les alertes et vérifier qu'elles sont réelles, puis nous allons contacter les membres concernés, comme votre grand-mère, de la façon qui leur convient. C'est ce que nous mettons en place.

M. Francis Drouin:

Merci.

M. Guy Cormier:

J'aimerais souligner brièvement quel est le message important ici. Le Mouvement Desjardins a décidé rapidement d’être transparent et de donner l’information le 20 juin. Quand nous sommes entrés dans les données des 2,7 millions de gens, nous avons réalisé que des personnes n’avaient pas accès à Internet. Il y avait aussi des comptes de succession. Des situations ont émergé et nous avons vu qu’il fallait innover et trouver des solutions pour eux. Jusqu'à maintenant, pour tous ces cas, nous avons une bonne collaboration avec les gens d'Equifax. Ils nous aident à trouver une solution différente, notamment pour des personnes comme votre grand-mère.

(1625)

[Traduction]

Le président:

Merci, monsieur Drouin.

Monsieur Motz, vous avez cinq minutes.

M. Glen Motz:

Merci, monsieur le président.

Merci d'être présents, messieurs.

Si l'on en croit les renseignements que nous avons reçus, environ 200 000 Canadiens à l'extérieur du Québec ont été touchés par cette situation particulière. Savez-vous combien de personnes sont concernées dans chaque province? [Français]

M. Denis Berthiaume:

Les membres touchés sont principalement au Québec. Il y en a un certain nombre en Ontario et très peu dans les autres provinces. On parle de personnes qui ont sans doute déménagé dans d’autres provinces et qui sont membres de Desjardins. C’est un volet important. Ce sont les membres des caisses Desjardins qui sont touchés.

Les clients de State Farm ou de Patrimoine Aviso, avec qui nous avons un partenariat, ne sont pas touchés. On ne parle que des membres des caisses qui ont pu déménager dans d’autres provinces ou des membres de nos caisses en Ontario. [Traduction]

M. Glen Motz:

D'accord.

Vous avez mentionné que vous avez acquis State Farm en 2015. Vous dites qu'aucun de ses clients n'est touché.

M. Denis Berthiaume:

Ils n'ont pas du tout été touchés, non.

M. Glen Motz:

En 2017, vous avez créé Aviso Wealth. Il s'agit de la fusion de Credential Financial, de Qtrade Canada et de NEI Investments. Ces entreprises ont toutes été fusionnées.

M. Denis Berthiaume: C'est exact.

M. Glen Motz: Certains de ces clients ont-ils été touchés?

M. Denis Berthiaume:

Ils n'ont pas été touchés du tout en dehors de la portée de ce dont nous avons parlé...

M. Glen Motz:

Qu'en est-il des anciens clients de Desjardins dont les comptes ont été fermés? Certaines de leurs données ont-elles été touchées?

M. Denis Berthiaume:

Je ne suis pas certain que je...

M. Glen Motz:

Ils ont fait partie de vos clients. Conservez-vous toujours leurs données bien que ce ne soit plus le cas? Ces données ont-elles été compromises ?

M. Denis Berthiaume:

Je tiens à me montrer très, très précis. Seuls les membres de notre réseau de caisses sont touchés. Supposons que vous en étiez membre il y a un an et que vous avez fermé votre compte pour une raison quelconque. Si vous ne recevez pas de lettre, vous ne serez pas touché. Il n'y a pas de répercussions. Vous n'avez pas été touché...

M. Glen Motz:

Pour que ce soit clair, si vous n'avez pas de compte actif chez Desjardins, vous n'avez pas été touché par cette atteinte à la protection des données. Ai-je bien compris?

M. Denis Berthiaume:

Si vous n'avez pas reçu de lettre... La clé est de savoir si vous avez personnellement reçu une lettre. Si vous avez reçu une lettre, cela signifie que vous faites partie des membres qui pourraient être touchés, et nous vous encourageons à vous abonner à Equifax.

M. Glen Motz:

Cela ne répond pas vraiment à ma question. Si j'ai bien compris, il faut avoir un compte actif chez Desjardins pour avoir été touché par cette atteinte à la protection des données. C'est exact?

M. Denis Berthiaume:

Non, parce que vous pourriez être un ancien membre de Desjardins et avoir fermé votre compte il y a un an...

M. Glen Motz:

C'est la question que j'ai posée plus tôt.

M. Denis Berthiaume:

... mais vous pourriez être touché si vous recevez une lettre.

M. Glen Motz:

Je ne me soucie pas de la lettre parce que les Canadiens s'en moquent. Ils veulent savoir si les membres actuels ont été touchés ou non. La réponse est oui. Les clients actuels ou les anciens clients pourraient être touchés.

M. Denis Berthiaume:

Oui

M. Glen Motz:

Si je me souviens bien, en 2018, Desjardins Ontario a fusionné avec environ 11 coopératives de crédit de l'Ontario. Certains de ces clients potentiels seraient-ils touchés par cette atteinte à la protection des données?

M. Denis Berthiaume:

Nous parlons des caisses de l'Ontario...

M. Guy Cormier:

La réponse est oui. Il est possible que certains membres des caisses de l'Ontario, fusionnées ou non, aient été touchés par cette atteinte.

M. Glen Motz:

En 2013, le Mouvement Desjardins a acheté des compagnies d'assurance dans l'Ouest, notamment Coast Capital Insurance, en Colombie-Britannique, First Insurance dans cette même province, Craig Insurance, en Alberta, et Melfort Agencies et Prestige Insurance, en Saskatchewan.

Certains de ces clients pourraient-ils être touchés par l'atteinte à la protection des données survenue chez Desjardins?

M. Denis Berthiaume:

La réponse est non.

M. Glen Motz:

Les téléphones des clients qui utilisent Apple Pay ou Android Pay pour effectuer leurs opérations bancaires peuvent-ils être compromis par cette atteinte à la protection des données, et courent-ils de plus grands risques de recevoir des messages frauduleux pouvant découler de cette situation?

M. Denis Berthiaume:

Les données qui ont été extraites comprennent des numéros de téléphone et des courriels. Pour répondre à votre question, oui, il est possible que ces personnes fassent l'objet d’hameçonnage, mais encore une fois, uniquement s'ils sont membres d'une caisse, pas s'ils sont clients. S'ils sont clients d'Aviso Wealth, s'ils ont eu une assurance dans le passé, s'ils ont une assurance vie et santé, ou s'ils ont une assurance incendie, accidents et risques divers, ils ne sont pas touchés.

(1630)

M. Glen Motz:

Il ne s'agit que de l'aspect financier.

M. Denis Berthiaume:

Il ne s'agit que de membres des caisses.

M. Glen Motz:

Je vais partager mon temps avec M....

Le président:

Vous allez devoir partager six secondes avec lui.

Passons à M. Graham, pour cinq minutes. [Français]

M. David de Burgh Graham:

Je vais suivre un peu les propos de M. Motz. Parmi ceux qui n'ont pas reçu de lettre, beaucoup s'inquiètent et se demandent s'ils sont touchés ou non.

Peut-on dire clairement à tous ceux qui n'ont pas reçu de lettre qu'ils ne sont pas touchés?

M. Denis Berthiaume:

Selon l'information que nous avons, seulement ceux qui reçoivent une lettre sont touchés.

M. David de Burgh Graham:

Alors si on ne reçoit pas de lettre, on n'est pas touché; c'est bien cela?

M. Denis Berthiaume:

S'ils n'ont pas reçu de lettre, ils ne sont pas touchés.

M. Guy Cormier:

Le 14 juin, nous avons reçu de l'information du corps policier de Laval. C'est grâce à cette information que nos équipes d'investigation informatique ont été capables de nous fournir les chiffres de 2,7 millions de particuliers et de 173 000 entreprises. Ce sont à ces gens-là que nous avons transmis des lettres écrites.

Malgré tout, nous entendons les préoccupations des gens. C'est pourquoi, ce matin, nous avons décidé d'accélérer le lancement de ce programme de protection pour tous les membres, qu'ils soient touchés ou non.

M. David de Burgh Graham:

Cette protection est une bonne chose, mais dans certaines villes de ma circonscription, Laurentides—Labelle, plusieurs gens n'ont pas d'accès à Internet ni de téléphone cellulaire. Ils sont moins nombreux que lorsque je suis arrivé, mais il y en a encore. Plusieurs ont même perdu leur succursale Desjardins. Qu'est-ce que ces gens peuvent faire?

J'ai un compte chez Equifax depuis plusieurs années. Quand il y a un changement, on m'envoie un courriel, mais je dois aller sur le site Web et essayer de comprendre de quoi il s'agit, car ce n'est pas clair du tout. Alors, pour ceux qui ont une connexion Internet, les renseignements d'Equifax ne sont pas clairs, et ceux qui n'ont pas de connexion n'ont rien du tout.

Vous en avez parlé un peu, mais pourriez-vous en parler un peu plus?

M. Guy Cormier:

Il y a deux choses. Premièrement, il est urgent de brancher les citoyens de partout au pays à Internet, si on veut arriver au XXIe siècle. De notre côté, puisque certains de nos membres ne sont pas branchés à Internet — parfois, c'est par choix, parfois, c'est parce qu'ils n'y ont pas accès —, nous avons proposé une solution supplémentaire en partenariat avec Equifax. M. Berthiaume peut l'expliquer.

M. Denis Berthiaume:

Les personnes qui ne vont pas sur le Web et qui n'ont pas nécessairement d'adresse courriel doivent tout de même être jointes. Nous avons donc mis en place un centre d'appels afin qu'elles puissent communiquer avec nous par téléphone. Nous allons nous charger de les inscrire aux services d'Equifax.

Nous avons mis en place une solution innovante avec Equifax, qui va les enregistrer, s'occuper de la surveillance et des alertes, puis nous envoyer les résultats. À ce moment-là, nous nous chargerons de communiquer avec ces personnes qui n'ont pas d'accès à Internet ou au courriel. C'est ce que nous avons mis en place aujourd'hui même.

M. David de Burgh Graham:

Equifax s'occupera donc de l'aspect technique, et non Desjardins.

M. Denis Berthiaume:

Oui. Actuellement, c'est Equifax qui a la capacité de s'occuper des alertes. Comme nous le disions plus tôt, Equifax détient 70 % du marché canadien pour ce qui est des bureaux de crédit et des systèmes de détection et d'alerte. Ce sont donc ses services que nous utilisons pour ce volet.

Encore une fois, nous faisons le lien pour les personnes qui ont plus de difficulté à accéder à Internet ou qui n'ont pas d'adresse courriel. Nous rassurons les gens et, en cas d'alerte, nous prenons contact avec eux.

M. David de Burgh Graham:

D'accord.

Dans votre allocution, vous avez parlé de changer notre système d'identité numérique. Quels exemples voudriez-vous que l'on suive?

M. Guy Cormier:

Loin de moi l'idée de vous donner l'exemple parfait qui devrait être suivi, parce qu'il y aura toujours des lacunes dans les solutions parfaites qu'on pense avoir trouvées. Il y aura toujours des gens malhonnêtes qui essaieront de défaire ces solutions. Toutefois, des pays comme l'Estonie, l'Inde et même certains pays d'Europe ont mis en place des mesures concernant les identifiants uniques ou, à tout le moins, des mesures visant à ce que les cartes émises par le gouvernement, que ce soit les permis de conduire ou les cartes d'assurance-maladie, ne deviennent pas des façons d'identifier les gens. Ces pays avaient pour objectif de rétablir le rôle premier de ces cartes, qui sont devenues des pièces d'identification au fil du temps. Le Canada devrait s'inspirer de ces pays.

(1635)

M. David de Burgh Graham:

D'accord.

J'ai une dernière question. Qu'est-ce que les 2,9 millions de clients de Desjardins touchés avaient en commun? Est-ce qu'on sait pourquoi ils ont été touchés et pas les autres?

M. Denis Berthiaume:

À ce sujet, nous n'avons rien de concluant. Nous nous sommes basés sur les données que les services de police nous ont fournies. Nous n'avons pas de données concluantes sur ce qui fait que quelqu'un est sur la liste ou non. Nous n'avons pas cette information.

M. David de Burgh Graham:

Merci. [Traduction]

Le président:

Nous allons passer à M. Clarke. [Français]

M. Alupa Clarke:

Monsieur Cormier, je voudrais simplement réitérer ce que mon collègue a dit. L'objectif fondamental de la réunion d'aujourd'hui, pour nous les conservateurs, était de déterminer ce que le gouvernement, ses agences et ses institutions pouvaient faire pour vous aider et, par ricochet, pour aider les membres de Desjardins, ce qui est le plus important. Ce sont des citoyens canadiens et québécois.

Par ailleurs, vous n'êtes pas sans savoir que j'ai joint les trois directeurs des caisses Desjardins de ma circonscription pour leur exprimer mon soutien.

Le ministère de l'Emploi et du Développement social du Canada a-t-il pris contact avec vous pour obtenir la liste des 2,9 millions de citoyens? C'est une question très importante.

M. Guy Cormier:

Le ministère est en contact avec nous et collabore avec nous. Cela fait plus de deux semaines que nous discutons directement avec ses représentants, que ce soit au sujet des numéros d'assurance sociale ou de la situation que vit Desjardins.

Je ne crois pas que la demande de transmission de l'information ait été faite, du moins sur le plan opérationnel. Je n'ai pas cette information. Je ne sais pas si M. Brun ou M. Berthiaume en savent plus, mais je ne pense pas.

M. Alupa Clarke:

Quand vous aurez la réponse, pourriez-vous la donner aux analystes ou au greffier? Ce serait important pour nous de le savoir. S'il se trouve que la demande a été faite, pourriez-vous fournir la liste de ces Canadiens? Nous, nous cherchons à savoir ce que le gouvernement peut faire, mais il faudrait d'abord qu'il sache de qui il est question. Alors, seriez-vous en mesure d'envoyer cette liste au gouvernement canadien? Malheureusement, il s'agirait encore d'envoyer des données, mais le destinataire serait le gouvernement.

M. Denis Berthiaume:

Il faudrait voir si cela est possible. D'un point de vue juridique, je n'en suis pas certain.

M. Alupa Clarke:

Ensuite, j'aimerais savoir si un membre du Cabinet actuel vous a contactés depuis le 20 juin.

M. Guy Cormier:

Lorsque vous parlez du Cabinet actuel, vous parlez du Cabinet...

M. Alupa Clarke:

Je parle du Cabinet fédéral. Ce serait donc un ministre.

M. Guy Cormier:

Oui, tout à fait. J'ai eu une discussion avec le ministre Morneau sur la situation. Il m'a offert son soutien pour voir comment le gouvernement fédéral pouvait accompagner Desjardins dans cette situation.

M. Alupa Clarke:

D'accord.

Dans votre introduction, vous avez mentionné très humblement et respectueusement que vous aviez quelques questions. Personnellement, j'aurais aimé connaître vos réponses en tant qu'expert dans votre domaine. Je ne me souviens pas très bien de votre première question, mais c'était quand même intéressant. Vous vous demandiez si le Canada avait un système adéquat en ce qui a trait aux numéros d'assurance sociale, par exemple. J'aimerais connaître votre perspective là-dessus.

M. Guy Cormier:

La première question était de savoir si le Canada est bien outillé pour encadrer le développement technologique, qui est plein de promesses, mais qui comporte aussi des risques nouveaux.

Y a-t-il lieu d'adapter nos systèmes d'identification?

M. Alupa Clarke:

J'aimerais avoir vos réponses sur les deux points.

M. Guy Cormier:

Mes deux réponses sont simples: je pense que le statu quo n'est pas une option. Le statu quo, actuellement, au Canada, n'est pas suffisant à l'ère du numérique, à l'ère du 5G qui s'en vient et à l'ère de réflexions sur le monde des services financiers, notamment les services financiers ouverts. Sur ces deux questions, je pense qu'on ne doit pas se satisfaire du statu quo.

C'est pour cela que nous proposons, humblement, la création d'un comité composé de plusieurs parties prenantes, y compris des citoyens, des gouvernements, des entreprises — pas seulement les institutions financières, mais les entreprises qui traitent des données —, pour réfléchir à ces questions et voir si, au moyen d'exemples d'autres pays du monde, on peut continuer d'être des leaders.

Comme je l'ai mentionné au début, je pense qu'en intelligence artificielle, le Canada est en train de prendre une position de leadership importante dans le monde. Parallèlement, il faut avoir la même ambition en ce qui a trait aux renseignements personnels et à la protection des données. Ma réponse tourne autour de ces points-là.

M. Alupa Clarke:

J'ai une question supplémentaire, qui sera probablement la dernière. Je m'adresse ici à M. Cormier, le citoyen.

Vous avez fait une annonce fort importante ce matin. Vous dites que la protection s'applique à l'ensemble des membres, qu'ils soient touchés ou non par ce malheureux événement. Vous avez dit qu'ils n'ont qu' à vous appeler pour que vous vous occupiez d'eux. Vous allez établir les contacts, prendre les mesures et entreprendre les démarches qui s'imposent.

Pensez-vous que ce soit exactement ce genre d'attitude que le gouvernement, l'État fédéral, devrait avoir en ce moment envers les 2,9 millions citoyens canadiens?

On demande aux citoyens de prendre contact avec nous, or je pense que c'est le gouvernement fédéral qui devrait prendre contact avec les citoyens. Disons que les citoyens entrent en communication avec le gouvernement fédéral, ce dernier ne devrait-il pas avoir la même approche que vous et dire qu'il s'occupe de tout?

La représentante d'Emploi et Développement social Canada disait que, si l'on changeait les numéros d'assurance sociale des citoyens, ceux-ci devraient appeler tous leurs anciens employeurs. Ce n'est pas ce que vous faites. Vous, incroyablement, vous dites que vous allez vous occuper de tout le monde à la dernière minute.

En tant que citoyen, aimeriez-vous que le gouvernement fédéral agisse de la même façon envers les membres touchés?

(1640)

M. Guy Cormier:

Je dirais, en tant que citoyen, que les élus sont élus, justement, pour assurer un encadrement et adopter des lois. Dans la situation qu'on vit actuellement à l'ère du numérique, il faut mettre en place des paramètres réglementaires qui protègent les citoyens à cet égard. C'est mon message, comme citoyen.

C'est aussi pourquoi, malgré le fait que nous trouvions cette réunion prématurée, nous avons quand même pris la décision d'être présents. Nous sentons que cette situation tire une sonnette d'alarme et qu'il y a une prise de conscience et une réelle volonté de la part des élus de se pencher sur cette question. Nous voulions apporter notre point de vue sur ce sujet. [Traduction]

Le président:

Merci, monsieur Clarke.

Nous allons passer à M. Dubé pour trois minutes, puis à M. Fortin pour trois minutes. [Français]

M. Matthew Dubé:

Merci, monsieur le président.

J'avais une question qui rejoint un peu ce que M. Graham disait par rapport à l'accès à Internet et au téléphone. Les personnes âgées ont des besoins particuliers.

Veille-t-on à cela également?

M. Denis Berthiaume:

C'est ce que je disais. Souvent, les personnes âgées n'ont pas nécessairement une connexion Internet ou une adresse courriel. Nous nous occupons d'elles. Ces personnes peuvent nous téléphoner. Nous allons prendre la situation en charge à partir de ce moment et ferons office d'intermédiaires avec Equifax concernant le système d'alerte et ce que ces personnes vont recevoir comme message.

M. Matthew Dubé:

Il y a un article intéressant dans La Presse d'aujourd'hui, si je ne me trompe pas. On y parle de la façon dont sont réglementées les agences de surveillance de crédit, soit les compagnies comme Equifax, et que cette réglementation porte davantage sur des questions liées aux consommateurs.

C'est peut-être trop de spéculation pour ce dont vous êtes à l'aise de parler aujourd'hui, mais, étant donné la relation un peu symbiotique qu'elles entretiennent avec les institutions financières et la brèche dont Equifax a été victime, croyez-vous qu'il serait pertinent, à l'ère numérique, de revoir la façon dont ces agences sont réglementées?

C'est devenu un plus important que la protection des consommateurs; elles ont maintenant une responsabilité au regard du maintien des données. On voit qu'il y a des conséquences importantes.

Devrait-on revoir cela dans le contexte de tous ces changements auxquels vous avez fait allusion?

M. Guy Cormier:

Je vous l'ai dit il y a quelques minutes: je pense que le statu quo n'est pas une option. C'est la raison pour laquelle nous comparaissons devant vous aujourd'hui. Desjardins sera très honoré de participer aux réflexions, le cas échéant.

Je crois qu'il faut rassembler les parties prenantes qui travaillent dans le domaine des données au Canada pour réfléchir à la façon dont on veut faire évoluer la situation. Parfois, il pourrait s'agir de réglementation, parfois, de processus d'affaires, ou, parfois, de façons de travailler ensemble. Je pense que le statu quo n'est pas une option.

M. Matthew Dubé:

Il me reste une minute. J'aimerais vous dire, en terminant, que nous sommes heureux de votre présence ici. Nous comprenons que c'est une situation difficile. J'apprécie le fait que vous comprenez la raison pour laquelle nous avons le devoir de faire cela.

Des citoyens nous interpellent. Cela les touche, ils sont inquiets. Notre objectif n'est pas uniquement de les rassurer dans le cas présent, mais aussi de nous assurer qu'eux et d'autres citoyens qui sont des clients d'autres institutions financières ne vivent pas la même chose. Vous partagez votre expérience, ce qui est très utile non seulement aujourd'hui, mais aussi pour une prochaine législature. Nous voulons quand même mettre en place une feuille de route dans ce domaine qui évolue rapidement.

M. Guy Cormier:

C'est pour cela que nous avons accepté l'invitation.

M. Matthew Dubé:

C'est très apprécié, merci.

Le président:

Monsieur Fortin, vous avez trois minutes, s'il vous plaît.

M. Rhéal Fortin:

Merci, monsieur le président.

Messieurs Cormier, Brun et Berthiaume, je vais commencer par vous féliciter moi aussi. J'avoue qu'en arrivant ici ce matin, j'avais des questions et des inquiétudes, auxquelles vous avez répondu. Je pense que votre déclaration de ce matin est tout à l'avantage de Desjardins. Moi aussi, je suis affecté par ce qui s'est passé chez Desjardins, et j'apprécie les mesures que vous avez prises.

Il y a environ deux ou trois semaines, la Banque du Canada a mis en place le Groupe sur la résilience du secteur financier, afin de contrer les menaces informatiques. À ce que je sache, le Mouvement Desjardins n'a pas été invité à se joindre à ce groupe. On a invité des banques à charte, entre autres, et celles qui sont d'importance systémique.

D'abord, pouvez-vous me confirmer que le Mouvement Desjardins n'a pas été invité? Ensuite, considérez-vous qu'il serait opportun qu'il participe à un tel groupe de travail?

M. Guy Cormier:

Monsieur Brun, je sais que vous avez discuté avec ce groupe. Pouvez-vous donner l'heure juste à ce sujet?

M. Bernard Brun:

Je vous remercie de cette question bien pertinente.

La Banque du Canada a, évidemment, un rôle extrêmement important à jouer pour assurer la stabilité financière. Récemment, elle a annoncé la constitution d'un comité pour faire évoluer la supervision et revoir un peu l'encadrement en échangeant avec toutes sortes de partenaires. Naturellement, elle s'est tournée vers les grandes banques et le régulateur. Nous avons eu des discussions avec des gens de la Banque et nous sentons qu'ils ont une ouverture pour explorer cela.

Comme on l'a déjà évoqué, le système financier est extrêmement interrelié. Tous les acteurs de ce secteur ont des enjeux, une réglementation et des régulateurs, mais il faut qu'ils soient capables de travailler ensemble, d'aller au-delà de cela et de discuter. Nous avons certainement un grand intérêt à participer à tout cela. Nous avons senti qu'il y avait une ouverture en ce sens et nous attendons de voir comment ce sera articulé.

C'est sûr que le Mouvement Desjardins est une institution financière canadienne et québécoise d'importance systémique. S'il y a des discussions, il faudrait que nous y participions.

(1645)

M. Rhéal Fortin:

Vous avez l'appui du Bloc québécois là-dessus. J'espère que mes collègues d'en face y donneront suite et proposeront à la Banque du Canada de vous inviter.

Présentement, il y a des discussions sur l'établissement d'un système national de validation de l'identité. Avant, le numéro d'assurance sociale était utilisé dans les relations entre l'employeur et les employés et le gouvernement. Or maintenant, on voit qu'il est utilisé à presque toutes les sauces. On ne sait plus trop comment se comporter relativement à cela, mais il est clair que le simple numéro d'assurance sociale ne suffit plus à assurer une certaine sécurité des citoyens.

À votre avis, un système de validation de l'identité, qui inclurait un NIP, une empreinte ou je ne sais quoi, serait-il utile dans une situation comme celle que vous avez vécue?

M. Guy Cormier:

C'est pour cela que nous nous permettons humblement de faire une recommandation au Comité aujourd'hui.

Au Canada, il y a 30, 40 ou 50 ans, on a mis en place certains mécanismes, qui, aujourd'hui, ne servent plus à ce pour quoi ils ont été créés. Il est temps que les acteurs de l'industrie s'assoient ensemble pour relancer une réflexion, qui, comme je le vois très bien, a déjà débuté, et essaient de s'inspirer des meilleures pratiques partout dans le monde. [Traduction]

Le président:

Merci, monsieur Fortin.

Je tiens à remercier les témoins de leur présence ici. Je suis heureux de constater que l'annonce de votre ensemble de mesures a coïncidé avec votre comparution ici. C'est assez heureux. Quatre ou cinq membres de ce comité sont particulièrement vulnérables en tant que membres de votre association. Je me demande si leurs vulnérabilités uniques en tant que personnalités publiques sont couvertes par l'annonce que vous faites aujourd'hui.

M. Guy Cormier:

Tous les renseignements, selon l'annonce que nous avons faite ce matin, de l'ensemble des personnes qui figuraient sur la liste des membres qui ont été touchés par cette atteinte à la sécurité des données seront pris en charge par ce programme. Qu'il s'agisse d'activités financières sur leurs comptes, de l'obtention d'une aide pour récupérer leur identité ou de problèmes relativement à certains frais liés à la récupération de leur identité, ils pourront se prévaloir de ce programme de protection.

Le président:

J'en ai pris note, car vous l'avez mentionné plus tôt. Cependant, je me réfère à la vulnérabilité unique des titulaires de charges publiques. Si cette vulnérabilité se manifeste, sera-t-elle traitée par cet ensemble de mesures particulier?

M. Guy Cormier:

C'est quelque chose que nous examinons actuellement dans nos dossiers. Nous cherchons actuellement à savoir si parmi ces 2,7 millions de personnes, certaines sont plus vulnérables que d'autres. Vous avez probablement lu des articles sur des policiers, des juges, des gens comme des titulaires de charges publiques. C'est quelque chose que nous sommes en train d'examiner. Notre priorité était d'envoyer les lettres pour prendre contact avec les gens. Nous étudions maintenant ce qui pourrait constituer une autre vulnérabilité à laquelle nous devrions faire plus attention...

Le président:

Donc, pas nécessairement dès le début.

M. Guy Cormier:Oui. Nous allons l'examiner.

Le président: Ma question concerne le fait que nous faisons cela depuis un certain temps déjà et que l'une des normes de protection de référence est ce qu'on appelle la « confiance zéro », qui a été mentionnée par un témoin précédent, qui a dit « repérez et protégez les biens essentiels. Sachez où se trouvent vos données clés, protégez-les, surveillez leur protection et soyez prêts à réagir. »

Pensez-vous que Desjardins a appliqué le principe de la confiance zéro qui semble être la norme de référence en matière de protection des données?

M. Denis Berthiaume:

Lorsque nous utilisons le terme « confiance zéro », nous devons définir ce dont nous parlons. Confiance zéro, certaines personnes ont accès aux données. Ils en ont besoin pour faire leur travail. Avec la confiance zéro, nous voulons clairement nous assurer d'avoir mis en place des mécanismes de sécurité qui visent à appliquer le principe de la confiance zéro. Cependant, il existe parfois une différence entre la théorie et ce que vous pouvez vraiment faire dans la pratique. L'objectif est de s'assurer que les données qui nous sont fournies par nos clients sont entièrement sécurisées. C'est notre objectif.

(1650)

Le président:

C'est l'objectif.

Sur ce, je tiens à vous remercier encore une fois pour votre présence ici. Nous allons suspendre la séance pendant quelques minutes, puis nous reprendrons avec les fonctionnaires et nous terminerons notre série de questions avec eux. Je vous remercie.

(1650)

(1650)

Le président:

Reprenons nos travaux. Merci à tous les fonctionnaires de leur patience. Nous étions au milieu de la période des questions, et je crois que la parole est à M. Graham pour cinq minutes, s'il vous plaît. [Français]

M. David de Burgh Graham:

Merci.

Madame Boisjoly, vous avez entendu les gens de Desjardins tout à l’heure parler du besoin de repenser le système du numéro d’assurance sociale. Est-ce qu’on fait des recherches pour savoir quel est le futur du numéro d’assurance sociale?

Mme Elise Boisjoly:

Je vous remercie de votre question.

Comme vous le savez, le numéro d’assurance sociale est un identifiant parmi tant d’autres. Comme nous l'avons déjà dit, sur notre site Web, nous indiquons aux citoyens qu'ils ne devraient donner leur numéro d’assurance sociale que dans des circonstances très limitées. Cela leur est expliqué. Nous leur disons de ne pas donner leur numéro d’assurance sociale à des organismes qui ne peuvent pas légalement le demander. Par contre, selon ce que nous entendons, les citoyens le donnent souvent volontairement à des organismes qui ne sont pas habilités à le prendre.

C'est certain que nous entendons les discussions. Nous regardons toujours ce que nous pouvons faire pour améliorer la protection de nos systèmes et de nos pratiques liées au numéro d’assurance sociale.

Nous souhaitons entendre les recommandations ou voir le rapport que va publier ce comité ainsi que d'autres rapports.

Je peux vous assurer que nous travaillons régulièrement à augmenter la sécurité de nos systèmes. Je sais que le Conseil du Trésor travaille aussi très activement à des projets sur l’identité numérique. Nous participons à ces discussions pour voir comment on peut améliorer l’identité numérique des citoyens sur le territoire du Canada.

(1655)

M. David de Burgh Graham:

Parmi les données qui sont sorties, on sait qu'il y avait beaucoup d'informations, et pas seulement des numéros d'assurance sociale. Il y avait aussi des adresses, des numéros de téléphone, notamment. Vous avez parlé à plusieurs reprises d'informations supplémentaires pour authentifier le numéro d'assurance sociale. Toutes ces informations figurent-elles parmi les données qui sont sorties?

Mme Elise Boisjoly:

Le numéro d'assurance sociale est un identifiant qui permet d'avoir accès à des programmes et à des services fédéraux, ainsi qu'aux systèmes de revenus et d'impôts. Dans le cas qui occupe le gouvernement fédéral, en ce qui a trait aux prestations, par exemple, mon collègue a expliqué qu'à l'Agence du revenu du Canada il faut poser une question supplémentaire, secrète, pour identifier les personnes, tel que le montant inscrit à une certaine ligne de la déclaration de revenus. Dans le cas de l'assurance-emploi, un code d'accès au programme est donné aux participants, et ceux-ci doivent donner deux chiffres de ce code afin d'avoir accès aux informations privées liées au programme de l'assurance-emploi.

Le numéro d'assurance sociale est un identifiant, mais il est accompagné d'autres questions afin de valider l'identité de la personne avec qui nous faisons affaire.

M. David de Burgh Graham:

Il y a des agents de Service Canada dans toutes les villes. Si des gens se présentent à leur bureau afin de savoir ce qu'ils doivent faire relativement à la situation actuelle, quelles instructions recevront-ils?

Mme Elise Boisjoly:

Je vous remercie de votre question.

Tous nos centres d'appels, les bureaux de Service Canada et nos agents ont reçu des instructions très claires. Nos centres d'appels et les bureaux de Service Canada ont répondu aux questions d'environ 1 500 citoyens. Ils ont informé ces derniers des mesures à prendre, notamment de prendre contact avec un bureau de crédit, de vérifier leurs transactions financières et bancaires et de redoubler de vigilance relativement aux transactions qu'ils font. S'ils repèrent des activités qui ne sont pas liées avec leurs transactions, ils doivent communiquer avec la police, les bureaux de Service Canada et les différentes institutions pour que nous puissions régler la situation. À ce jour, aucune fraude n'a été signalée.

M. David de Burgh Graham:

La fuite est toutefois récente.

Mme Elise Boisjoly:

Comme je le disais, malgré la quantité de fuites détectées depuis quelques années, il y a environ 60 cas par année exigeant un changement du numéro d'assurance sociale.

M. David de Burgh Graham:

Existe-t-il une manière d'indiquer quelque part que le numéro d'assurance sociale n'est plus valide et alors retirer la responsabilité qui y est liée?

Si je fais changer le numéro d'assurance sociale et que je suis toujours responsable de l'ancien, à mon avis, cela n'a pas entièrement d'allure. Pouvez-vous nous en dire plus à ce sujet?

Mme Elise Boisjoly:

Une des raisons est que nous ne savons pas à qui un citoyen a donné son numéro d'assurance sociale. Le numéro d'assurance sociale doit être utilisé seulement comme un identifiant pour relier certaines informations afin de donner des prestations. Les individus sont les seuls à savoir à qui ils ont donné leur numéro d'assurance sociale et à quelle fin. On peut donner son numéro d'assurance sociale pour des pensions privées, des assurances ainsi que des locations ou des achats de voitures, par exemple.

Le numéro d'assurance sociale ne devrait pas être utilisé pour identifier la personne. Il s'agit d'un numéro qui permet de relier certains dossiers. Nous avons besoin de ce numéro pour relier les informations. Nous relions maintenant les deux numéros d'assurance sociale dans nos systèmes, mais le premier ne devrait plus jamais être utilisé par l'individu.

(1700)

[Traduction]

Le président:

Merci, monsieur Graham.

Monsieur Clarke, vous avez cinq minutes. [Français]

M. Alupa Clarke:

Merci, monsieur le président.

Bonjour à tous.

Je vous remercie d'avoir patienté et d'être demeurés sur place.

Madame Boisjoly, vous êtes la sous-ministre adjointe au ministère de l'Emploi et du Développement social du Canada. Est-ce que votre ministre vous a donné la directive d'obtenir la liste? J'ai posé la même question à M. Cormier. Avez-vous reçu la directive ministérielle d'obtenir la liste des 2,9 millions de Canadiens touchés par la fuite de données massive chez Desjardins?

Mme Elise Boisjoly:

Vous soulevez une question intéressante.

Selon la Loi sur la protection des renseignements personnels et les documents électroniques, la première chose à faire est d'informer les tierces parties. Comme vous l'avez entendu, Desjardins a communiqué avec nous pour s'assurer que nous fournirons l'information et que nous aiderons les caisses Desjardins à obtenir le plus de renseignements pertinents possible pour aider leurs membres. Dans ce cas-ci, nous avons donné beaucoup d'informations sur la façon de protéger leurs membres.

M. Alupa Clarke:

Donc, il n’y a pas eu de directives. Autrement dit, vous êtes réactifs. Je ne parle pas de vous, bien entendu. Vous suivez les ordres politiques, et nous comprenons cela. En ce moment, tout est réactif et absolument rien n'est proactif.

Vous avez dit avoir reçu 1 500 demandes ou appels au sujet du numéro d’assurance sociale. Notre objectif est de savoir comment le gouvernement peut aider les gens de façon proactive. Comme vous ne savez pas quels Canadiens sont touchés, vous devez nécessairement attendre qu’ils communiquent avec vous. C’est ce qui se passe en ce moment. Vous attendez que les gens touchés prennent contact avec vous, et non l’inverse. C’est impossible, parce que vous n’avez pas les données. M. Cormier, de Desjardins, semblait dire qu’eux seraient prêts à envoyer ces données. Je sais que je vous demande d'émettre une opinion politique, mais que vous ne le pourrez pas.

Je dois exprimer quelque chose qui écœure royalement les gens de ma circonscription. J’ai fait beaucoup de porte-à-porte la semaine dernière et l'autre avant. Les gens m'ont dit systématiquement qu'ils doutaient que le gouvernement puisse faire quelque chose. Cela m’a beaucoup attristé. Comment est-ce possible? Moi, je voudrais briser le cynisme et écouter les gens. Les gens versent 50 % de leurs revenus à l’État canadien. Nous, les conservateurs, voulons que le gouvernement travaille pour les citoyens, et non l’inverse.

M. Cormier a dit que, quand une personne appelle chez Desjardins, ils sont proactifs et ils s'occupent de choses pour elle.

Nous avons appris quelque chose de très important aujourd’hui. En fait, nous le savions déjà parce que cela avait été ébruité ici et là. J'ai appris d’un officiel comme vous qu’on peut changer de numéro d’assurance sociale. Je sais que c'est complexe et que, même si on le changeait, il faudrait tout de même joindre une myriade d’institutions, ses anciens employeurs, et ainsi de suite. Or c’est le gouvernement qui oblige le citoyen à avoir un numéro d’assurance sociale. C'est un système qui devrait peut-être même être remis en cause et nous en discutons aujourd’hui, en quelque sorte.

Ne serait-il pas de votre devoir de prendre contact avec les 2,9 millions de personnes? Le gouvernement libéral devrait faire cela pour être proactif. Il connaît ces personnes. Par exemple, à la Pizzeria D'Youville où je travaillais en 2004 quand j’avais 17 ans, c'est le patron qui s’occupait d'envoyer la TPS au gouvernement fédéral. Toutes ces choses sont très connues. Vos ministères pourraient facilement relier ces informations et changer le numéro d’assurance sociale, peut-être pas de manière exhaustive, mais il devrait épauler le citoyen dans ce très lourd travail qui consiste à joindre tous ses anciens employeurs ou les agences gouvernementales.

C’est ce qui me déplaît énormément. Je sais que ce n’est pas votre faute. Vous avez des directives politiques qui viennent du gouvernement libéral, mais on n'est pas proactif en ce moment. Cela me déplaît énormément. Que pouvez-vous dire à ce sujet?

Mme Elise Boisjoly:

Dans l'optique des multiples fuites qui peuvent survenir, le but est de s’assurer de toujours protéger les citoyens et les prestations qui leur sont dues, que ce soit des remboursements d'impôt ou d'autres prestations. C’est pour cela que nous avons travaillé très étroitement avec Desjardins pour définir quelles mesures nous permettraient de l'épauler dans ses relations avec les citoyens touchés.

Desjardins a mis des mesures en place. Quand il y a eu des fuites au niveau fédéral, on a pris des mesures très similaires relativement aux bureaux de crédit, parce que c’est vraiment le meilleur moyen de protéger les citoyens contre la fraude. Nous continuons à travailler avec Desjardins. Si un échange d’information s’avérait une bonne solution, nous l'envisagerions. Par contre, à ce stade-ci, les mesures mises en place sont les meilleures qu'on aurait pu prendre.

(1705)

M. Alupa Clarke:

Merci, madame Boisjoly. [Traduction]

Le président:

Y a-t-il des questions ici? Non.

Monsieur Dubé, vous avez trois minutes. [Français]

M. Matthew Dubé:

Merci, monsieur le président.

J’aimerais revenir à la question que j’ai posée, à savoir si on souhaite tenir des séances d’information dans les grands centres au Québec, entre autres. Je sais qu’il y a des gens à l’extérieur du Québec qui sont aussi touchés, mais c'est au Québec que la fuite a eu le plus gros impact. Il faut renseigner la population.

J’ai oublié ce que c’était, mais j’ai déjà reçu une lettre par la poste concernant un changement de politique fédérale. J’ose croire qu'il est possible d’envoyer des lettres par la poste à la population du Québec pour l'informer de l'horaire des consultations publiques ou des séances d’information qui auront lieu dans les deux prochains mois. Vous nous donnez de l'information aujourd'hui et je pense que les gens nous écoutent, bien entendu. Il faudrait néanmoins s'assurer de joindre le plus de gens possible. Malgré l’omniprésence des médias sociaux, je ne suis pas convaincu que cette réponse est adéquate.

Est-ce une chose à laquelle vous êtes ouverts? Je crois que le ministère des Finances et l’Agence du revenu du Canada ont aussi un rôle à jouer.

Mme Elise Boisjoly:

Absolument.

De façon proactive, nous avons mis de l'information supplémentaire sur notre site Web. Nous avons diffusé des communiqués. Nous avons utilisé les médias sociaux, comme vous le disiez. Nous tenons des ateliers sur le numéro d'assurance sociale, et ce, dans plusieurs communautés. Ce sont des ateliers qui sont donnés de façon régulière et je ne verrai pas pourquoi nous ne pourrions pas utiliser ce moyen aussi.

Alors, merci de la recommandation. Nous allons la prendre en considération.

M. Matthew Dubé:

Parfait. Nous vous en remercions parce qu'effectivement, il s'agit de circonstances particulières, et quand il y a des catastrophes naturelles, par exemple, le gouvernement de proximité — que ce soit les municipalités ou le gouvernement du Québec — répond toujours.

Comme mes collègues le disaient, et ce n'est pas pour insulter qui que ce soit, le fédéral est le plus loin. Dans le cas qui nous concerne, il y a des répercussions réelles sur la vie des gens.

Quoi qu'il en soit, si nous-mêmes — je parle juste de moi pour l'instant — ne savons pas nécessairement comment naviguer dans le système de numéro d'assurance sociale alors que nous sommes législateurs au fédéral, je ne pense pas que cela soit dû à notre propre ignorance. C'est simplement un système très complexe. C'est pour cela que vous êtes là aujourd'hui, et ce serait des connaissances qu'il vaudrait la peine de transmettre.

Je vous remercie de votre ouverture. Cela complète mes questions.

Le président:

D'accord.

Vous avez deux minutes, monsieur Fortin.

M. Rhéal Fortin:

Merci, monsieur le président.

Je vais commencer avec Mme Boisjoly.

Si l'on considère que le numéro d'assurance sociale a été créé en 1964 pour régir les relations employeurs-employés et avec l'État, on voit qu'il est utilisé à toutes les sauces maintenant, mais en tout cas, beaucoup plus largement qu'auparavant.

N'y aurait-il pas lieu de revoir les règles de sécurité concernant son utilisation? Par exemple, avoir un NIP assorti à la carte d'assurance-maladie, à des empreintes ou autres données, par exemple.

À votre avis, y a-t-il quelque chose à faire avec cela?

Mme Elise Boisjoly:

C'est une excellente question.

Comme je le dis toujours, il est important, quand on a des situations comme cela, de revoir et de repenser certaines choses.

En ce qui concerne le numéro d'assurance sociale, comme je l'ai dit, c'est un identifiant parmi plusieurs. Nous, au fédéral — et bien sûr à plusieurs endroits —, les gens sont invités à ajouter des questions secrètes auxquelles eux seuls peuvent répondre. Ce n'est pas un NIP, mais ce sont des façons supplémentaires d'assurer la sécurité et d'identifier la bonne personne.

M. Rhéal Fortin:

Corrigez-moi si je me trompe, mais le numéro d'assurance sociale est valide, peu importe qu'on ait ou non des questions assorties.

On me demande mon numéro d'assurance sociale pour une transaction, quelle qu'elle soit, avec une banque, ou peu importe. Je n'ai pas de NIP. J'ai juste le numéro.

Mme Elise Boisjoly:

Vous avez absolument raison. Vous n'avez pas de NIP.

Est-ce quelque chose que l'on pourrait considérer? Peut-être. Ce qu’il est important de dire, c'est que, pour avoir accès à un service, vous devez donner d'autres identifiants comme la ligne...

M. Rhéal Fortin:

Cela dépend des entreprises à qui l'on demande des services, mais, j'en conviens, vous avez raison.

N'y aurait-il pas lieu d'imposer une pénalité? On voit que des commerçants ou des banques demandent fréquemment les numéros d'assurance sociale, et cela n'est pas toujours nécessaire. N'y aurait-il pas lieu d'instaurer un système de pénalités pour ceux qui font une demande de numéro d'assurance sociale alors qu'ils n'en ont pas besoin?

(1710)

Mme Elise Boisjoly:

C'est une question intéressante. Je ne sais pas si des prédécesseurs se sont penchés sur cette question.

Actuellement, nous avons une liste très claire énumérant qui peut le faire. Nous avons des instructions très claires pour les citoyens. Lorsque quelqu'un leur demande un numéro d'assurance sociale et que cela ne fait pas partie de la liste des gens qui devraient le leur demander, ils ont des recours auprès du commissaire à la protection de la vie privée du Canada.

M. Rhéal Fortin:

Ne pourrait-on pas inclure à la Loi des dispositions pénales pour cela, que ce soit une amende ou autre?

Mme Elise Boisjoly:

Oui, ce serait quelque chose qu'il faudrait vérifier, pour lequel je n'ai pas d'information aujourd'hui.

M. Rhéal Fortin:

D'accord. Parfait.

J'ai une dernière question si vous...

Le président:

C'est fini, malheureusement, monsieur Fortin.[Traduction]

Cela conclut notre période des questions.

Au nom du Comité, je tiens à remercier les fonctionnaires non seulement d'avoir témoigné au début, mais de l'avoir fait aussi plus tard et d'avoir attendu les autres témoins.

Nous allons suspendre la séance et poursuivre à huis clos. Nous prendrons quelques minutes pour vider la salle.

[La séance se poursuit à huis clos.]

Hansard Hansard

committee hansard secu 65897 words - whole entry and permanent link. Posted at 22:44 on July 15, 2019

2019-06-17 SECU 169

Standing Committee on Public Safety and National Security

(1540)

[English]

The Chair (Hon. John McKay (Scarborough—Guildwood, Lib.)):

I call the meeting to order.

I see quorum. It is well past 3:30 p.m., and I see that the minister is in his place. The minister is obviously pretty serious, because he has taken off his jacket. I think we're ready to proceed.

As colleagues will know, we did have an understanding as of last week as to how this session on Bill C-98 would proceed. That agreement has changed. In exchange, there won't be any further debate in the House.

The way I intend to proceed is to give the minister his time, and perhaps when he can be brief, he will be brief. We'll go through one round of questions and see whether there's still an appetite for further questions. From there, we'll proceed to the witnesses and then to clause-by-clause consideration. I'm assuming this is agreeable to all members.

That said, I'll ask the minister to present.

Thank you.

Hon. Ralph Goodale (Minister of Public Safety and Emergency Preparedness):

Thank you, Mr. Chairman and members of the committee.

In the spirit of brevity and efficiency, I think I will forgo the opportunity to put a 10-minute statement on the record and just speak informally for a couple of minutes about Bill C-98. Evan Travers and Jacques Talbot from Public Safety Canada are with me and can help to go into the intricacies of the legislation and then respond to any questions you may have. They may also be able to assist if any issues arise when you're hearing from other witnesses, in terms of further information about the meaning or the purpose of the legislation.

Colleagues will know that Bill C-98 is intended to fill the last major gap in the architecture that exists for overseeing, reviewing and monitoring the activities of some of our major public safety and national security agencies. This is a gap that has existed for the better part of 18 years.

The problem arose in the aftermath of 9/11, when there was a significant readjustment around the world in how security agencies would operate. In the Canadian context at that time, the Canada Customs and Revenue Agency was divided, with the customs part joining the public safety department and ultimately evolving into CBSA, the Canada Border Services Agency. That left CRA, the Canada Revenue Agency, on its own.

In the reconfiguration of responsibilities following 9/11, many interest groups, stakeholders and public policy observers noted that CBSA, as it emerged, did not have a specific review body assigned to it to perform the watchdog function that SIRC was providing with respect to CSIS or the commissioner's office was providing with respect to the Communications Security Establishment.

The Senate came forward with a proposal, if members will remember, to fix that problem. Senator Willie Moore introduced Bill S-205, which was an inspector general kind of model for filling the gap with respect to oversight of CBSA. While Senator Moore was coming forward with his proposal, we were moving on the House side with NSICOP, the National Security and Intelligence Committee of Parliamentarians, by virtue of Bill C-22, and the new National Security and Intelligence Review Agency which is the subject of Bill C-59.

We tried to accommodate Senator Moore's concept in the new context of NSICOP and NSIRA, but it was just too complicated to sort that out that we decided it would not be possible to salvage Senator Moore's proposal and convert it into a workable model. What we arrived at instead is Bill C-98.

(1545)



Under NSICOP and NSIRA, the national security functions of CBSA are already covered. What's left is the non-security part of the activities of CBSA. When, for example, a person comes to the border, has an awkward or difficult or unpleasant experience, whom do they go to with a complaint? They can complain to CBSA itself, and CBSA investigates all of that and replies, but the expert opinion is that in addition to what CBSA may do as a matter of internal good policy, there needs to be an independent review mechanism for the non-security dimensions of CBSA's work. The security side is covered by NSICOP, which is the committee of parliamentarians, and NSIRA, the new security agency under Bill C-59, but the other functions of CBSA are not covered, so how do you create a review body to cover that?

We examined two alternatives. One was to create a brand new stand-alone creature with those responsibilities; otherwise, was there an agency already within the Government of Canada, a review body, that had the capacity to perform that function? We settled on CRCC, the Civilian Review and Complaints Commission, which performs that exact function for the RCMP.

What is proposed in the legislation is a revamping of the CRCC to expand its jurisdiction to cover the RCMP and CBSA and to increase its capacity and its resources to be able to do that job. The legislation would make sure that there is a chair and a vice-chair of the new agency, which would be called the public complaints and review commission. It would deal with both the RCMP and the CBSA, but it would have a chair and a vice-chair. They would assume responsibilities, one for the RCMP and one for CBSA, to make sure that both agencies were getting top-flight attention—that we weren't robbing Peter to pay Paul and that everybody would be receiving the appropriate attention in the new structure. Our analysis showed that we could move faster and more expeditiously and more efficiently if we reconfigured CRCC instead of building a new agency from the ground up.

That is the legislation you have before you. The commission will be able to receive public complaints. It will be able to initiate investigations if it deems that course to be appropriate. The minister would be able to ask the agency to investigate or examine something if the minister felt an inquiry was necessary. Bill C-98 is the legislative framework that will put that all together.

That's the purpose of the bill, and I am very grateful for the willingness of the committee at this stage in our parliamentary life to look at this question in a very efficient manner. Thank you.

The Chair:

Thank you, Minister.

With that, we'll begin the first round of questions of seven minutes each, starting with Ms. Dabrusin.

I just offer a point of caution. I know all members are always relevant at all times about the subject matter that is before the committee, and I just point that out. Thank you.

Ms. Dabrusin, you have seven minutes.

(1550)

Ms. Julie Dabrusin (Toronto—Danforth, Lib.):

Thank you.

I was very happy to see this bill because, Minister, as you know, pretty much every time you have been before this committee, I have asked you about CBSA oversight and when it would be forthcoming, so when I saw this bill had been tabled, it was a happy day for me.

You talked a little about the history of the bill. You talked about Senator Wilfred Moore's bill and how you dealt with the different oversights in Bill C-59 and NSICOP.

Why did we have to wait so long to see this bill come forward?

Hon. Ralph Goodale:

I think, Ms. Dabrusin, it's simply a product of the large flow of public safety business and activity that we have had to deal with. I added it up a couple of days ago. We have asked this Parliament to address at least 13 major pieces of legislation, which has kept this committee, as well as your counterparts in the Senate, particularly busy.

As you will know from my previous answers, I have wanted to get on with this legislation. It's part of the matrix that is absolutely required to complete the picture. It's here now. It's a pretty simple and straightforward piece of legislation. I don't think it involves any legal intricacies that make it too complex.

If we had had a slot on the public policy agenda earlier, we would have used it, but when I look at the list of what we've had to bring forward—13 major pieces of legislation—it is one that I hope is going to get to the finish line, but along the way, it was giving way to things like Bill C-66, Bill C-71, Bill C-83, Bill C-59 and Bill C-93. There's a lot to do.

Ms. Julie Dabrusin:

Yes, thank you.

It's my understanding that when budget 2019 was tabled, there was a section within the budget that referred specifically to the funding for this oversight. Am I correct on that?

Hon. Ralph Goodale:

The funding is provided for. It will be coming through the estimates in due course. We're picking up the base funding that's available to the CRCC, and then, as the responsibilities for CBSA get added and the CRCC transforms into—I have to get the acronyms right—the PCRC, the public complaints and review commission, the necessary money will be added to add the required staff and operational capacity.

Ms. Julie Dabrusin:

You touched upon it briefly when you were talking about the different mechanisms and the decision for it to extend within the RCMP review system. Perhaps you can help me to understand it a bit better. Why not a separate review committee for the CBSA specifically? Why build it within the RCMP system and then expand it, as opposed to having a separate oversight?

Hon. Ralph Goodale:

It's simply because the expertise required on both sides is quite similar. It's not identical, granted, but it is quite similar. There is a foundation piece already in place with the CRCC. There are expertise and capacity that already exist, and the analysis that was done by officials and by Treasury Board and others led to the conclusion that we could move faster and we could move more cost effectively if we built on the existing structure and expanded it, rather than start a whole new agency from scratch.

Ms. Julie Dabrusin:

One of the issues that's come up is that I've had questions from constituents about privacy issues crossing the border, for example, border guards being able to access information on telephones and the like. How would this oversight be able to deal with that privacy issue?

(1555)

Hon. Ralph Goodale:

If an individual thought they had been mistreated in some way at the border, or if their privacy rights had been violated, or if a border officer conducted themselves in a manner that the traveller found to be intrusive or offensive, they would have now, or as soon as the legislation is passed, the ability to file an independent complaint with the new agency. The agency would investigate and offer their conclusions as to whether the procedure at the border had been appropriate or not.

Ms. Julie Dabrusin:

I have a quick question, as I only have about a minute and a half left.

In the context of someone whose phone was being looked at and the basis for it being looked at was a national security concern, or what was proposed as a national security concern, would that go through the PCRC or would that go through...? How would that be managed between the different oversights?

Hon. Ralph Goodale:

The agency is going to be set up in such a way that wherever the person, the traveller, goes with their complaint...they may complain directly to the CBSA, not knowing there is a separate agency, or they may complain to the separate agency, or they may take it to NSIRA, the national security agency. If it's a grey area, the three possibilities—CBSA itself, the public complaints and review commission or NSIRA—will make sure that it lands in the right agency that has jurisdiction to hear it. There may be some jurisprudence that has to develop, informal jurisprudence, at the administrative level about what constitutes a national security complaint or question versus simple objectionable behaviour.

That will take time, but we will make sure that no complaint ends up in the wrong place. Wherever you go with your complaint, the agencies will ensure that it lands on the right desk and gets heard by the right authority.

Ms. Julie Dabrusin:

I'm out of time.

The Chair:

Thank you, Ms. Dabrusin.

Mr. Paul-Hus, for seven minutes. [Translation]

Mr. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, CPC):

Thank you, Mr. Chair.

Minister Goodale, we're talking about organizations that are the subject of complaints. There's currently a complaint regarding the funding provided by Canada Summer Jobs to the Islamic Society of North America. It has been acknowledged and documented that the organization provided funding for terrorism purposes.

Has your department or any agency that operates under your department been informed of this issue or involved in the case? [English]

Hon. Ralph Goodale:

Are you referring to the one that was referred to in question period today?

Mr. Pierre Paul-Hus:

Yes.

Hon. Ralph Goodale:

That is an issue that the employment department is examining. The funding involved was through the jobs fund and, as I understood the answer in the House today, the minister is asking her officials to investigate to ensure that whatever the decision-making process was with respect to that funding, it was fully and properly conducted. The matter is in fact being investigated. [Translation]

Mr. Pierre Paul-Hus:

Thank you. [English]

The Chair:

Thank you. I had urged members to stay with what we're on, which is Bill C-98. I'm not quite sure how a jobs funding application has much to do with Bill C-98, so I'd encourage the honourable member to direct his questions to Bill C-98 issues, please. [Translation]

Mr. Pierre Paul-Hus:

I was putting into practice the basis of the bill, which is the fact that Canadians are filing complaints. It's the same principle.

Let's go back to the commission, Minister Goodale. Is the commission currently experiencing any delays in the handling of complaints? Does it already have an excessive workload? Will adding more powers, duties and functions with regard to the Canada Border Services Agency create even more issues, or is everything fine? [English]

Hon. Ralph Goodale:

Certainly, the expanded agency will have more work to do. At the moment, the CRCC looks exclusively at issues related to the RCMP. Under the new configuration, the review agency will examine both the RCMP and the CBSA. Presently—

(1600)

Mr. Pierre Paul-Hus:

Actually, sir, do you know if there are some delays in the treatment for the RCMP—

Hon. Ralph Goodale:

The CRCC I believe will be available to you later this afternoon—

Mr. Pierre Paul-Hus: Okay.

Hon. Ralph Goodale: —and they will be able to explain their workload, but on your basic point, Monsieur Paul-Hus, clearly the new agency is going to have more work to do. Therefore, it will need more resources, but we will be more cost-effective in applying those resources if we build on the platform the CRCC already has rather than building a brand new stand-alone agency for CBSA. [Translation]

Mr. Pierre Paul-Hus:

Okay.

If a person is removed by the Canada Border Services Agency for any reason, could they file a complaint regarding their forced removal in order to delay their removal? [English]

Hon. Ralph Goodale:

That's a question that may fall a bit in the grey area between a complaint about the behaviour of an officer, such as “was I treated roughly or rudely”, compared to “was I put out of the country for good and valid reasons”. If you have a dispute about the reason for which you are being removed from the country, there are legal appeal mechanisms available to you to contest the rationale for it. [Translation]

Mr. Pierre Paul-Hus:

Have we looked at whether people could use the complaint process to avoid being removed while the commission conducts an investigation? [English]

Hon. Ralph Goodale:

No. The decision on removal or not, depending on which section of the act you're dealing with, is a decision made by either the Minister of Immigration or the Minister of Public Safety. It's not an administrative decision. [Translation]

Mr. Pierre Paul-Hus:

Who worked on Bill C-98? Was it just Public Safety Canada? Did the RCMP and the Canada Border Services Agency also participate? [English]

Hon. Ralph Goodale:

I'll ask Mr. Travers, who assisted with the policy preparation and the drafting, to comment on that.

Mr. Evan Travers (Acting Director General, Law Enforcement and Border Strategies Directorate, Department of Public Safety and Emergency Preparedness):

Thank you, Minister.

Public Safety consulted, within the strictures of cabinet confidence obviously, with the CBSA and with the RCMP in the development of the draft legislation. [Translation]

Mr. Pierre Paul-Hus:

Okay.

Is there a reason why the union wasn't consulted? [English]

Mr. Evan Travers:

The consultation with respect to the union was handled through the CBSA. My understanding is that the CBSA engaged with the union after the tabling of the bill. [Translation]

Mr. Pierre Paul-Hus:

Yet the union seems to be saying that it wasn't consulted at all on this issue. [English]

Hon. Ralph Goodale:

The policy decision, Mr. Paul-Hus, was clearly made by the government based on all of the public representations that had been received that this was a gap that needed to be filled.

In terms of the structure or the method of filling the gap, we settled on that in the discussions between the public safety department, the CBSA and the RCMP. Once that policy decision was made and the legislation was in the public domain, the CBSA, as I understand it, talked further with their union.

The Chair:

You're pretty well out of time, Mr. Paul-Hus. You have 10 seconds.

Mr. Dubé, you have seven minutes. [Translation]

Mr. Matthew Dubé (Beloeil—Chambly, NDP):

Thank you, Mr. Chair.[English]

Minister, thank you for being here.

I want to go back to the question Ms. Dabrusin was asking in terms of the time that this took. The fact is, there was a Senate report prior to the last election in 2015, legislation by Senator Segal in the previous Parliament and a recommendation from this committee in 2017.

Also, for anyone who wants to take a minute to google it, you can find articles from at least the last three years with you promising this legislation—it's coming, it's coming. Also, most of the bills you enumerated in responding to my colleague, if not all, were tabled in 2016 or 2017.

I'm wondering about this mechanism. You called it simple and straightforward, faster and cost-effective and said it builds on existing infrastructure. I'm having a hard time with this, especially in knowing that the legislation is only going to come into effect in 2020, if I'm understanding correctly, with regard to the ability of Canadians to make complaints.

I'm still not quite understanding why, with all those pieces on the table and at the very least two or three years in the lead-up.... To me, it doesn't seem to wash that you sort of dropped your arms and said, “Oh well, the senator's proposal won't work in Bill C-59.” That seemed to be what you were implying in response to the question.

I want to ask again why it took so long when there continue to be incidents with work relations for those who work at CBSA—allegations of harassment and things of that nature—and obviously, of course, the issues that some Canadians face in the way they are treated at the border.

(1605)

Hon. Ralph Goodale:

Well, as I said, Monsieur Dubé, we have had an enormous volume of work to get through, as has this committee, as has Parliament, generally. The work program has advanced as rapidly as we could make it. It takes time and effort to put it all together. I'm glad we're at this stage, and I hope the parliamentary machinery will work well enough this week that we can get it across the finish line.

It has been a very significant agenda, when you consider there has been Bill C-7, Bill C-21, Bill C-22, Bill C-23, Bill C-37, Bill C-46, Bill C-66, Bill C-71, Bill C-59, Bill C-97, Bill C-83, Bill C-93 and Bill C-98. It's a big agenda and we have to get it all through the same relatively small parliamentary funnel.

Mr. Matthew Dubé:

I think maybe three of those bills were tabled after 2017 or early 2018. I mean, for the C-20s and the single digits, we're talking days after your government was sworn in. I think there needs to be some accountability, because you've been on the record strongly saying that this needed to be done, and so I don't want to leave it being said that.... For example, with Bill C-59, why not make the change then?

I just want to understand, because my concern, Minister, is that I want to make sure there's no, for example, resistance internally to this issue. I can't understand, if this is a simple and straightforward mechanism in Bill C-98, why it took years to come to the conclusion that this was the way to go.

Hon. Ralph Goodale:

There is no internal resistance at all. In fact, the organization, CBSA, recognizes that this is a gap in the architecture and that it needs to be filled.

Part of it was filled by Bill C-22 with the committee of parliamentarians, as far as national security is concerned. Part of it was filled by Bill C-59 and the creation of the new NSIRA, again with respect to national security.

This legislation fills in the last piece. [Translation]

Mr. Matthew Dubé:

I want to follow up on the questions asked by my colleague, Mr. Paul-Hus. I'm troubled by the fact that the union wasn't consulted in this case. One role of this mechanism is to protect workers in the event of allegations. The media sometimes reports on harassment allegations and things of that nature.

Mr. Travers, you can probably answer my question. You explained that the agency carried out the consultation. However, the workers are the ones who may be directly affected by the results of the complaints. Sometimes, they may be the ones who file complaints. Given the nature of the bill, why didn't you take the time to consult the union, which represents the workers? [English]

Hon. Ralph Goodale:

Monsieur Dubé, the issue was thoroughly debated within the government department and within CBSA. It's up to CBSA to have that interface with their employees. They conducted those conversations at what they considered to be the appropriate time.

The point is that the legislation is now ready to go. You'll have the opportunity to examine it in detail to ensure, through the democratic process in Parliament, that it's properly addressing the needs of the workers.

(1610)

Mr. Matthew Dubé:

Well, you'll forgive me, Minister. We support the bill and will be happy to see it get adopted, but that's just the issue. We don't have the time, because it took so long that now we have to do this quickly. I'm okay to do that, but I think we do have to qualify those comments.

Did you receive any kind of report from CBSA about the specifics of what the union had to say, or was it kind of like—not to be simplistic about it—just saying that you spoke to them and it's fine, and then moving on?

Hon. Ralph Goodale:

There were no negative issues reported to me from any part of the consultation. [Translation]

Mr. Matthew Dubé:

Thank you.

I have one last question for you.

I gather that the mechanism will be implemented in 2020. People who wish to file a complaint can do so from that point on. Are any further clarifications needed or can we expect that, if the bill is passed, people will be able to file complaints under the proposed mechanism starting next year? [English]

Hon. Ralph Goodale:

That would be the goal, Mr. Dubé. We're obviously working on the development of an expanded agency. We may run into administrative issues that we hadn't anticipated, but the objective is to get this in place as quickly as possible. The mechanism we're choosing will let us move more quickly than we could if we were creating an agency from the ground up.

Mr. Matthew Dubé:

But, Minister—I have just 20 seconds left—

The Chair:

Actually, you don't.

Mr. Matthew Dubé:

—if we get the bill through Parliament, will it be done, if it's adopted?

Hon. Ralph Goodale:

That is exactly what I want to achieve, yes.

The Chair:

Thank you, Mr. Dubé.

Monsieur Picard, go ahead for seven minutes. [Translation]

Mr. Michel Picard (Montarville, Lib.):

Thank you, Mr. Chair.

Minister Goodale, as you know, I started my career as a customs officer. The threshold for tolerance or interpretation when it comes to people entering Canada varies depending on whether the people are visitors or residents returning to Canada.

My colleague Mr. Dubé talked about protecting employees. Of course, you need an external perspective to determine the merits of a complaint filed by someone who believes that their rights have been violated. It seems that the bill contains measures that enable the commission to accept or reject a complaint based on its content. [English]

Hon. Ralph Goodale:

Yes, Monsieur Picard.

Do you see a problem with that?

Mr. Evan Travers:

I don't. I may have missed something in the translation.

Mr. Michel Picard:

People coming back into Canada, residents and visitors, don't have the same threshold for how they'd like to be treated, considering the nature of their complaints. The committee can analyze the grounds of those complaints and whether they make sense or not. With regard to protecting the officers, as Mr. Dubé said, this bill also looks at something to protect officers and employees from frivolous complaints.

Hon. Ralph Goodale:

The whole objective, Monsieur Picard, is to have fairness both ways. When someone is travelling, they deserve to expect an efficient professional experience at the border. The public servants who are administering border services should also expect to be able to function in a safe and respectful work environment. It works both ways.

I suspect that once a certain file of complaints has been received and heard, we'll be developing a pool of experience and expertise that will improve the border experience both ways.

Mr. Michel Picard:

Chances are that the committee will come to a conclusion that might not be accepted by the agency itself. Who has the final decision on the conclusion provided by the committee should it go against the interpretation of the agency?

Hon. Ralph Goodale:

I'll ask either Mr. Travers or Mr. Talbot to comment on the ultimate authority, but in response to your last question, Mr. Picard, I'd refer to proposed subsection 32(2) in the act, which deals with how you handle trivial, frivolous or vexatious complaints or complaints made in bad faith, which is, I think, what you are concerned about.

Mr. Talbot or Mr. Travers, can you comment on the ultimate decision-making authority if there's an argument between the review body and the agency?

(1615)

Mr. Evan Travers:

The first body to investigate any complaint would be the CBSA, in most cases. They would be able to look at that, make findings and then give those findings back to the complainant. There are provisions throughout that require the subject employee to be notified and kept informed of the progress of the investigation. If after receiving that report from the CBSA the complainant is not satisfied with the contents of the report, they could refer it to the commission. The commission would take its own look at the complaint. The commission could either agree with the CBSA's conclusions or conduct its own investigation or ask the CBSA to conduct a further investigation of the complaint. Once the commission looked at the complaint, it would send that file back to the CBSA, and the CBSA could add comments to it.

There is a process by which differences of opinions and views can come out, but the commission's report will be the commission's report, at the end of the day. They will come to that with a full understanding and appreciation of the facts, and they will be able to go and get the facts they need to get that. In terms of the results of that, it is a final decision from the commission. It is not reviewable by a federal court or by another body, because the recommendations that come out of it aren't binding on the CBSA.

Mr. Michel Picard:

Are you saying that if an individual is not satisfied with the end result, after the commission has reviewed the issue he doesn't have any more legal recourse to sue anyone?

Hon. Ralph Goodale:

The discipline here, Monsieur Picard, is the process of having a formal investigation. If the review body comes to a very clear conclusion that the individual's rights have been infringed upon—they have been treated badly; there's something wrong in the way they were handled, and that's the very clear conclusion from the review body—and the agency fails to address that in a meaningful way, then the agency, I think, will have a very big policy and administrative problem on its hands. The issue will have been exposed publicly by an independent authority that will say you were either right or wrong. There will be a very strong obligation on the part of the agency to respond to that.

Mr. Michel Picard:

Thank you.

The Chair:

We've reached the end of our seven-minute round. Is there still an appetite to ask questions until 4:30 p.m.?

Okay. Then we'll run until 4:30 p.m. and that will be it.

Go ahead, Mr. Motz. You have five minutes.

Mr. Glen Motz (Medicine Hat—Cardston—Warner, CPC):

Thank you, Chair.

Minister, I've heard the term “oversight body” used here a couple of times today. I think that's a misnomer. As you have said before, we need to make sure it's a review body, a civilian complaints review commission, and not oversight of the CBSA. I want to make sure everybody understands that.

(1620)

Hon. Ralph Goodale:

That's correct.

Mr. Glen Motz:

Okay. Thank you.

To go back to the earlier comments from Ms. Dabrusin, Pierre Paul-Hus and Mr. Dubé about the timing, I'm led to believe, sir, that the previous government and officials in the public safety division, if you will, were already drafting some bill similar to this about this issue to get oversight...sorry, to get civilian review for CBSA.

Hon. Ralph Goodale:

It's easy to fall off the wagon.

Mr. Glen Motz:

It took us until the last few hours of this session to get this here, but it was sort of being worked on before. This could have been in place years ago, and it wasn't. I support it, and I believe it's something we need, but again, I just echo the concerns that have been raised already. I just want to put on record that I'm concerned that it took this long.

My question is on the mechanism. Everything boils down to the mechanism, to how this is going to work. We know that the current RCMP complaints commission has six members, and I believe this legislation is going to maybe reduce that number to five. As Mr. Travers explained with regard to Mr. Picard's question, the CBSA will do the initial investigation of a complaint that comes to it from a civilian about the handling of whatever it might be. If that individual, the member of the public, is not satisfied with the disposition of that complaint, he or she can go to the complaints review commission and have that investigation reviewed again, if you will.

I don't understand the mechanism with regard to how the complaint commission does that. Does it do a paper review? If there's a complaint that the investigation wasn't done thoroughly, does it have its own investigative body that can interview witnesses and get more detail? How will that actually play out in the operations of this?

Hon. Ralph Goodale:

Again, I'll ask Mr. Travers to comment on the mechanical details.

The portion of the new commission that will be dealing with CBSA would function in a very similar way to how the existing commission does with respect to the RCMP.

Mr. Glen Motz:

Are there two different commissions?

Hon. Ralph Goodale:

No, but there will be two streams of activity within the same commission.

Mr. Glen Motz:

So, it's the same people hearing the same complaints. People on the RCMP side will hear RCMP matters, and the same people will also hear CBSA matters. Is that correct?

Hon. Ralph Goodale:

Let me just double-check that point.

The plan, Mr. Motz, is that the reviewers on the CBSA side would deal with CBSA issues and that the reviewers on the RCMP side would deal with RCMP issues. It would be up to the chair and the vice-chair to determine the allocation of the personnel to hear any particular case, but I would think—

Mr. Glen Motz:

They'd be two separate bodies inside of one commission.

Hon. Ralph Goodale:

Essentially, yes. There would be an RCMP stream and a CBSA stream.

Mr. Glen Motz:

From an expertise perspective—

Hon. Ralph Goodale:

Exactly, because the issues are similar, but they're not identical.

Mr. Glen Motz:

Yes.

Would there be an investigative ability inside that commission if the complainant isn't satisfied with the investigation with regard to the complaint?

Hon. Ralph Goodale:

The investigative function would be the same for the CBSA work as it would be for the RCMP work. They have the capacity to make inquiries, to receive information, and to pursue any complaint that's presented to them to make sure that they have the facts in front of them—

Mr. Glen Motz:

Okay, so, it's separate from the—

Hon. Ralph Goodale:

—so that they can make a decision.

Mr. Glen Motz:

It's separate from the CBSA. The CBSA has done the investigation. This commission could do another one on top of this, a separate one.

Hon. Ralph Goodale:

If they're not satisfied with what they've been presented, yes.

Mr. Glen Motz:

Then the commission itself has the ability to do it, or would it farm that out to another investigative body?

The Chair:

This is going to have to be the last answer for you, Mr. Motz.

Hon. Ralph Goodale:

The chair and vice-chair of the commission would determine what resources, either internal or external, they require. They'll have a budget. Obviously, they want to get to the bottom of whatever a complaint is. They want to be able to satisfy either the employee who's complaining or the member of the public who's complaining, that the complaint has been treated fairly and competently and that the truth has been found.

(1625)

The Chair:

Thank you, Mr. Motz.

Mr. Graham, you have the final five minutes.

Mr. David de Burgh Graham (Laurentides—Labelle, Lib.):

Thank you.

In the event of a conflict of authority between the PCRC and the NSIRA, or even NSICOP, who prevails?

Hon. Ralph Goodale:

It would be up to the agencies to sort out their respective jurisdictions. I suspect it will be pretty clear in most cases as to whether it's a national security issue or not.

The agencies in the past have had jurisdictional questions where they've had to work on things together. They've been able to resolve disputes in a way that is satisfactory, so I don't anticipate there's going to be a jurisdictional fight here.

Mr. David de Burgh Graham:

When the RCMP is operating in a contract position, for example, as provincial police, or here on the Hill in PPS, is the PCRC's power and oversight the same as an RCMP native operation?

Hon. Ralph Goodale:

If they're functioning as a provincial police force—

Mr. David de Burgh Graham:

Yes.

Hon. Ralph Goodale:

—the first line of complaint would be the provincial review agency. There is one in every province.

Mr. David de Burgh Graham:

What about for the PPS side? The RCMP is contracted to provide a service, so—

Hon. Ralph Goodale:

They're contracted to provide an officer. You'll have to consult the Speaker on that one, because that's the jurisdiction of the two Speakers.

Mr. David de Burgh Graham:

That's fair.

In overseas operations, when the RCMP is doing training missions, for example, or the CBSA is doing pre-clearing, which is another one of the bills that you brought forward, is the PCRC empowered to investigate overseas in the same way as they are domestically?

Hon. Ralph Goodale:

The powers of the review body in relation to the RCMP will not change. Whatever exists now, continues. CBSA is then added to it.

Mr. David de Burgh Graham:

They would be able to go down to the U.S., for example, and find out what happened if there were a major complaint.

Hon. Ralph Goodale:

Go ahead, Evan.

Mr. Evan Travers:

They would certainly be able to access any of the information, whether those CBSA activities took place in Canada or abroad. If that would require them to go abroad, I don't know, or if they'd be able to interview people in Canada, but they'd be entitled to have access to CBSA information just as they would if the event had happened in Canada.

Mr. David de Burgh Graham:

I have one final question.

Does the PCRC have any power to make a binding recommendation in any circumstance?

Hon. Ralph Goodale:

No.

Mr. David de Burgh Graham:

Thank you.

The Chair:

That brings our questioning to an end.

I want to thank members and the minister for their co-operation in moving this through expeditiously.

Hon. Ralph Goodale:

Mr. Chairman, just let me say thank you to you and members of the committee for indicating your willingness to handle this matter very expeditiously in the time that's available to us.

The Chair:

Thank you.

With that, we will suspend and resume as soon as the witnesses are ready.

(1625)

(1630)

The Chair:

For the purpose of expediting this bill, I will say that we have a quorum and we are re-empanelled as of now.

Joining us by remote whatever, we have Mr. Sauvé, from the National Police Federation, and also Michelaine Lahaie, Lesley McCoy and Tim Cogan.

I'm going to give the opportunity to Mr. Sauvé to speak first, because one never knows with this technology whether it will survive.

Generally we have 10 minutes per presentation. Ideally, if it could be less than 10 minutes, we could get to members' questions more quickly.

With that, may I call on Mr. Sauvé to introduce himself and make his presentation.

Mr. Brian Sauvé (Co-Chair, National Police Federation):

Thank you, Mr. Chair. I hope the technology is working and that you can hear me.

The Chair:

That is a nice piece of art behind you there.

Mr. Brian Sauvé:

Thank you.

My name is Brian Sauvé. I'm a regular member. I'm also a sergeant in the RCMP. I've been on leave without pay to found and start the National Police Federation. Presently, I'm one of the interim co-chairs.

For those who have been following from the sidelines, we made an application to certify the first bargaining agent for members of the RCMP in April 2017. We have been going through every hoop and hurdle imaginable thrown at us since April 2017. A certification vote was held with all 18,000-plus members of the bargaining unit last November and December. We are still awaiting a decision from the Federal Public Sector Labour Relations and Employment Board on that vote with a constitutional challenge.

That being said, with respect to Bill C-98, we wanted to have input to provide the RCMP members' perspective on the CRCC and part VII of the RCMP Act as it deals with public complaints. I'm open to questions on that.

At the time, I saw Bill C-98 as an act to amend the RCMP Act. There are a number of concerns that our membership has expressed with respect to the 2014 amendments to the RCMP Act, otherwise known as Bill C-42, that would be nice to be broadcast or provided questions on.

For example, in Bill C-98, there is an amendment to section 45.37 of the RCMP Act imposing time frames in consultation with the force, and the newly worded public review and complaints commission, as to how long an investigation should take, what should be the result and the consultation between the force and the investigating body.

It would really be nice, from our perspective, from an RCMP member's perspective, to expand that to deal with other areas of the RCMP Act. One of the areas that would be lovely to have some form of consultation on timelines would be the internal disciplinary processes or even grievances or appeals of commissioner's decisions on suspensions and such.

Our experience has been that whether it's a complaint under part VII or an administrative process under part IV or a grievance under part III of the RCMP Act, the RCMP itself is not equipped to deal with these issues in a timely manner. The issues tend to lag on for six months, a year, a year and a half to two years, which leaves the accused or the subject member of either a public complaint or a code of conduct or a griever in a grievance in limbo in an administrative process that takes forever.

Should your committee have questions on that, I'd be more than happy to answer, and we'll go from there.

That would be my presentation. I'm sure you're not going to study all of the submissions I would have on Bill C-42 and how it has impacted the membership of the RCMP, and the sweeping powers of commissioners and commanding officers.

I would love to get into that in more detail some day, but I don't think this legislation is the venue for that. However, timelines in section 45.37 would be something that we would definitely appreciate your looking into.

(1635)

The Chair:

Thank you, Mr. Sauvé.

The lights are flashing, and I'm obliged to suspend unless I have the unanimous consent of colleagues to carry on. My proposal would be, since we're in the building, that we carry on for 15 to 20 minutes. I believe it is a half-hour bell. Is 20 minutes reasonable?

Some hon. members: Agreed.

The Chair: With that, we will probably get through the presentation of the next witnesses and at least start the questions.

The minister mentioned to me that he has a flowchart of the process which he's more than willing to make available to anyone who wishes. Regrettably, it's only in English. It will be in French and English in 24 hours, but for those who are interested in the flowchart, it is available.

I call upon Michelaine Lahaie, chairperson of the Civilian Review and Complaints Commission for the RCMP.

Ms. Michelaine Lahaie (Chairperson, Civilian Review and Complaints Commission for the Royal Canadian Mounted Police):

Good afternoon, Mr. Chair. My name is Michelaine Lahaie and I'm accompanied today by Tim Cogan, who is my senior director of corporate services, as well as Lesley McCoy, who is my general counsel.

Given the short notice that we were provided for this particular hearing, we do not have any prepared comments, but I am indeed prepared to answer any questions the committee members may have.

The Chair:

Thank you.

Ms. Sahota, go ahead for seven minutes.

(1640)

Ms. Ruby Sahota (Brampton North, Lib.):

My first couple of questions will be for the commission.

In the time you've been serving, on average, how many complaints have you been getting from civilians? What range of issues are those complaints on? How long does the process generally take, whether for an initial review or, if you actually get into an investigation, for that? There are four questions in there.

Ms. Michelaine Lahaie:

In terms of the number of complaints that we receive, we receive between 2,500 and 3,000 complaints per year about RCMP members. We are then normally asked to review somewhere in the neighbourhood of 250 to 300 of those complaints ourselves. As described by the minister during the last session, the complaints generally go to the RCMP for investigation first. If the individual lodging the complaint is not happy with the RCMP's disposition of the complaint, it will then come to us and we will conduct our review. On average, we're reviewing 250 to 300, and my call centre receives between 2,500 and 3,000 complaints per year.

In terms of timeline, it really depends. We do have service standards at the commission. Once we've received a complaint, our service standard is that within four business days we send that complaint to the RCMP for them to carry on with their investigation. Once the RCMP has completed their portion of the investigation or they've sent out their report, if the individual who made the complaint would like to have that complaint reviewed, they have 60 days to come back to us and ask for it to be reviewed.

Then, once we've received an indication from the individual that they would like the complaint reviewed, our service standard is 120 business days following that. However, that timeline starts as soon as we receive all the relevant material from the RCMP. We go to the RCMP and we ask for any information with respect to the investigation that they conducted, and we may ask for any other information that comes that may be related to that specific complaint.

The Chair:

Mr. Sauvé, I want to advise you, because you're new to this process, that if you wish to intervene on any question, just give some indication to me, and I'll make sure you can intervene.

Go ahead.

Ms. Ruby Sahota:

Sorry, I lost my train of thought with that.

You ended by saying there was a 60-day review.

Ms. Michelaine Lahaie:

The individual who has requested a review has to indicate that they want the complaint reviewed after 60 days. From the time the RCMP has sent out their letter of disposition, the individual has 60 days to tell us they want it reviewed.

Ms. Ruby Sahota:

How long does it generally take for the RCMP to do their review after you've sent the complaint?

Ms. Michelaine Lahaie:

At present, there are no service standards with respect to that piece. Sometimes it can take as little as a few months to as much as two years, depending upon from where the complaint has been lodged and depending upon the complexity of the complaint.

Ms. Ruby Sahota:

I know there must be a range of issues, but can you identify three or four main issues that do occur?

Ms. Michelaine Lahaie:

The main issues that we see are about improper attitude. We will see some that deal with improper use of resources, not responding to duty correctly, or what's deemed by the complainant to be improper use of force.

Ms. Ruby Sahota:

I believe Mr. Graham had a couple questions.

Mr. David de Burgh Graham:

I have just a couple of short ones for Sergeant Sauvé if I may.

You're talking about the trouble you're having essentially unionizing the RCMP membership, if I understand correctly.

Mr. Brian Sauvé:

Well, I wouldn't say.... I mean, it was a challenge. We live in a diverse and very geographically spread-out country, so it was a challenge in the first year getting all of the members on board. The challenge now is in pushing the FPSLREB process in order to get through the application for certification. The membership have shown their support. It's just, shall I say, the “pushing molasses uphill in January” governmental process that is providing us with a bit of a delay.

(1645)

Mr. David de Burgh Graham:

At least in January—

The Chair:

Mr. Graham, I warned Mr. Paul-Hus about the relevance to Bill C-98.

Mr. David de Burgh Graham:

I'm about to bring it in, yes.

The Chair:

Okay. I'm hoping you'll bring it in.

Mr. David de Burgh Graham:

I'll bring it back in. I have one more question before I get to that, but I will tie in with that.

The Chair:

Okay.

Mr. David de Burgh Graham:

The reason I go down this road is that, as you're aware, there are three unionized services on Parliament Hill that report to the RCMP. I'm wondering if you've talked to SSEA and PSAC about their challenges. They've had many of them. I'm also wondering if Bill C-98 will give you any additional tools in dealing with this and if that's why you've come today.

Mr. Brian Sauvé:

No, the reason I expressed my interest with the clerk when he called this morning—I appreciate the short timelines that this committee is dealing with—is that any opportunity to have the membership of the RCMP's voice heard with respect to amending the RCMP Act is an opportunity for us to speak on their behalf. If we didn't, it would be an opportunity lost.

In terms of consulting with those who represent the PPS or the membership on the Hill, you know, Bill C-7 kind of precluded any organization that was asking to represent the membership of the RCMP—it's a grey area in Bill C-7—from having any associational activity outside the law enforcement community. We've been very careful in the NPF about how we associate and who we hitch our banner to. Most of that has been within the Canadian police association community—the Ontario Provincial Police Association, la Fraternité des policiers et policières à Québec, and that sort of thing. We haven't really linked up with a PSAC or a CUPE or a UCCO, for example.

Mr. David de Burgh Graham:

Does the committee that we're talking about today give you more tools for the union to deal with, or is it a non-issue for you? When the certification has been received, will the union use this committee to deal with the RCMP? Is it a tool that would be in your arsenal as well?

The Chair:

Very briefly, please.

Mr. Brian Sauvé:

I'm not sure I understand the question correctly.

Mr. David de Burgh Graham:

In negotiating with the RCMP, does the creation of the committee as we're now seeing it improve your ability to negotiate? Does it give you extra tools, or is it a non-issue for you and it's strictly for the public, in your view?

Mr. Brian Sauvé:

With the CRCC as it is—I'll use the terminology “CRCC” because that's what it still is today—I don't see Bill C-98 impacting the membership of the RCMP or changing how we deal with or investigate public complaints.

As you heard from the chair of the CRCC, Ms. Lahaie, on the timelines with respect to the investigation of public complaints, the bottleneck that we see and that I hear about is the RCMP's ability to investigate in a timely manner. That extends—

The Chair:

I'm sorry, Mr. Sauvé, but we'll have to leave it there. We've run past time.

Mr. Brian Sauvé:

That's fine.

The Chair:

Mr. Motz, you have seven minutes.

Mr. Glen Motz:

Thank you.

You indicated, ma'am, that you have 2,500 to 3,000 complaints that the RCMP investigates on their members a year. The commission reviews about 250 to 300 of those. Has there been any thought given, based on what the CBSA is currently doing, because they already have complaints that they deal with internally, to how many more will be added to the commission's workload?

Ms. Michelaine Lahaie:

We've been consulting extensively with CBSA on this issue. My understanding is that they receive approximately 3,000 complaints a year. We're expecting the numbers to be very similar. Having said that, there will of course be a public education process that will happen around the launch of the PCRC. Once that happens, there is a possibility that the number of complaints will go up. Right now our planned number is about 3,000 per year.

Mr. Glen Motz:

As I understand Bill C-98, you had six members of the commission coming in.

Ms. Michelaine Lahaie:

We had five members of the commission under the old RCMP Act, so this will be five again.

(1650)

Mr. Glen Motz:

You have five RCMP, and will you have five new members for the CBSA?

Ms. Michelaine Lahaie:

No, sir, that's incorrect. We'll just have five members. The commission will have—

Mr. Glen Motz:

Five full...?

Ms. Michelaine Lahaie:

—five members. That's right.

Mr. Glen Motz:

Okay. How do you then.... One of the issues of the RCMP membership now, which certainly will be a concern for CBSA, is dealing with these issues in a timely manner. Yes, we need to be responsive to the complaints from the public, but we also have to be understanding of what some of these complaints do to the membership. Frivolous and vexatious complaints need to be addressed in a timely way, as well as just the disposition, even if they're founded complaints.

How do you propose to accelerate the timeline that you've already talked about in terms of a few months on some of the smaller cases to several years for some of the more complex ones?

Ms. Michelaine Lahaie:

One of the things this bill is going to help with is the fact that there will now be service standards. There will be service standards for the RCMP as well as service standards for CBSA in terms of their responding, which will assist the commission greatly, whereas right now, the RCMP, in the current RCMP Act, do not have a specific service standard in terms of when they have to reply back to us. We will be negotiating service standards with them and with the CBSA when the new act comes into force.

Mr. Glen Motz:

Does that service standard apply, then, if a member of the public doesn't complain to you? Here's what I'm getting at. You have a service standard that is going to be built in. If you are asked by a member of the public to intervene or to review a file that's already been investigated—either by CBSA in this case, in Bill C-98, or the RCMP, because they're both going to be similar—the RCMP and the CBSA, for that matter, will both have a service standard to meet.

What happens previous to that? Do they have service standards now? If a member of the public complains to CBSA or the RCMP now, is there a service standard such that they have to respond to a member of the public in a timely way?

Ms. Michelaine Lahaie:

I can't speak to what CBSA is doing right now, because we're looking at what we're doing in the future. In terms of the RCMP, they do have a policy document that's in place, but there's no requirement for them to articulate that service standard externally. Right now, there really isn't a service standard externally in place for that.

Mr. Glen Motz:

Mr. Sauvé, would you care to comment on that?

Mr. Brian Sauvé:

As I mentioned at the beginning, I think service standards are a fantastic idea. One of the comments I would make is that the implementation of service standards for the investigational side would be a huge win for the membership. As you mentioned, having something hanging over your head for a year to two or three years and not knowing the resolution is the bottleneck right now.

Mr. Glen Motz:

All right. Thank you.

I saw you sitting in the gallery when I asked the minister this question. You have five members as a commission. Do you have investigative resources that you have access to that provide you with the ability to reinvestigate if a complaint is found to be insufficient? Does that exist for both the RCMP side of your commission and the CBSA side of your commission? Who is the investigative body that you contract or go to for that?

Ms. Michelaine Lahaie:

The answer to your question is yes. We do have the ability to investigate. I have a team of seven investigators who currently work for me right now. I suspect that with the increase in funding, as well as the new mandate, we will be increasing the number of investigators we have. In some cases, if we require and need very specialized expertise, then we contract out for that specialized expertise. For example—

Mr. Glen Motz:

Who would you contract out to? Is it to other police services?

Ms. Michelaine Lahaie:

I'm sorry?

Mr. Glen Motz:

Is it other police services?

Ms. Michelaine Lahaie:

No. It's not other police services. We go to civilian contracts and look at using those types of services.

Mr. Glen Motz:

On the investigators you have now, where are they from?

Ms. Michelaine Lahaie:

They're a mix. I have some who are from other police services. I have some who have come from family and social services, so it really is—

Mr. Glen Motz:

Are they on secondment? Are they seconded positions?

Ms. Michelaine Lahaie:

No. They're public servants who work directly for me.

Mr. Glen Motz:

They've had previous experience in those agencies.

Ms. Michelaine Lahaie:

Exactly.

Mr. Glen Motz:

All right.

This has been a long time in the making. You heard us talk about that with the minister. Is there anything as you see the bill.... I mean, as the commission, you're responsible. You're going to be tasked with making sure that now CBSA falls under the requirements of this commission as well for civilian complaints review.

In order to look after the public in a timely way or in any way to be efficient there, and to also be responsive to the RCMP and CBSA members who might be the subject of a complaint, is there anything that we should be considering in this bill but is void in this legislation now or anything that could strengthen it to be more effective on both sides?

(1655)

The Chair:

Answer very briefly, please.

Ms. Michelaine Lahaie:

The legislation as you have it before you is very similar to what we see in the Royal Canadian Mounted Police Act right now. There are probably a few minor housekeeping issues, but as we read it right now, as the commission, there are no showstoppers.

Mr. Glen Motz:

With regard to the housekeeping issues, if you could get them to us....

Ms. Michelaine Lahaie:

Sure.

Mr. Glen Motz:

It's just that we have to go through this today or Wednesday.

The Chair:

With that, we're going to have to suspend and go off to vote.

I'm hoping that our witnesses can stay while we go exercise our democratic franchise.

(1655)

(1720)

The Chair:

We are back and we have quorum.

I think it's Mr. Dubé who has seven minutes.

Subject to what colleagues might say, my suggestion would be that we go for 20 minutes. Does that sound reasonable? Then we'll move to clause-by-clause consideration after that.

Some hon. members: Agreed.

The Chair: Okay.

Mr. Dubé, go ahead for seven minutes, please. [Translation]

Mr. Matthew Dubé:

Thank you, Mr. Chair.

Mr. Sauvé, I hope that you'll forgive me, but I have few questions that I think you can answer.

First, I want to take this opportunity to congratulate you for everything that you're doing. I know that things haven't been easy in recent years, but I think that it's a step in the right direction. It was something that needed to be done a long time ago. The people who have been following the debate know that this is about establishing fair representation for the men and women in uniform in the RCMP. Keep up the good work.

My questions pertain to some aspects of the commission's current operations and how the bill can change or affect this.

The proposed subclause 18(2) on page 8 of the bill states as follows: (2) In order to conduct a review on its own initiative, the Commission (a) must be satisfied that sufficient resources exist ... (b) must have taken reasonable steps to verify that no other review or inquiry has been undertaken ...

I'll address the reasonable steps described in paragraph (b). Let's start with paragraph (a), which concerns resources.

Take the case of an incident reported by the media. As a result, the complaint becomes a matter of public interest. If you don't have an adequate budget, you must make the handling of complaints a priority, even if the situation is high profile. Unless the president or the minister requests an investigation, you'll be limited by your budget capacity. That's basically what it means.

Is that correct?

Ms. Michelaine Lahaie:

Yes, Mr. Dubé, that's correct. We're certainly limited by our budgetary and human resources.

I should also point out that this part concerns what we call reviews, but reviews of specific activities. We're talking about cases involving a systemic issue that we decide to investigate. We're talking about these cases, rather than the normal complaints that we receive from the general public.

Mr. Matthew Dubé:

That's fine.

In terms of paragraph (b), not only in the context of the proposed subclause 18(2), but in general, Mr. Graham spoke earlier about the risk of stepping on the other agency's toes. That's interesting. As part of our study of Bill C-59, we met with representatives of your commission. Forgive me, I don't remember whether the information came from you or other representatives, but we were told that there was no issue with regard to the RCMP, since the functions weren't national security functions. However, during the presentations and debate on Bill C-59, some people pointed out that, in the case of the Canada Border Services Agency, the issue still concerned national security, given that we're talking about border integrity.

Are you concerned that, in terms of the agency, it may be more difficult to determine what falls under the different oversight mechanisms for national security issues? For example, in the case of the committee created by Bill C-59 or the National Security and Intelligence Committee of Parliamentarians, there's a clearer and more obvious distinction with respect to the RCMP.

Ms. Michelaine Lahaie:

I think that it may sometimes be difficult to make the distinction. However, I can tell you that we currently have a very good relationship with the Security Intelligence Review Committee and with what will become the National Security and Intelligence Review Agency. We often talk to these people. I think that we would be able to determine which agency should handle the complaint.

Mr. Matthew Dubé:

As long as good relationships are maintained, this shouldn't cause any issues in terms of the work.

Ms. Michelaine Lahaie:

Indeed.

Mr. Matthew Dubé:

Good.

My next question concerns American customs officials. I think that it's important, because ordinary mortals, if you'll allow me to use that expression, don't always have a clear idea of who's responsible. Since the passage of Bill C-23, there has been increased use of pre-clearance, particularly during land crossings and at airports

Do you anticipate any complaints regarding how American officials treat Canadian citizens? Have you established a mechanism to deal with this? Will you pass on complaints to another agency? Will you raise public awareness? Will your approach include several components?

(1725)

Ms. Michelaine Lahaie:

The approach will include several components. We'll undoubtedly receive complaints regarding American officials.

At this time, we sometimes receive complaints regarding officers other than Royal Canadian Mounted Police officers. With respect to the RCMP, we have a no wrong door policy. Under this policy, if we receive a complaint regarding a Toronto police officer, for example, we can send it to the provincial agency for processing. We share the information.

We'll certainly start building relationships with the Americans so that we can pass on these types of complaints to them.

Mr. Matthew Dubé:

I apologize for hurrying, but my time is running out.

During pre-clearance, the Americans operate on Canadian soil. Do you play any type of role if an incident that leads to a complaint takes place on Canadian soil, for example at a Canadian airport?

Ms. Michelaine Lahaie:

I don't think so, but this issue should be addressed.

Mr. Matthew Dubé:

That's fine.

I have one last question.

On page 25, the proposed subclause 51(1) refers to the response of the president of the agency. Is this mechanism similar to the current mechanism of the Civilian Review and Complaints Commission for the RCMP, whereby a written response is provided and, if no further action is taken, the reasons are also provided in writing? Forgive me for not knowing the Royal Canadian Mounted Police Act by heart. Perhaps I should know it. Is it the same as the mechanism that currently exists in this legislation?

Ms. Michelaine Lahaie:

Yes, we're currently using the same mechanism.

Mr. Matthew Dubé:

Okay, thank you. [English]

The Chair:

Thank you, Mr. Dubé.

I understand there are no questions from the government side. Are there any further questions from the opposition side?

Mr. Eglinski, go ahead for five minutes.

Mr. Jim Eglinski (Yellowhead, CPC):

Thank you.

I'd like to thank you for coming out today and for presenting. I'm very pleased to be able to support Bill C-98, but I do have a couple of a misconceptions, which I've had for a number of years, regarding the similar situation you had with the RCMP.

Under “Powers of Commission in Relation to Complaints”, with regard to the powers in proposed section 44, you were talking about service standards for the RCMP and certain guidelines. You can compel a person to come before you and administer an oath, etc. If a member of the border security were involved in a criminal case, say for an alleged assault or something like that or for excessive force, would you require them to do that before the criminal trial, or would it be set over until after the criminal trial so that they could defend their actions? Would the evidence they gave your organization under oath be able to be used against them in a criminal trial?

Ms. Michelaine Lahaie:

I'll address the second part of your question first. Any information provided to us under oath by an individual we've compelled to come to speak to us cannot be used against them. Anything they're admitting personally cannot be used in any of our reports, so that information cannot be used against them.

The first part of your question is about a situation we deal with fairly often, that in which the courts are engaged in something about which we've received a public complaint. Generally, we tend to put those public complaints in abeyance while we wait to see what the courts are going to say, because oftentimes the courts will provide some form of direction or there'll be something in a decision.

Mr. Jim Eglinski:

That's the question I had. There is a kind of abeyance there because there is a conflict.

I have a second part for you, and I'd like you to answer fairly quickly if you could, because I do have another question.

I was there when you guys first started with the RCMP public complaints commission. There was a bit of resentment on the part of members of the RCMP with regard to trust, and I think there was a little resentment the other way; both of us kind of didn't trust each other. But as time went by—not a very long time—a trust was built up from us having worked very closely together. I would think you'd find the same thing moving into this new era. Are you going to set up a bit of an education program for the members of the Canada Border Services Agency so they understand really what you're about? There is going to be that little bit of suspicion on their side, so I wonder if you have a plan for educating them.

(1730)

Ms. Michelaine Lahaie:

Right now we are working on a plan to educate them. That is part of our intention, to educate them as well as the Canadian public on the process.

Mr. Jim Eglinski:

The gentleman who is on the screen.... I'm sorry; I forget your name, Sergeant.

Mr. Brian Sauvé:

Brian Sauvé.

Mr. Jim Eglinski:

Brian, you talk about service standards within the RCMP and completion of investigations. Do you believe that the service standards should go both ways?

I'm going back to 15 years ago when I was in charge of Fort St. John detachment. I can recall an incident where I had a member stationed there for four years who I never met. He was on a standby investigation. I never knew what it was about. I wasn't told what it was about, but he lived in my area. He never came to work. I wonder if you feel that there should be a service standard both ways.

Mr. Brian Sauvé:

I'm not sure what you mean by a service standard both ways. Whether it's a public complaint, an internal investigation or a criminal investigation, those being investigated have a right to a procedurally fair and expedited investigation, period. That's the way I look at it.

The laws of natural justice should apply. Whether it's the CBSA being investigated or the RCMP being investigated, the member being investigated has a right to a timely completion of that investigation. He or she also has the right to silence. That's a common law: the right to silence. So, if that impedes the investigators, well, find another avenue.

Mr. Jim Eglinski:

Thank you.

I think I've run out of time.

The Chair:

Yes, you have.

Mr. Manly, do you wish to ask any questions?

Mr. Paul Manly (Nanaimo—Ladysmith, GP):

No.

The Chair:

Are there any other questions on this side? No.

With that, I will thank our witnesses.

I appreciate your patience while we went off to vote.

With that, we'll suspend and come back for the clause-by-clause study.

(1730)

(1735)

The Chair:

I see that our witnesses are at the table and members are here.

We are now moving to clause-by-clause.

(Clauses 1 and 2 agreed to)

(On clause 3)

The Chair: We have PV-1.

Mr. Manly.

Mr. Paul Manly:

This amendment would specify that neither current nor former officers nor employees of the Canada Border Services Agency may sit on the public complaints and review commission. This amendment does not appear in Bill C-98, but in the parent act, the RCMP Act. The ineligibility paragraph under subsection 45.29(2) of that act would exclude current or former members from service on the PCRC, and under that act, “member” has a specific definition that means an employee of the RCMP. Presumably, current and former agents of the CBSA should be excluded from sitting on the PCRC as well. This amendment would make that crystal clear.

The Chair:

Mr. Motz.

Mr. Glen Motz:

Thank you, Mr. Chair.

I have a couple of questions. One is for the officials that are here about this particular amendment, and one is for Mr. Picard, actually.

The Chair:

He won't be able to serve.

Mr. Glen Motz:

No, but seriously.... I appreciate what the RCMP Act says, but I've always been curious to know if there's some distance between service and a commission like this. Even as a public servant now, to work as an investigator on this end, how that would preclude someone from being impartial, someone who has some understanding of the business to be able to be of value to service to the public in this commission.... I'm at a loss to understand why that would be something we would want to even consider.

Could the officials help me understand whether this is something that is consistent with legislation or is the intent of Bill C-98?

Mr. Evan Travers:

The intent of this bill is not to impose a restriction on who could become a member of the commission by virtue of having formerly been employed by the CBSA. The amendment offered by Mr. Manly would impose on former CBSA members the same restriction that currently applies to former RCMP members. We have not put that forward as part of the bill.

Mr. Glen Motz:

Mr. Picard, you started out in the service this way, and you've had some distance since then. Do you see this as being something that would cause disruption or cause the public to be concerned about the fairness, the non-bias of a commission if it employed someone who used to work with CBSA in years past?

Mr. Michel Picard:

In all cases, I don't think experience should diminish someone's capacity to act. I would vote against that.

The Chair:

Mr. Dubé.

Mr. Matthew Dubé:

I'm just wondering, through you Chair, if Mr. Travers can explain the inconsistency between the fact that the RCMP are forbidden but former CBSA members are allowed in this legislation.

Mr. Evan Travers:

We worked mostly on the CBSA-related elements. With respect to those elements, the decision was made not to impose a similar requirement for former employees of the CBSA. They are different kinds of workforces. The CBSA tends to engage summer students and the like, who may spend only a few months with the agency. In order to allow the Governor in Council, the body that would make appointments to the commission, discretion in picking the best candidates, we did not include that restriction in this part of the bill.

(1740)

Mr. Matthew Dubé:

Chair, if I may, it seems like a pretty glaring inconsistency. You're going to have an organization that's now going to handle complaints for two different public safety entities. On the one hand, certain individuals—I take your point about the types of experiences—will be allowed. That's a very specific example, but it basically means that someone who served 30 years as a border officer and who is, with all due respect to the great work that they do, in a bit of a conflict of interest....

I assume that is why the RCMP Act was drafted the way it was. It was to avoid the old adage of police investigating police. I know that it's called “public” now, but I'm just wondering if the civilian nature of it is a bit lost by this pretty important inconsistency that will now exist throughout what is supposed to be one organization. Could you perhaps offer us what the thinking was behind that?

Mr. Evan Travers:

I don't want to speak to the intent of the RCMP Act or the provisions that are there. I was not involved in their drafting or their development.

With respect to the bill that is before you, we've provided our advice to cabinet through our minister, and this is the bill the government has come forward with. If there are concerns or questions, it may be that the minister would be better placed to speak to the policy intent behind that distinction.

The Chair:

Mr. Graham.

Mr. David de Burgh Graham:

I have a very quick question.

I'm not going to support this amendment, but I just wanted to ask a question on the RCMP ban. Who is currently banned? Is it RCMP members in the meaning of the act, or any employee of the RCMP?

Mr. Evan Travers:

I'll turn to Mr. Talbot on that.

Mr. Jacques Talbot (Counsel, Legal Services, Department of Public Safety and Emergency Preparedness, Department of Justice):

Here, the persons who are subject to the current provision are the members of the RCMP, the members of the force.

Mr. David de Burgh Graham:

Uniformed officers?

Mr. Jacques Talbot:

Yes.

Mr. David de Burgh Graham:

So this amendment would apply to all CBSA employees, as you said, summer students.

That answers my question, thank you.

The Chair:

Matthew.

Mr. Matthew Dubé:

Thank you, Chair.

I'll support Mr. Manly's amendment because I think it refers to a pretty important inconsistency.

Two big issues come to mind. One, which I think we heard in the testimony previously and through Mr. Eglinski's questions in particular, is the importance of building trust. I just feel that the inequity that this would create in this newly named commission would be problematic for building that trust.

Two, again, we're using such a specific example of a summer student working three months at the agency, when the reality is that the loophole would allow someone who is in a much more conflicted position to be there. Unfortunately, I don't have wording to entertain an amendment to the amendment, to make that exemption appear, but again, just for the record, I think it's a pretty stark inconsistency, and so I'll support Mr. Manly's amendment.

The Chair:

Mr. Eglinski.

Mr. Jim Eglinski:

First of all, I couldn't support this amendment.

However, Mr. Talbot, I'd like you to clarify what you said a moment ago.

When you referred to RCMP officers, were you referring to past and present?

Mr. Jacques Talbot:

I'm referring to the current regime.

Mr. Jim Eglinski:

Pardon? [Translation]

Mr. Jacques Talbot:

I'm talking about the current regime. [English]

Mr. Jim Eglinski:

I still didn't quite get that.

Mr. Jacques Talbot:

Oh, I'm referring also to the past members, the people who were subject to the former regime. As you know, a few years ago, we introduced a new piece of legislation that changed the statute for employees of the RCMP, particularly for—

(1745)

Mr. Jim Eglinski:

Okay. It just wasn't quite clear there. Thank you.

The Chair:

Are there any other questions on the amendment?

(Amendment negatived [See Minutes of Proceedings])

(Clause 3 agreed to)

(Clauses 4 to 14 inclusive agreed to)

(On clause 15)

The Chair: We have amendment PV-2. It is deemed to be in front of us. Notwithstanding, there's no one here to speak to it unless someone wants to speak to it. Does anyone want to speak to it, in favour or against amendment PV-2?

Mr. Glen Motz:

I have a question for the officials. I'm just curious to know whether this would work and if it's even necessary, given what we heard in the previous hour, that this complaints commission does not deal with matters of deportation. Is this amendment PV-2 even necessary in this legislation?

Mr. Evan Travers:

Amendment PV-2, as I understand it, relates to consultation and co-operation.

Mr. Glen Motz:

That could mean that I'm deported to another country, and I'm going to then employ the services of some agency in another country to fight my deportation.

Mr. Evan Travers:

If I understand your question correctly, the bill is not meant to interfere with the removal or extradition process. Complaints can be continued and can be brought from outside of Canada. Any person who felt they had a complaint could bring that forward, whether they were in Canada or not.

Mr. Glen Motz:

Okay. Thank you.

The Chair:

Is there any other commentary?

(Amendment negatived [See Minutes of Proceedings])

The Chair: Amendment PV-3 is before us. Does anyone want to ask questions of the officials or speak to PV-3?

Mr. T.J. Harvey (Tobique—Mactaquac, Lib.):

If he's not here, just skip it.

The Chair:

No, I can't skip it. It's properly before the committee so we have to deal with it.

Mr. T.J. Harvey:

It's not if he's not here to move it.

The Chair:

It's deemed moved.

(Amendment negatived [See Minutes of Proceedings])

(Clause 15 agreed to)

(Clauses 16 to 35 inclusive agreed to)

The Chair: Shall the title carry?

Some hon. members: Agreed.

The Chair: Shall the bill carry?

Some hon. members: Agreed.

The Chair: Shall the chair report the bill to the House?

Some hon. members: Agreed.

The Chair: With that, thank you, officials.

Thank you, committee members.

The meeting is adjourned.

Comité permanent de la sécurité publique et nationale

(1540)

[Traduction]

Le président (L'hon. John McKay (Scarborough—Guildwood, Lib.)):

La séance est ouverte.

Nous avons le quorum. Il est bien plus de 15 h 30. Le ministre est arrivé. Débarrassé de son veston, il a l'air assez sérieux. Je pense que nous pouvons commencer.

Chers collègues, vous savez que nous avions une entente, depuis la semaine dernière, sur le déroulement de la séance d'aujourd'hui sur le projet de loi C-98. Les bases de l'entente ont changé. En échange, il n'y aura plus de débat à la Chambre.

J'entends accorder au ministre tout le temps nécessaire. Il lui sera loisible d'être bref. Après une première série de questions, nous verrons bien si l'envie d'en poser d'autres tient toujours. Après, nous entendrons les témoins, puis nous passerons à l'étude article par article. Je suppose que tous les membres sont d'accord.

Cela dit, je vous demande, monsieur le ministre de bien vouloir commencer.

Merci.

L'hon. Ralph Goodale (ministre de la Sécurité publique et de la Protection civile):

Merci, monsieur le président et mesdames et messieurs les membres du Comité.

Dans un souci de brièveté et d'efficacité, je renonce à faire une déclaration de 10 minutes pour simplement vous entretenir quelques minutes, à la bonne franquette, du projet de loi C-98. Je suis accompagné de MM. Evan Travers et Jacques Talbot, du ministère de la Sécurité publique, qui pourront m'aider à m'y retrouver dans les méandres de la loi et répondre à vos questions. Ils pourront aussi vous aider à clarifier le témoignage d'autres témoins, en ce qui concerne la signification ou la raison d'être de la loi.

Mesdames et messieurs, vous savez que le projet de loi C-98 vise à combler la dernière lacune importante qui existe dans l'architecture des dispositions régissant la surveillance, l'examen et le contrôle des activités de certains de nos principaux organismes chargés de la sécurité publique et nationale. Cette lacune existe depuis près de 18 ans.

Le problème s'est posé au lendemain du 11 septembre, quand, partout dans le monde, on a sensiblement corrigé le mode de fonctionnement des organismes de sécurité. À l'époque, l'Agence canadienne des douanes et du revenu a été subdivisée, les Douanes allant s'unir au ministère de la Sécurité publique et devenant finalement l'Agence des services frontaliers du Canada. L'Agence canadienne du revenu s'est alors retrouvée seule.

Dans la réorganisation des responsabilités qui a suivi le 11 septembre, beaucoup de groupes de pression, de parties prenantes et d'observateurs de la politique publique ont fait remarquer que la nouvelle Agence des services frontaliers du Canada ne possédait pas en propre d'organe d'examen qui jouerait un rôle de chien de garde analogue à celui du Comité de surveillance des activités de renseignement de sécurité, le CSARS, à l'endroit du Service canadien du renseignement de sécurité ou à celui du commissariat, à l'endroit du Centre de la sécurité des télécommunications.

Vous vous rappellerez que le Sénat a proposé une solution pour combler cette lacune. Le sénateur Willie Moore a déposé le projet de loi S-205, qui s'inspirait d'un modèle qui confiait la surveillance de l'Agence des services frontaliers à un inspecteur général. Pendant ce temps, à la Chambre des communes, nous proposions le Comité des parlementaires sur la sécurité nationale et le renseignement, à la faveur du projet de loi C-22, et le nouvel Office de surveillance des activités en matière de sécurité nationale et de renseignement, qui fait l'objet du projet de loi C-59.

Au milieu du nouveau comité des parlementaires et du nouvel office susmentionnés, nous avons essayé de faire de la place à l'idée du sénateur Moore, mais ça nous a semblé tellement compliqué que nous avons jugé impossible de récupérer son idée et de la transformer en un modèle fonctionnel. À la place, nous avons proposé le projet de loi C-98.

(1545)



Le comité des parlementaires et l'office de surveillance susmentionnés examinent les fonctions de l'Agence des services frontaliers du Canada en matière de sécurité nationale. Mais ce sont les activités de l'Agence qui ne concernent pas la sécurité qu'on laisse de côté. À qui peut se plaindre la personne qui, par exemple, se présente à la frontière et y subit une expérience désagréable, embarrassante ou difficile? À l'Agence, qui fera une enquête complète et qui lui répondra. Mais, d'après les experts, en sus de ce que l'Agence peut faire dans le cadre de sa politique interne, il faut un mécanisme indépendant d'examen pour le volet non sécuritaire du travail de l'Agence. Ce volet, contrairement au volet sécuritaire relevant du comité des parlementaires et du nouvel office chargé de la sécurité, sous le régime du projet de loi C-59, n'est pas visé. Comment, alors, créer l'organisme qui s'en chargera?

Nous avons étudié deux solutions de rechange. La première était de créer un organisme autonome pour le charger de ces responsabilités; sinon, existait-il un organisme fédéral d'examen déjà capable de s'en acquitter? Notre choix s'est fixé sur la Commission civile d'examen et de traitement des plaintes qui s'occupe exactement de ces fonctions pour la GRC.

Le projet de loi propose la réorganisation de cette commission pour en élargir la compétence à l'Agence des services frontaliers et accroître ses capacités et ressources pour la rendre capable de ce travail. Il dote le nouvel organisme qui en sortira d'un président et d'un vice-président et lui donne le nom de Commission d'examen et de traitement des plaintes du public. Elle s'occuperait de la GRC et de l'Agence, qui seraient du ressort du président et du vice-président, pour les faire bénéficier d'une attention de premier ordre — pour que nous ne déshabillions pas Pierre pour habiller Paul et que chacune, dans la nouvelle structure, reçoive l'attention appropriée. Notre analyse a montré que, en réorganisant l'ancienne commission, nous irions plus vite et serions plus efficaces que si nous créions un organisme à partir de zéro.

Voilà le projet de loi que vous avez sous les yeux. La nouvelle commission pourra recevoir les plaintes du public, lancer les enquêtes qu'elle jugera appropriées. Le ministre pourrait demander à l'organisme d'enquêter ou d'examiner une question s'il le jugeait nécessaire. Le projet de loi C-98 encadrera toutes ces fonctions.

Voilà la raison d'être du projet de loi. Je suis très reconnaissant à votre comité de sa volonté, à cette étape de notre vie parlementaire, d'examiner cette question de façon très efficace. Merci.

Le président:

Merci, monsieur le ministre.

Sur ce, passons à la première série d'interventions, chacune d'une durée de sept minutes. Commençons par Mme Dabrusin.

Petit avertissement: les questions sont toujours recevables si elles portent sur le sujet à l'ordre du jour. Je n'en dis pas plus. Merci.

Madame Dabrusin, à vous la parole.

(1550)

Mme Julie Dabrusin (Toronto—Danforth, Lib.):

Merci.

Ce projet de loi m'a rendue très heureuse, parce que, monsieur le ministre, vous savez que, à peu près à toutes vos comparutions devant notre comité, je vous ai questionné sur la surveillance de l'Agence des services frontaliers du Canada et sur le moment où ça se produirait. Le dépôt du projet de loi m'a rendue heureuse.

Dans votre bref historique du projet de loi, vous avez évoqué celui qu'avait déposé le sénateur Wilfred Moore ainsi que les différentes lacunes du projet de loi C-59 et du Comité des parlementaires sur la sécurité nationale et le renseignement.

Pourquoi a-t-il fallu attendre si longtemps pour qu'on accouche de ce projet de loi?

L'hon. Ralph Goodale:

Je pense, madame Dabrusin, que c'est simplement le résultat du grand nombre de dossiers que nous avons dû régler et d'activités que nous avons dû orchestrer en matière de sécurité publique. Je les ai ajoutés il y a deux ou trois jours. Nous avons demandé à la législature actuelle d'examiner au moins 13 projets importants de loi, ce qui a tenu particulièrement occupé votre comité ainsi que les comités homologues du Sénat.

J'ai toujours répondu que je voulais voir aboutir ce projet de loi. Cette pièce essentielle du programme législatif, la voici maintenant, simple, sans complexités juridiques excessives.

Si nous avions pu profiter plus tôt d'un moment libre dans le programme des politiques publiques, nous en aurions profité. Mais parmi les projets de loi que nous devions faire avancer — 13 lois importantes —, ce projet de loi fait partie de ceux qui, je l'espère, franchiront la ligne d'arrivée. Et, en cours de route, il a dû céder le passage aux projets de loi C-66, C-71, C-83, C-59 et C-93, notamment. Il y a beaucoup de pain sur la planche.

Mme Julie Dabrusin:

Oui. Merci.

Ai-je bien compris que le budget de 2019 prévoyait un poste faisant précisément allusion au financement de cette surveillance?

L'hon. Ralph Goodale:

Le financement est prévu. Il proviendra, en temps utile, du budget des dépenses. Nous prenons le financement de base de la commission civile puis, alors qu'elle se verra confier les responsabilités de l'Agence des services frontaliers et qu'elle deviendra la Commission d'examen et de traitement des plaintes du public, elle recevra l'argent nécessaire à l'embauche du personnel supplémentaire et à son plein rendement.

Mme Julie Dabrusin:

Vous avez effleuré la question quand vous avez parlé des différents mécanismes et de la décision de les déployer à l'intérieur du système d'examen de la GRC. Peut-être pouvez-vous m'aider à comprendre un peu mieux. Pourquoi pas un comité distinct d'examen pour l'Agence des services frontaliers du Canada? Pourquoi construire le mécanisme de surveillance à l'intérieur du système de la GRC, puis l'élargir, plutôt que d'en créer un, séparé?

L'hon. Ralph Goodale:

Simplement parce que les compétences exigées pour les deux sont très semblables. Elles ne sont pas identiques, je vous le concède, mais elles se ressemblent beaucoup. La commission civile fournit déjà un socle. Les compétences et les capacités existent déjà, et l'analyse des fonctionnaires, du Conseil du Trésor et d'autres a mené à la conclusion que nous pouvions agir plus rapidement et plus efficacement en déployant la structure existante, plutôt que de partir de zéro.

Mme Julie Dabrusin:

Des électeurs se sont notamment dits préoccupés par la protection des renseignements personnels à la frontière, par exemple, quand des gardes-frontières peuvent accéder à des renseignements conservés dans les téléphones et des appareils semblables. Comment la surveillance de l'organisme pourrait-elle englober cette protection des renseignements personnels?

(1555)

L'hon. Ralph Goodale:

Quiconque estime avoir subi un mauvais traitement à la frontière, un comportement d'un agent frontalier qu'il a jugé indiscret ou choquant, ou une violation de ses droits au respect de sa vie privée peut, dès maintenant ou dès l'adoption de la loi, déposer une plainte indépendante auprès du nouvel organisme. Cet organisme fera enquête et présentera ses conclusions sur le caractère approprié ou non du traitement subi à la frontière.

Mme Julie Dabrusin:

J'ai une petite question, puisqu'il ne me reste qu'une minute et demie.

La fouille d'un téléphone pour des motifs ou sous couvert de sécurité nationale relèverait-elle de la Commission d'examen et de traitement des plaintes du public ou de...? Comment déterminerait-on l'organisme compétent de surveillance?

L'hon. Ralph Goodale:

Peu importe l'organisme compétent... la plainte pourra se faire directement à l'Agence des services frontaliers du Canada, à un organisme distinct ou, encore, à l'Office de surveillance, l'organisme chargé de la sécurité nationale. Si la plainte tombe dans une zone grise, les trois organismes — l'Agence des services frontaliers, la commission d'examen ou l'Office de surveillance — la feront aboutir à l'organisme compétent. Une certaine jurisprudence officieuse, administrative, devra se créer pour distinguer une plainte touchant la sécurité nationale d'une plainte pour un simple comportement répréhensible.

Ça ne se fera pas du jour au lendemain, mais nous nous assurerons qu'aucune plainte n'aboutira au mauvais endroit. Peu importe sa destination, les organismes veilleront à la faire aboutir au bon endroit et à la faire entendre par l'autorité compétente.

Mme Julie Dabrusin:

Mon temps est écoulé.

Le président:

Merci, madame Dabrusin.

Monsieur Paul-Hus, vous disposez de sept minutes. [Français]

M. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, PCC):

Merci, monsieur le président.

Monsieur le ministre, il est question d'organismes qui font l'objet de plaintes. Il y a actuellement une plainte concernant le financement accordé par le programme Emplois d'été Canada à la Société islamique de l'Amérique du Nord, car il a été reconnu, documents à l'appui, que cet organisme a offert du financement à des fins de terrorisme.

Votre ministère ou un des organismes qui relèvent de votre ministère a-t-il été mis au courant de cela ou impliqué dans le dossier? [Traduction]

L'hon. Ralph Goodale:

Faites-vous allusion à celui dont on a parlé à la période des questions d'aujourd'hui?

M. Pierre Paul-Hus:

Oui.

L'hon. Ralph Goodale:

Le ministère chargé de l'emploi examine la question. Le financement était accordé par le programme d'emplois, et, d'après ce que j'ai compris de la réponse donnée à la Chambre, la ministre demande à ses fonctionnaires de s'assurer que le processus décisionnel concernant ce financement a suivi en tout point la voie normale. C'est en fait une enquête. [Français]

M. Pierre Paul-Hus:

Merci. [Traduction]

Le président:

Merci. J'ai recommandé vivement aux membres de s'en tenir à la question de l'ordre du jour, c'est-à-dire le projet de loi C-98. Je ne suis pas tout à fait certain du rapport entre une demande de financement pour un programme d'emplois et le projet de loi. J'encourage donc le député à bien vouloir diriger ses questions sur le projet de loi C-98. [Français]

M. Pierre Paul-Hus:

Je mettais en pratique le fondement du projet de loi, soit le fait que les citoyens portent plainte. C'est le même principe.

Revenons à la Commission, monsieur le ministre. Y a-t-il actuellement des retards à la Commission dans le traitement des plaintes? A-t-elle déjà une surcharge de travail? Le fait de lui ajouter des attributions à l'égard de l'Agence des services frontaliers du Canada créera-t-il encore plus de problèmes ou est-ce que tout va bien? [Traduction]

L'hon. Ralph Goodale:

Il est sûr que l'organisme élargi aura plus de travail. Actuellement, la commission civile ne se saisit que des questions touchant la GRC. Le nouvel organisme d'examen se saisira de celles qui concernent la GRC et l'Agence des services frontaliers. Actuellement...

(1600)

M. Pierre Paul-Hus:

En fait, monsieur le ministre, savez-vous si le traitement des plaintes concernant la GRC souffre de retards...

L'hon. Ralph Goodale:

Je crois que, plus tard, cet après-midi, des représentants de la commission civile seront accessibles...

M. Pierre Paul-Hus: D'accord.

L'hon. Ralph Goodale:... pour expliquer leur charge de travail, mais, sur le fond de votre question, il est évident que le nouvel organisme aura plus de travail. En conséquence, il aura besoin de plus de ressources, mais nous serons plus efficaces dans l'emploi de ces ressources si nous partons du socle qu'offre déjà cette commission au lieu de créer à partir de zéro un organisme autonome pour l'Agence des services frontaliers du Canada. [Français]

M. Pierre Paul-Hus:

D'accord.

Si une personne est expulsée par l'Agence des services frontaliers du Canada pour une raison quelconque, pourrait-elle porter plainte au sujet de son expulsion forcée dans le but de retarder son expulsion? [Traduction]

L'hon. Ralph Goodale:

Cette question tombe peut-être dans la zone grise entre la plainte contre le comportement grossier ou brutal d'un agent et la plainte contre une expulsion pour des motifs valables. On peut faire juridiquement appel de motifs contestables d'expulsion. [Français]

M. Pierre Paul-Hus:

A-t-on évalué la possibilité que des gens se servent du processus de plainte pour empêcher leur expulsion, le temps que la Commission fasse une enquête? [Traduction]

L'hon. Ralph Goodale:

Non. L'expulsion, selon l'article de la loi, est décidée soit par le ministre de l'Immigration, soit par celui de la Sécurité publique. Elle ne résulte pas d'une décision administrative. [Français]

M. Pierre Paul-Hus:

Qui a travaillé à la rédaction du projet de loi C-98? Est-ce seulement Sécurité publique Canada? La GRC et l'Agence des services frontaliers du Canada y ont-elles aussi participé? [Traduction]

L'hon. Ralph Goodale:

Monsieur Travers, qui a participé à l'élaboration de la politique et à la rédaction du projet de loi, vous répondra.

M. Evan Travers (directeur général par interim, Direction générale d’application de la loi et stratégies frontalières, ministère de la Sécurité publique et de la Protection civile):

Merci, monsieur le ministre.

La Sécurité publique a consulté, visiblement dans le respect du secret du cabinet, l'Agence des services frontaliers du Canada et la GRC pour l'élaboration du projet de loi. [Français]

M. Pierre Paul-Hus:

D'accord.

Y a-t-il une raison pour laquelle le syndicat n'a pas été consulté? [Traduction]

M. Evan Travers:

La consultation du syndicat s'est faite par l'entremise de l'Agence. D'après ce que j'ai compris, l'Agence l'a consulté après le dépôt du projet de loi. [Français]

M. Pierre Paul-Hus:

Pourtant, le syndicat semble dire qu'il n'a pas du tout été consulté dans ce dossier. [Traduction]

L'hon. Ralph Goodale:

La décision, monsieur Paul-Hus, a manifestement été prise par le gouvernement en s'appuyant sur tous les exposés publics selon lesquels il fallait combler cette lacune.

À propos de la structure ou de la méthode pour combler la lacune, nous nous sommes entendus dans les discussions entre le ministère de la Sécurité publique, l'Agence des services frontaliers du Canada et la GRC. Une fois la décision prise et la mesure législative rendue publique, l'Agence des services frontaliers du Canada, d'après ce que j'ai compris, a poursuivi les discussions avec son syndicat.

Le président:

Votre temps est presque écoulé, monsieur Paul-Hus. Il ne vous reste que 10 secondes.

Monsieur Dubé, vous avez sept minutes. [Français]

M. Matthew Dubé (Beloeil—Chambly, NPD):

Merci, monsieur le président.[Traduction]

Monsieur le ministre, merci de votre présence.

Je veux revenir à la question que Mme Dabrusin a posée au sujet du délai. Dans les faits, on a déposé un rapport sénatorial avant les dernières élections en 2015, le sénateur Segal a présenté un projet de loi à la législature précédente et notre comité a formulé une recommandation en 2017.

De plus, quiconque prend une minute pour faire une recherche Google peut trouver des articles qui remontent au moins aux trois dernières années dans lesquels vous promettez cette mesure législative, dans lesquels vous dites que c'est pour bientôt. En outre, la plupart, voire l'ensemble des projets de loi que vous avez énumérés en répondant à ma collègue ont été déposés en 2016 et en 2017.

Je me questionne sur ce mécanisme. Vous avez dit qu'il est simple et direct, rapide et rentable, et vous avez dit qu'il s'appuie sur une infrastructure existante. La capacité des Canadiens à porter plainte — surtout lorsqu'on sait que la loi n'entrera en vigueur qu'en 2020, si je comprends bien — me donne du fil à retordre.

Je ne comprends toujours pas vraiment pourquoi, après tout ce qui a été présenté et pendant au moins deux ou trois années de préparation... Pour moi, cela ne semble pas excuser le fait que vous ayez un peu baissé les bras et dit que la proposition de la sénatrice ne fonctionnera pas dans le projet de loi C-59. Cela semblait être ce que vous sous-entendiez dans votre réponse à la question.

Je veux vous demander encore une fois pourquoi il a fallu attendre si longtemps alors que les problèmes dans les relations de travail à l'ASFC — des allégations de harcèlement et autres choses du genre — ainsi que, de toute évidence, dans la façon dont certains Canadiens sont traités à la frontière se poursuivent.

(1605)

L'hon. Ralph Goodale:

Eh bien, comme je l'ai dit, monsieur Dubé, nous avons eu énormément de travail à faire, tout comme ce comité et le Parlement de manière générale. Les travaux ont progressé aussi rapidement que nous le pouvions. Il faut du temps et des efforts pour tout mettre en place. Je suis heureux que nous soyons à cette étape, et j'espère que l'appareil parlementaire fonctionnera assez bien cette semaine pour que nous puissions franchir la ligne d'arrivée.

Le programme législatif a été très chargé quand on pense aux projets de loi  C-7, C-21, C-22, C-23, C-37, C-46, C-66, C-71, C-59, C-97, C-83, C-93 et C-98. C'est un programme chargé, et tout doit passer par un entonnoir parlementaire relativement petit.

M. Matthew Dubé:

Je pense que trois de ces projets de loi ont été déposés après 2017 ou au début de 2018. Dans le cas des C-20 et de ceux à un seul chiffre, ils l'ont été quelques journées après l'assermentation de votre gouvernement. Je pense qu'on doit rendre des comptes, car vous avez dit publiquement et fermement que cela devait être fait, et je ne veux pas m'arrêter ici alors que le compte rendu dit... Par exemple, pourquoi ne pas avoir apporté le changement dans le projet de loi C-59?

Je veux juste comprendre, car ce que je veux, monsieur le ministre, c'est m'assurer qu'il n'y a pas, par exemple, de résistance interne à ce dossier. Je n'arrive pas à comprendre, si c'est un mécanisme simple et direct dans le projet de loi C-98, pourquoi il a fallu des années pour conclure qu'il fallait procéder ainsi.

L'hon. Ralph Goodale:

Il n'y a aucune résistance interne. En fait, l'ASFC reconnaît que c'est une lacune dans l'architecture et qu'il faut la combler.

Elle a été partiellement corrigée à l'aide du projet de loi C-22 et du comité de parlementaires, du moins pour ce qui est de la sécurité nationale. Elle a aussi été partiellement corrigée au moyen du projet de loi C-59 et de la création du nouvel Office de surveillance des activités en matière de sécurité nationale et de renseignement.

Cette dernière mesure législative représente le dernier morceau du casse-tête. [Français]

M. Matthew Dubé:

J'aimerais faire suite aux questions posées par mon collègue M. Paul-Hus. Je trouve inquiétant qu'on n'ait pas consulté le syndicat, dans ce cas-ci, puisqu'une des fonctions de ce mécanisme est de protéger les travailleurs en cas d'allégations. Il est arrivé que les médias fassent état d'allégations de harcèlement et de choses de la sorte.

C'est probablement vous qui pourrez répondre à ma question, monsieur Travers. Vous avez expliqué que la consultation avait été faite par l'Agence. Pourtant, ce sont les travailleurs qui peuvent être touchés directement par ce qui ressortira des plaintes. Il peut aussi arriver que ce soit eux qui déposent des plaintes. Compte tenu de la nature du projet, pourquoi ne pas avoir pris la peine de consulter le syndicat, qui est le représentant de ces travailleurs? [Traduction]

L'hon. Ralph Goodale:

Monsieur Dubé, le ministère et l'ASFC ont étudié la question en profondeur. Il revient à l'ASFC d'avoir cette interaction avec ses employés. Ils ont discuté de ce qu'ils considéraient comme le bon moment.

Ce qu'il faut retenir, c'est que le projet de loi est maintenant prêt. Vous aurez l'occasion de l'examiner en détail pour vous assurer, dans le cadre du processus démocratique au Parlement, qu'il répond bien aux besoins des travailleurs.

(1610)

M. Matthew Dubé:

Eh bien, vous m'excuserez, monsieur le ministre. Nous appuyons le projet de loi et nous serons heureux de voir son adoption, mais le problème est là. Nous n'avons pas le temps, car il a fallu attendre si longtemps que nous devons maintenant procéder rapidement. Cela me va, mais je pense que nous devons nuancer ces observations.

Avez-vous reçu un rapport de l'ASFC sur les détails de ce que le syndicat a dit, ou avez-vous juste — je ne veux pas simplifier à outrance — parlé avec eux pour ensuite passer à autre chose?

L'hon. Ralph Goodale:

On ne m'a fait part d'aucun problème dans le cadre de la consultation. [Français]

M. Matthew Dubé:

Merci.

J'ai une dernière question pour vous.

J'ai cru comprendre que le mécanisme sera mis en œuvre en 2020. Ceux qui voudront déposer une plainte pourront le faire à partir de ce moment-là. Y a-t-il d'autres précisions à apporter ou peut-on s'attendre à ce que, si le projet de loi est adopté, les gens puissent déposer des plaintes selon le mécanisme proposé à partir de l'année prochaine? [Traduction]

L'hon. Ralph Goodale:

Ce serait le but, monsieur Dubé. Nous travaillons évidemment à l'élaboration d'une agence élargie. Nous aurons peut-être des problèmes administratifs inattendus, mais l'objectif est de mettre cela en place le plus rapidement possible. Le mécanisme que nous choisissons nous permettra de procéder plus rapidement que si nous avions décidé de créer une agence à partir de zéro.

M. Matthew Dubé:

Mais, monsieur le ministre — il ne me reste que 20 secondes...

Le président:

À vrai dire, non.

M. Matthew Dubé:

... si le Parlement adopte le projet de loi, est-ce que ce sera fait?

L'hon. Ralph Goodale:

C'est exactement ce que j'essaie d'accomplir, oui.

Le président:

Merci, monsieur Dubé.

Monsieur Picard, allez-y, pour sept minutes. [Français]

M. Michel Picard (Montarville, Lib.):

Merci, monsieur le président.

Monsieur le ministre, comme vous le savez, j'ai commencé ma carrière comme agent de douane. Effectivement, le seuil de tolérance ou d'interprétation des gens qui entrent au Canada varie selon qu'il s'agit de visiteurs ou de résidents qui reviennent au Canada.

Mon collègue M. Dubé a parlé de la protection des employés. Évidemment, il faut un œil externe pour s'assurer du bien-fondé d'une plainte déposée par quelqu'un qui croit que ses droits ont été brimés. Il me semble que le projet de loi prévoit des mesures permettant à la Commission d'accepter ou non une plainte en fonction de sa teneur. [Traduction]

L'hon. Ralph Goodale:

Oui, monsieur Picard.

Est-ce que cela vous pose problème?

M. Evan Travers:

Non. J'ai peut-être raté quelque chose dans l'interprétation.

M. Michel Picard:

Les gens qui reviennent au Canada, les résidants et les visiteurs, n'ont pas tous la même tolérance par rapport au traitement qu'on leur réserve, vu la nature des plaintes. Le comité peut analyser les motifs de ces plaintes pour voir si elles sont sensées ou non. Pour ce qui est de la protection des agents, comme l'a dit M. Dubé, ce projet de loi vise également à protéger les agents et les employés contre des plaintes futiles.

L'hon. Ralph Goodale:

L'objectif, monsieur Picard, c'est que ce soit équitable dans les deux sens. Quand une personne voyage, elle mérite une expérience professionnelle et efficace à la frontière. Les fonctionnaires responsables des services frontaliers devraient aussi pouvoir travailler dans un milieu sécuritaire et respectueux. Cela s'applique dans les deux sens.

Je soupçonne qu'à mesure que nous recevrons et examinerons des plaintes, nous allons progressivement acquérir l'expérience et l'expertise nécessaire à l'amélioration de la situation à la frontière pour les deux groupes de personnes.

M. Michel Picard:

Il y a de fortes chances que le comité parvienne à une conclusion que l'Agence n'acceptera pas. Qui est chargé de prendre la décision définitive si la conclusion du comité va à l'encontre de l'interprétation de l'Agence?

L'hon. Ralph Goodale:

Je vais demander à M. Travers ou à M. Talbot de dire qui a le pouvoir ultime, mais pour répondre à votre question, monsieur Picard, je vous propose de consulter le paragraphe 32(2) de la loi, qui porte sur la façon de traiter les plaintes futiles ou vexatoires ayant été portées de mauvaise foi. Je crois que c'est ce qui vous intéresse.

Monsieur Talbot, monsieur Travers, pouvez-vous dire qui a le pouvoir de décision ultime en cas de différend entre l'organisme de surveillance et l'agence?

(1615)

M. Evan Travers:

La première entité qui enquête sur une plainte est l'ASFC, dans la plupart des cas. Elle peut examiner la plainte, tirer des conclusions et ensuite les présenter au plaignant. La mesure législative est parsemée de dispositions selon lesquelles l'employé doit être avisé et informé de l'avancement de l'enquête. Si, après avoir reçu le rapport de l'ASFC, le plaignant est insatisfait du contenu, il peut saisir la commission du dossier. La commission examine alors la plainte à son tour. Elle peut adhérer aux conclusions de l'ASFC, mener sa propre enquête ou demander à l'ASFC de mener une enquête plus approfondie sur la plainte. Une fois que la commission a examiné la plainte, elle renvoie le dossier à l'ASFC, et l'ASFC peut y ajouter des observations.

Il existe un processus qui permet d'exprimer les divergences d'opinions, mais le rapport de la commission sera définitif. Il sera préparé après avoir pris pleinement connaissance des faits. Le résultat sera une décision définitive de la commission, qui ne pourra pas être revue par une cour fédérale ou une autre entité, car l'ASFC ne serait pas contraint de donner suite aux recommandations.

M. Michel Picard:

Dites-vous que si une personne est insatisfaite du résultat, après l'examen du dossier par la commission, il n'a plus de recours juridique pour poursuivre qui que ce soit?

L'hon. Ralph Goodale:

Les mesures disciplinaires, monsieur Picard, découlent d'une enquête officielle. Si l'organisme de surveillance démontre sans équivoque que les droits de la personne ont été violés — à la suite d'un mauvais traitement ou à cause de quelque chose de répréhensible dans le traitement qu'on lui a réservé — et que l'Agence ne prend pas de mesures significatives, je crois que l'Agence aura alors un très gros problème stratégique et administratif. Le problème aura été exposé publiquement par une autorité indépendante qui détermine ce qui est bien ou mal. L'Agence sera tenue de prendre des mesures.

M. Michel Picard:

Merci.

Le président:

Nous venons de terminer la série de questions de sept minutes. Voulez-vous poser d'autres questions jusqu'à 16 h 30?

D'accord. Nous allons donc poursuivre jusqu'à 16 h 30 avant de terminer.

Allez-y, monsieur Motz. Vous avez cinq minutes.

M. Glen Motz (Medicine Hat—Cardston—Warner, PCC):

Merci, monsieur le président.

Monsieur le ministre, j'ai entendu le terme « organisme de surveillance » à quelques reprises aujourd'hui. Je pense que le terme ne convient pas. Comme vous l'avez déjà dit, nous devons veiller à ce que ce soit un organisme d'examen, une commission civile d'examen des plaintes, pas un organisme de surveillance de l'ASFC. Je tiens à ce que tout le monde le comprenne.

(1620)

L'hon. Ralph Goodale:

C'est exact.

M. Glen Motz:

Bien. Merci.

Pour revenir aux observations de Mme Dabrusin, de M. Paul-Hus et de M. Dubé à propos du délai, je suis porté à croire, monsieur, que le gouvernement et les fonctionnaires de la division de la sécurité publique, si je puis dire, rédigeaient déjà un projet de loi similaire sur cette question pour obtenir un organisme de surveillance — désolé... pour obtenir un organisme civil d'examen de l'ASFC.

L'hon. Ralph Goodale:

Il est facile de se tromper.

M. Glen Motz:

Nous avons dû attendre aux dernières heures de la session avant de voir le document ici, mais on peut dire qu'on se penchait déjà sur la question. Cette mesure législative aurait pu être adoptée il y a des années, mais cela n'a pas été le cas. Je l'appuie et je crois que c'est nécessaire, mais encore une fois, je me fais juste l'écho de ce qui a déjà été dit. Je veux juste dire pour le compte rendu que je déplore qu'il ait fallu autant de temps.

Ma question porte sur le mécanisme. Tout se rapporte au mécanisme, à la façon dont cela va fonctionner. Nous savons que la Commission des plaintes du public contre la GRC compte actuellement six membres, et je crois que cette mesure législative fera passer ce nombre à cinq. Comme l'a expliqué M. Travers en réponse à la question de M. Picard, l'ASFC fera la première enquête d'une plainte d'un civil, peu importe de quoi il s'agit. Si cette personne, le membre du public, est insatisfaite du traitement de la plainte, elle pourra en saisir la commission d'examen des plaintes pour un autre examen de l'enquête, si je puis dire.

Je ne comprends pas le mécanisme, la façon dont procédera la commission d'examen des plaintes. Est-ce un examen sur papier? Si l'enquête sur une plainte n'a pas été faite attentivement, la Commission a-t-elle son propre organisme d'enquête qui peut entendre des témoins et obtenir de plus amples détails? De quelle façon va-t-on procéder?

L'hon. Ralph Goodale:

Je vais demander encore une fois à M. Travers de donner des précisions sur le mécanisme.

La partie de la nouvelle commission qui s'occupera de l'ASFC fonctionnera de manière très semblable à ce que fait la Commission existante pour la GRC.

M. Glen Motz:

Y a-t-il deux commissions distinctes?

L'hon. Ralph Goodale:

Non, mais il y aura deux catégories d'activités au sein de la même commission.

M. Glen Motz:

Ce sont donc les mêmes personnes qui traiteront les mêmes plaintes. Les gens de la GRC seront saisis des dossiers concernant la GRC et des dossiers concernant l'ASFC, n'est-ce pas?

L'hon. Ralph Goodale:

Permettez-moi de revenir là-dessus.

L'idée, monsieur Motz, c'est que les examinateurs du côté de l'ASFC s'occuperont des dossiers de l'ASFC, et les examinateurs du côté de la GRC s'occuperont des dossiers de la GRC. Il reviendra au président et au vice-président de déterminer comment le personnel sera réparti pour entendre un cas, mais je pense que...

M. Glen Motz:

Il y aura deux entités distinctes dans une seule commission.

L'hon. Ralph Goodale:

Essentiellement, oui. Il y aura un volet GRC et un volet ASFC.

M. Glen Motz:

Du point de vue de l'expertise...

L'hon. Ralph Goodale:

Exactement, car les dossiers se ressemblent, mais ne sont pas identiques.

M. Glen Motz:

Oui.

La Commission sera-t-elle en mesure d'enquêter si le plaignant est insatisfait de l'enquête?

L'hon. Ralph Goodale:

La fonction d'enquête sera la même pour les dossiers de l'ASFC et ceux de la GRC. On pourra faire des enquêtes, recevoir de l'information et se pencher sur toutes les plaintes reçues pour avoir tous les faits sous les yeux...

M. Glen Motz:

Je vois. C'est donc distinct de...

L'hon. Ralph Goodale:

... dans le but de prendre une décision

M. Glen Motz:

C'est distinct de l'ASFC. L'ASFC a fait l'enquête. La Commission en fait une autre, une enquête distincte.

L'hon. Ralph Goodale:

Si elle n'est pas satisfaite de l'enquête reçue, oui.

M. Glen Motz:

La Commission proprement dite peut alors enquêter, ou s'adresserait-elle à un autre organisme d'enquête?

Le président:

Ce sera la dernière réponse pour vous, monsieur Motz.

L'hon. Ralph Goodale:

Le président et le vice-président de la Commission détermineraient quelles sont les ressources, internes ou externes, nécessaires. Ils auront un budget. De toute évidence, ils veulent faire toute la lumière sur la plainte. Ils veulent être en mesure de satisfaire l'employé ou le membre du public qui se plaint en procédant équitablement et de manière compétente, en découvrant la vérité.

(1625)

Le président:

Merci, monsieur Motz.

Monsieur Graham, vous avez les cinq dernières minutes.

M. David de Burgh Graham (Laurentides—Labelle, Lib.):

Merci.

En cas de conflit de la Commission d'examen et de traitement des plaintes du public, la CETPP, avec l'Office de surveillance des activités en matière de sécurité nationale et de renseignements, ou OSSNR, ou même avec le Comité des parlementaires sur la sécurité nationale et de renseignements, ou CPSNR, qui l'emporte?

L'hon. Ralph Goodale:

Ce sont les organismes qui détermineraient leurs responsabilités respectives. J'ai l'impression que la question de savoir s'il s'agit d'une question de sécurité nationale ou pas serait très facile à trancher.

Dans le passé, les organismes ont eu à résoudre des questions de compétences en travaillant ensemble. Ils ont pu résoudre les différends d'une façon satisfaisante, et je ne m'attends donc pas à un conflit de compétences.

M. David de Burgh Graham:

Quand la GRC fournit des services contractuels, par exemple à titre de police provinciale ou de service de sécurité ici, sur la Colline, au sein des Services de la Cité parlementaire, est-ce que la Commission d'examen et de traitement des plaintes du public exerce les mêmes pouvoirs et la même surveillance que la GRC dans un contexte autochtone?

L'hon. Ralph Goodale:

Si elle agit à titre de police provinciale...

M. David de Burgh Graham:

Oui.

L'hon. Ralph Goodale:

... la première étape, pour les plaintes, serait l'organisme de surveillance provincial. Il y en a un dans chaque province.

M. David de Burgh Graham:

Et qu'en est-il des Services de la Cité parlementaire? La GRC a le mandat de fournir un service, et...

L'hon. Ralph Goodale:

Elle a le mandat de fournir un agent. Vous devrez consulter le Président de la Chambre à ce sujet, car cela relève de la compétence des Présidents des deux chambres.

M. David de Burgh Graham:

C'est bon.

En ce qui concerne les opérations à l'étranger, quand la GRC s'adonne à des missions d'entraînement, par exemple, ou quand l'ASFC, l'Agence des services frontaliers du Canada, fait du contrôle préalable, comme c'est prévu dans un autre des projets de loi que vous avez présentés, est-ce que la CETPP a le pouvoir de mener à l'étranger des enquêtes comme elle peut le faire au Canada?

L'hon. Ralph Goodale:

Les pouvoirs de l'organisme de surveillance par rapport à la GRC ne vont pas changer. Ce qui existe en ce moment sera maintenu. L'ASFC vient s'y ajouter.

M. David de Burgh Graham:

Ils pourraient aller aux États-Unis, par exemple, et chercher à trouver ce qui s'est passé en cas de plainte majeure.

L'hon. Ralph Goodale:

Allez-y, monsieur Travers.

M. Evan Travers:

Ils pourraient certainement avoir accès à toute l'information, que les activités de l'ASFC se soient déroulées au Canada ou à l'étranger. Quant à savoir s'ils vont aller à l'étranger pour cela, ou s'ils seront en mesure d'interroger les gens au Canada, je ne le sais pas, mais ils auront le droit d'accéder à l'information de l'ASFC comme si l'événement s'était produit au Canada.

M. David de Burgh Graham:

J'ai une dernière question.

Est-ce que la CETPP a le pouvoir de faire des recommandations exécutoires, peu importe les circonstances?

L'hon. Ralph Goodale:

Non.

M. David de Burgh Graham:

Merci.

Le président:

Ce sera tout pour nos questions.

Je tiens à remercier les membres du Comité et le ministre d'avoir fait avancer les choses rapidement.

L'hon. Ralph Goodale:

Monsieur le président, je tiens à vous remercier, vous-même et les membres du Comité, d'avoir affirmé votre volonté de vous occuper de cette question très rapidement, compte tenu du temps dont nous disposons.

Le président:

Merci.

Sur ce, nous allons suspendre la séance et reprendre dès que les témoins seront prêts.

(1625)

(1630)

Le président:

Pour accélérer les choses, je dirais que nous avons le quorum et que nos nouveaux témoins sont prêts.

Nous accueillons, à distance, M. Sauvé, de la Fédération de la police nationale, ainsi que Michelaine Lahaie, Lesley McCoy et Tim Cogan.

Je vais laisser M. Sauvé parler en premier, parce qu'on ne sait jamais si la technologie va tenir le coup.

En général, nous prévoyons 10 minutes par exposé. Idéalement, les exposés dureront moins de 10 minutes, et les députés pourront ainsi plus rapidement se mettre à poser leurs questions.

Sur ce, je vais demander à M. Sauvé de se présenter et de faire son exposé.

M. Brian Sauvé (co-président, Fédération de la Police Nationale):

Merci, monsieur le président. J'espère que la technologie fonctionne et que vous pouvez m'entendre.

Le président:

C'est une belle oeuvre d'art que vous avez là, derrière vous.

M. Brian Sauvé:

Merci.

Je m'appelle Brian Sauvé, et je suis un membre en titre. Je suis également sergent au sein de la GRC. J'ai pris un congé sans solde pour fonder et lancer la Fédération de la police nationale. En ce moment, je suis un des coprésidents par intérim.

Pour ceux qui observent depuis les coulisses, nous avons présenté une demande d'accréditation du premier agent négociateur pour les membres de la GRC en avril 2017. Nous avons dû surmonter tous les obstacles imaginables qu'on a mis sur notre chemin depuis avril 2017. Tous les membres de l'unité de négociation, qui sont plus de 18 000, ont participé à un vote d'accréditation en novembre et en décembre derniers. Nous attendons toujours, au sujet de ce vote, la décision de la CRTESPF, la Commission des relations de travail et de l'emploi dans le secteur public fédéral, sur une contestation constitutionnelle.

Cela étant dit, en ce qui concerne le projet de loi C-98, nous souhaitions exprimer le point de vue des membres de la GRC concernant la Commission civile d'examen et de traitement des plaintes, ou CCETP, et la partie VII de la Loi sur la Gendarmerie royale du Canada, qui traite des plaintes du public. Je suis ouvert aux questions à ce sujet.

À ce moment-là, je voyais le projet de loi C-98 comme étant une loi modifiant la Loi sur la GRC. Nos membres ont exprimé diverses préoccupations concernant les modifications apportées en 2014 à la Loi sur la GRC, au moyen du projet de loi C-42, et nous aimerions les diffuser et poser des questions à ce sujet.

Par exemple, dans le projet de loi C-98, on modifie l'article 45.37 de la Loi sur la GRC pour imposer des délais en consultation avec la force, et avec la nouvelle Commission d'examen et de traitement des plaintes du public, la CETPP, à savoir le temps qu'une enquête devrait prendre, le résultat qu'il faudrait obtenir et la consultation entre la force et l'organisme d'enquête.

De notre point de vue, du point de vue des membres de la GRC, il serait vraiment bien d'étendre cela à d'autres aspects de la Loi sur la GRC. L'un des aspects pour lesquels il serait formidable d'avoir une forme de consultation quant aux échéanciers serait celui des processus de discipline internes, ou même des griefs ou des appels des décisions du commissaire concernant les suspensions, par exemple.

Selon notre expérience, qu'il s'agisse d'une plainte relevant de la partie VII, d'un processus administratif relevant de la partie IV ou de griefs relevant de la partie III de la Loi sur la GRC, la GRC n'est pas elle-même équipée pour traiter de ces situations rapidement. Les dossiers ont tendance à traîner pendant six mois, un an, un an et demi et même deux ans, ce qui fait que les accusés ou les membres faisant l'objet d'une plainte du public ou d'une plainte relative au code de déontologie, ou encore les auteurs de griefs sont laissés en suspens à cause d'un processus administratif interminable.

Si les membres du Comité ont des questions à ce sujet, je serai plus que ravi d'y répondre, et nous pourrons poursuivre la discussion à partir de là.

C'est tout pour mon exposé. Je suis sûr que vous n'allez pas vous pencher sur toutes les observations que j'aurais à faire au sujet du projet de loi C-42 et de la façon dont il touche les membres de la GRC, ainsi qu'au sujet des vastes pouvoirs des commissaires et des commandants divisionnaires.

J'aimerais entrer dans les détails de cela un jour, mais je ne crois pas que ce soit le moment. Cependant, nous vous saurions gré de vous pencher sur les échéanciers de l'article 45.37.

(1635)

Le président:

Merci, monsieur Sauvé.

Les lumières clignotent, et je suis obligé de suspendre la séance à moins que les membres du Comité consentent unanimement à ce que nous la poursuivions. Ce que je propose, puisque nous sommes dans l'édifice, c'est que nous poursuivions la réunion encore 15 ou 20 minutes. Je crois que la sonnerie nous avertit 30 minutes à l'avance. Est-ce qu'il serait raisonnable de poursuivre la séance encore 20 minutes?

Des députés: D'accord.

Le président: Nous allons donc probablement entendre l'exposé de nos prochains témoins et amorcer au moins les questions.

Le ministre m'a indiqué qu'il a un diagramme du processus et qu'il serait heureux de le fournir à quiconque le souhaite. Malheureusement, il n'est qu'en anglais. Il sera en français et en anglais dans 24 heures, mais ceux qui le veulent peuvent l'avoir.

J'invite maintenant Michelaine Lahaie, présidente de la Commission civile d'examen et de traitement des plaintes relatives à la Gendarmerie royale à présenter son exposé.

Mme Michelaine Lahaie (présidente, Commission civile d'examen et de traitement des plaintes relatives à la Gendarmerie royale du Canada):

Bonjour, monsieur le président. Je m'appelle Michelaine Lahaie, et je suis accompagnée de Tim Cogan, mon dirigeant principal des finances et directeur principal, et de Lesley McCoy, mon avocate générale.

En raison du court préavis que nous avons eu pour cette réunion, nous n'avons pas préparé d'exposé, mais je suis prête à répondre à toutes les questions des membres du Comité.

Le président:

Merci.

Madame Sahota, vous avez sept minutes.

(1640)

Mme Ruby Sahota (Brampton-Nord, Lib.):

Je vais commencer par quelques questions à l'intention de la Commission.

Depuis que vous y êtes, en moyenne, combien de plaintes recevez-vous de la part de civils? Quel est l'éventail des enjeux qui font l'objet de ces plaintes? Combien de temps le processus exige-t-il en général, pour un examen initial, et pour une enquête, si vous en menez une? Ce sont quatre questions.

Mme Michelaine Lahaie:

Nous recevons de 2 500 à 3 000 plaintes par année au sujet de membres de la GRC. On nous demande alors normalement d'examiner environ 250 à 300 de ces plaintes nous-mêmes. Comme l'a décrit le ministre à la dernière séance, les plaintes sont généralement confiées initialement à la GRC pour enquête. Si la personne qui a déposé la plainte n'est pas satisfaite de la façon dont la GRC a réglé la plainte, elle va s'adresser à nous, et nous allons faire notre examen. En moyenne, nous examinons de 250 à 300 cas, et mon centre d'appels reçoit de 2 500 à 3 000 plaintes par année.

Quant à l'échéancier, cela dépend. Nous avons des normes de service, à la Commission. Selon ces normes, nous devons transmettre toute plainte reçue à la GRC dans les quatre jours ouvrables suivant sa réception, pour que la GRC mène son enquête. Une fois que la GRC a terminé sa partie de l'enquête ou qu'elle a transmis son rapport, si la personne qui a fait la plainte veut une révision, elle a 60 jours pour nous en faire la demande.

Une fois que nous avons reçu la demande de révision de la part de la personne qui a fait la plainte, selon nos normes de service, nous avons 120 jours à compter du moment où nous recevons toute la documentation pertinente de la GRC. Nous nous adressons à la GRC et nous lui demandons toute l'information relative à l'enquête qu'elle a menée, et nous pouvons lui demander toute autre information qui peut être liée à cette plainte particulière.

Le président:

Monsieur Sauvé, étant donné que vous n'êtes pas un habitué de nos réunions, je tiens à vous dire que si vous souhaitez répondre à une question, vous n'avez qu'à me le signaler et je vais m'assurer de vous donner la parole.

Continuez.

Mme Ruby Sahota:

Je suis désolée, mais j'ai perdu le fil de mes pensées.

Vous avez terminé en disant qu'il y avait un examen de 60 jours.

Mme Michelaine Lahaie:

La personne qui a demandé une révision doit indiquer qu'elle veut que la plainte soit révisée après 60 jours. À compter du moment où la GRC a transmis sa lettre de règlement, la personne a 60 jours pour nous dire qu'elle veut que le règlement soit révisé.

Mme Ruby Sahota:

Combien de temps faut-il en général à la GRC pour mener son examen après que vous lui avez envoyé la plainte?

Mme Michelaine Lahaie:

En ce moment il n'y a pas de normes de service à cet égard. Il arrive que cela prenne deux mois, et cela peut aller jusqu'à deux ans, dépendant de l'origine de la plainte et de sa complexité.

Mme Ruby Sahota:

Je sais qu'il doit y avoir tout un éventail d'enjeux, mais pouvez-vous nous en donner trois ou quatre exemples?

Mme Michelaine Lahaie:

Le plus souvent, il est question d'une mauvaise attitude. Il arrive que des plaintes portent sur une utilisation inappropriée des ressources, sur un appel de service resté sans réponse ou sur un recours à la force jugé abusif par le plaignant.

Mme Ruby Sahota:

Je crois que M. Graham a quelques questions.

M. David de Burgh Graham:

J'ai seulement quelques brèves questions pour le sergent Sauvé, si vous me le permettez.

Vous avez parlé des problèmes que vous avez à syndiquer les membres de la GRC, si j'ai bien compris.

M. Brian Sauvé:

Je ne dirais pas... Ce que je veux dire, c'est que c'était difficile. Nous vivons dans un pays dont la population est diversifiée et très dispersée sur un vaste territoire, ce qui fait qu'il a été difficile, la première année, d'obtenir la participation de tous les membres. Le défi consiste maintenant à faire progresser le processus de la Commission des relations de travail de l'emploi dans le secteur public fédéral — la CRTESPF —, afin d'obtenir le traitement de la demande d'accréditation. Les membres ont manifesté leur appui. Ce qui nous retarde un peu, c'est le processus gouvernemental qui avance à la vitesse de la mélasse en janvier.

(1645)

M. David de Burgh Graham:

Au moins en janvier...

Le président:

Monsieur Graham, j'ai averti M. Paul-Hus au sujet du rapport avec le projet de loi C-98.

M. David de Burgh Graham:

Je suis sur le point d'en parler, oui.

Le président:

D'accord. J'espère que vous le ferez.

M. David de Burgh Graham:

Je vais le faire. J'ai une autre question avant d'en arriver à cela, mais je vais établir le lien.

Le président:

D'accord.

M. David de Burgh Graham:

La raison pour laquelle je m'engage dans cette voie, c'est qu'il y a, comme vous le savez, trois services syndiqués relevant de la GRC sur la Colline du Parlement. Je me demande si vous avez parlé de ces difficultés à l'AESS et à l'AFPC. Ils en ont eu beaucoup. Je me demande aussi si le projet de loi C-98 va vous donner des outils additionnels à cette fin et si c'est la raison pour laquelle vous êtes venu aujourd'hui.

M. Brian Sauvé:

Non. La raison pour laquelle j'ai manifesté mon intérêt au greffier quand il m'a téléphoné ce matin — je comprends que les délais sont courts, au Comité —, c'est que toute occasion de faire entendre la voix des membres de la GRC concernant la modification de la Loi sur la GRC nous offre une occasion de parler en leur nom. Si nous ne le faisions pas, ce serait une occasion ratée.

En réponse à votre question concernant la consultation de ceux qui représentent les employés des SCP ou les membres qui travaillent sur la Colline du Parlement, le projet de loi C-7 empêche en quelque sorte toute organisation qui demande de représenter des membres de la GRC — c'est une zone grise du projet de loi C-7— de tenir des activités d'association en dehors du milieu de l'application de la loi. À la FPN, nous sommes très prudents quant à notre façon de nous associer et aux choix que nous faisons pour accrocher notre bannière. Pratiquement tout s'est fait à l'intérieur de l'Association canadienne des policiers — l'Ontario Provincial Police Association et la Fraternité des policiers et policières au Québec, par exemple. Nous n'avons pas vraiment créé de liens avec l'AFPC, le SCFP ou le SACC, par exemple.

M. David de Burgh Graham:

Est-ce que le comité dont nous parlons aujourd'hui vous donne plus d'outils pour le syndicat? Est-ce que cela ne change rien pour vous? Une fois l'accréditation obtenue, est-ce que le syndicat va utiliser ce comité pour traiter avec la GRC? Est-ce un outil qui vous servirait également?

Le président:

Très brièvement, je vous prie.

M. Brian Sauvé:

Je ne suis pas sûr de bien comprendre la question.

M. David de Burgh Graham:

Dans vos négociations avec la GRC, est-ce que la création du comité comme nous l'envisageons en ce moment améliorera votre capacité de négocier? Est-ce qu'il vous donnera des outils supplémentaires? Est-ce que cela ne change rien pour vous? Est-ce strictement pour le public?

M. Brian Sauvé:

Avec l'actuelle CCETP — je vais l'appeler selon son appellation actuelle —, je ne vois pas comment le projet de loi C-98 aura un effet sur les membres de la GRC ou changera la façon de traiter les plaintes du public ou d'enquêter sur ces plaintes.

Comme la présidente de la CCETP, Mme Lahaie, l'a dit concernant le temps qu'il faut pour les enquêtes sur les plaintes du public, le goulot d'étranglement que nous constatons et dont nous entendons parler est lié à la capacité de la GRC d'enquêter rapidement. Cela allonge...

Le président:

Je suis désolé, monsieur Sauvé, mais allons devoir nous arrêter là. Nous avons dépassé le temps imparti.

M. Brian Sauvé:

Fort bien.

Le président:

Monsieur Motz, vous avez sept minutes.

M. Glen Motz:

Merci.

Vous avez dit, madame, qu'il y a entre 2 500 et 3 000 plaintes sur lesquelles la GRC fait enquête chaque année au sujet de ses membres. La Commission en examine entre 250 et 300. Étant donné ce que l'Agence des services frontaliers du Canada, l'ASFC, fait actuellement — parce qu'elle a déjà des plaintes à traiter à l'interne —, a-t-on pensé au nombre de plaintes qui viendront s'ajouter à la charge de travail de la Commission?

Mme Michelaine Lahaie:

Nous avons consulté l'ASFC en long et en large à ce sujet. D'après ce que j'ai compris, ils reçoivent environ 3 000 plaintes par année. Nous nous attendons à ce que les chiffres soient très semblables à cela. Bien entendu, des efforts devront être déployés pour informer le public du lancement de la Commission d’examen et de traitement des plaintes. Lorsque cela se produira, il se peut que le nombre de plaintes augmente. Pour le moment, nous nous attendons à ce qu'il y en ait environ 3 000 par année.

M. Glen Motz:

D'après ce que j'ai compris du projet de loi C-98, vous allez recueillir six membres de la Commission.

Mme Michelaine Lahaie:

Aux termes de l'ancienne Loi sur la GRC, nous avions cinq membres à la Commission, alors il y en aura encore cinq.

(1650)

M. Glen Motz:

Vous avez cinq membres de la GRC. Aurez-vous cinq nouveaux membres pour l'ASFC?

Mme Michelaine Lahaie:

Non, monsieur. Nous n'aurons que cinq membres. La Commission devra...

M. Glen Motz:

Cinq membres à plein...

Mme Michelaine Lahaie:

... cinq membres. C'est ce que nous aurons, oui.

M. Glen Motz:

D'accord. Comment faites-vous alors... L'un des problèmes actuels des membres de la GRC, et c'est quelque chose qui préoccupera probablement l'ASFC, c'est de régler ces questions en temps opportun. Oui, nous devons répondre aux plaintes du public, mais nous devons aussi comprendre ce que certaines de ces plaintes font à nos membres. Les plaintes frivoles et vexatoires doivent être traitées et réglées promptement, même si elles sont fondées.

Comment comptez-vous raccourcir le temps de traitement? Vous avez parlé de quelques mois pour les cas les plus légers à plusieurs années pour les cas les plus lourds.

Mme Michelaine Lahaie:

L'un des aspects positifs de ce projet de loi, c'est qu'il permettra la mise en place de normes de service. En matière de réponse, il y aura des normes de service, et pour la GRC, et pour l'ASFC, ce qui aidera grandement la Commission. Présentement, la GRC n'a pas de délai précis à l'intérieur duquel elle est tenue de répondre à une demande. Des normes de service seront négociées avec la GRC et l'ASFC lorsque la nouvelle loi entrera en vigueur.

M. Glen Motz:

Cette norme de service s'appliquera-t-elle si un membre du public ne se plaint pas à vous? Voilà où je veux en venir. Vous avez une norme de service qui sera intégrée. Si un membre du public vous demande d'intervenir ou d'examiner un dossier qui a déjà fait l'objet d'une enquête — soit par l'ASFC dans ce cas-ci, dans le projet de loi C-98, soit par la GRC, parce qu'ils seront semblables —, la GRC et l'ASFC auront toutes deux une norme de service à respecter.

Que se passera-t-il d'ici là? Ont-ils présentement des normes de service? Si un membre du public se plaint maintenant à l'ASFC ou à la GRC, existe-t-il une norme de service l'obligeant à répondre en temps opportun?

Mme Michelaine Lahaie:

Je ne peux pas vous dire ce que fait l'ASFC en ce moment, parce que nous sommes en train d'examiner ce que nous ferons dans l'avenir. En ce qui concerne la GRC, elle a un document de politique en place, mais elle n'est pas tenue d'énoncer cette norme de service à l'externe. À l'heure actuelle, il n'y a pas vraiment de norme de service externe à cet effet.

M. Glen Motz:

Monsieur Sauvé, avez-vous quelque chose à dire à ce sujet?

M. Brian Sauvé:

Comme je l'ai mentionné au début, je pense que les normes de service sont une idée formidable. L'une des choses que j'aimerais dire, c'est que la mise en oeuvre de normes de service en ce qui concerne les enquêtes sera un énorme gain pour les membres. Comme vous l'avez dit, le problème en ce moment, c'est le fait d'avoir quelque chose qui vous pend au-dessus de la tête pendant un an, deux ans ou trois ans sans savoir comment cela va se résoudre.

M. Glen Motz:

Très bien. Je vous remercie.

Je vous ai vu assis à la tribune lorsque j'ai posé cette question au ministre. La Commission compte cinq membres. Disposez-vous de ressources vous permettant de mener une nouvelle enquête si la preuve d'une plainte est jugée insuffisante? Cela existe-t-il tant du côté de la GRC de votre commission que du côté ASFC de votre commission? Quel est l'organisme d'enquête que vous engagez ou auquel vous vous adressez pour cela?

Mme Michelaine Lahaie:

La réponse à votre question est oui. Nous avons la capacité d'enquêter. J'ai actuellement une équipe de sept enquêteurs qui travaillent pour moi. Je présume qu'avec la bonification du financement et le nouveau mandat, nous allons augmenter le nombre d'enquêteurs que nous avons. Dans certains cas, si nous avons besoin d'une expertise très pointue, nous avons recours à la sous-traitance. Par exemple...

M. Glen Motz:

À qui vous adressez-vous? Est-ce à d'autres services de police?

Mme Michelaine Lahaie:

Je vous demande pardon?

M. Glen Motz:

S'agit-il d'autres services de police?

Mme Michelaine Lahaie:

Non. Ce ne sont pas d'autres services de police. Nous faisons affaire avec des civils. Nous examinons ce genre de services.

M. Glen Motz:

D'où viennent les enquêteurs que vous avez maintenant?

Mme Michelaine Lahaie:

C'est un mélange. J'en ai qui proviennent d'autres services de police. J'en ai qui proviennent des services familiaux et sociaux. C'est donc vraiment...

M. Glen Motz:

Sont-ils en détachement? S'agit-il de postes de détachement?

Mme Michelaine Lahaie:

Non. Ce sont des fonctionnaires qui travaillent directement pour moi.

M. Glen Motz:

Ils ont déjà travaillé dans ces organismes.

Mme Michelaine Lahaie:

Exactement.

M. Glen Motz:

Très bien.

Il a fallu beaucoup de temps pour en arriver là. Vous nous avez entendus en parler avec le ministre. Dans votre façon de percevoir le projet de loi, y a-t-il quelque chose... Je veux dire, en tant que commission, vous êtes responsable. Vous allez être chargé de veiller à ce que l'ASFC soit désormais assujettie, elle aussi, aux exigences de la Commission pour l'examen des plaintes civiles.

Pour faire en sorte de répondre au public en temps opportun ou d'être efficace dans ce domaine — d'une manière ou d'une autre — et de répondre aussi aux besoins des membres de la GRC et de l'ASFC qui pourraient faire l'objet d'une plainte, y a-t-il quelque chose que nous devrions envisager dans ce projet de loi et qui n'existe pas dans la loi?

(1655)

Le président:

Répondez très brièvement, je vous prie.

Mme Michelaine Lahaie:

Le projet de loi tel que vous l'avez devant vous est très semblable à ce que l'on retrouve actuellement dans la Loi sur la Gendarmerie royale du Canada. Il y a peut-être quelques petits irritants d'ordre administratif, mais d'après ce que nous savons à l'heure actuelle et en ce qui concerne la Commission, il n'y a rien de majeur.

M. Glen Motz:

Pour ce qui est des irritants d'ordre administratif, si vous pouviez nous en fournir une description...

Mme Michelaine Lahaie:

Bien sûr.

M. Glen Motz:

Le hic, c'est que nous devrons nous occuper de cela aujourd'hui ou mercredi.

Le président:

Sur ce, nous allons devoir suspendre la séance et aller voter.

J'espère que nos témoins pourront rester pendant que nous exercerons notre droit démocratique.

(1655)

(1720)

Le président:

Nous sommes de retour et nous avons le quorum.

Je crois que c'est au tour de M. Dubé, qui dispose de sept minutes.

Sous réserve de ce que mes collègues pourraient dire, je propose de poursuivre les questions pendant 20 minutes encore. Cela vous semble-t-il raisonnable? Nous passerons ensuite à l'étude article par article.

Des députés: Oui.

Le président: D'accord.

Monsieur Dubé, vous avez sept minutes. [Français]

M. Matthew Dubé:

Merci, monsieur le président.

Monsieur Sauvé, j'espère que vous me pardonnerez, mais j'ai peu de questions auxquelles je crois que vous serez en mesure de répondre.

Je veux tout d'abord profiter de l'occasion pour vous féliciter de tout ce que vous faites. Je sais que les choses n'ont pas été faciles au cours des dernières années, mais je pense que c'est un pas dans la bonne direction. C'était quelque chose qu'il fallait faire depuis longtemps. Ceux qui ont suivi le débat savent qu'il s'agit d'établir une représentation équitable pour les hommes et les femmes qui portent l'uniforme à la GRC. Ne lâchez pas.

Mes questions concernent certains aspects du fonctionnement actuel de la Commission et la façon dont le projet de loi peut changer ou toucher cela.

On dit ceci au paragraphe 18(2) proposé, à la page 8 du projet de loi: (2) Pour effectuer un examen de sa propre initiative, la Commission doit : a) être convaincue qu'elle dispose des ressources nécessaires [...] b) avoir pris les mesures nécessaires pour vérifier qu’aucun autre examen ou aucune autre enquête n’a été entrepris [...]

Je vais revenir sur les mesures nécessaires décrites à l'alinéa b). Commençons par l'alinéa a), qui traite des ressources.

Prenons le cas d'un incident qui serait rapporté par les médias, à la suite de quoi une plainte deviendrait d'intérêt public. Si votre budget n'est pas adéquat, vous devrez accorder la priorité au traitement des plaintes, même si la situation est hautement médiatisée. À moins que le président ou le ministre ne demande une enquête, vous serez restreint par vos capacités budgétaires. En gros, c'est ce que cela veut dire.

Ai-je bien compris?

Mme Michelaine Lahaie:

Effectivement, monsieur Dubé, vous avez bien compris. Nous sommes certainement restreints par nos ressources budgétaires et humaines.

Je dois aussi souligner que cette partie concerne ce qu'on appelle des révisions, mais qu'il s'agit en fait de révisions portant sur des activités précises. On parle ici de cas où il y aurait un problème systémique, sur lequel nous déciderions de faire une enquête. Il s'agit de cela plutôt que des plaintes normales que nous recevons du grand public.

M. Matthew Dubé:

C'est parfait.

Pour ce qui est de l'alinéa b), non seulement dans le contexte du paragraphe 18(2) proposé, mais dans l'ensemble, M. Graham a parlé plus tôt du risque de marcher sur les pieds de l'autre organisme. C'est intéressant. Dans le contexte de notre étude du projet de loi C-59, nous avons reçu des représentants de votre commission. Pardonnez-moi, je ne me souviens plus si c'était vous ou d'autres représentants, mais on nous a dit qu'il n'y avait pas de problème du côté de la GRC, étant donné qu'il ne s'agissait pas de fonctions liées à la sécurité nationale. Par contre, lors des témoignages et du débat sur le projet de loi C-59, certains ont soulevé que, dans le cas de l'Agence des services frontaliers du Canada, il s'agit toujours de sécurité nationale, étant donné qu'on parle de l'intégrité des frontières.

Êtes-vous préoccupés du fait que, dans le contexte de l'Agence, il sera peut-être plus difficile de déterminer ce qui relève des différents mécanismes de surveillance pour les questions de sécurité nationale? Dans le cas du comité créé par le projet de loi C-59 ou du Comité des parlementaires sur la sécurité nationale et le renseignement, par exemple, il y a une distinction plus claire et plus évidente en ce qui concerne la GRC.

Mme Michelaine Lahaie:

Je crois qu'il pourrait parfois être difficile de faire la distinction. Cependant, je peux vous dire qu'en ce moment, nous entretenons de très bonnes relations avec le Comité de surveillance des activités de renseignement de sécurité et avec ce qui deviendra l'Office de surveillance des activités en matière de sécurité nationale et de renseignement. Nous parlons souvent à ces personnes. Je crois donc que nous serions en mesure de déterminer lequel des organismes devrait traiter la plainte.

M. Matthew Dubé:

Pourvu que les bonnes relations se maintiennent, cela ne devrait pas causer d'ennuis pour le travail.

Mme Michelaine Lahaie:

En effet.

M. Matthew Dubé:

C'est excellent.

Ma prochaine question concerne les douaniers américains. Je crois qu'elle est importante, parce que le commun des mortels, si vous me permettez l'expression, ne sait pas toujours clairement qui est responsable. Depuis l'adoption du projet de loi C-23, on a davantage recours au prédédouanement, notamment lors des traversées terrestres et dans les aéroports.

Prévoyez-vous qu'il y aura des plaintes concernant des agissements d'agents américains à l'égard de citoyens canadiens? Avez-vous établi un mécanisme pour composer avec cela? Allez-vous transmettre les plaintes à un autre organisme? Allez-vous sensibiliser le public? Votre approche comprendra-t-elle plusieurs composantes?

(1725)

Mme Michelaine Lahaie:

Cela comprendra plusieurs composantes. Il n'y a aucun doute que nous allons recevoir des plaintes visant des agents américains.

En ce moment, nous recevons parfois des plaintes concernant d'autres policiers que ceux de la Gendarmerie royale du Canada. En ce qui concerne la GRC, nous avons une politique d'ouverture à toutes les plaintes. Selon cette politique, si nous recevons une plainte visant un policier de Toronto, par exemple, nous pouvons l'envoyer à l'agence provinciale pour qu'elle la traite. Nous transmettons l'information.

C'est sûr que nous allons commencer à nouer des liens avec les Américains pour pouvoir leur transmettre de telles plaintes.

M. Matthew Dubé:

Pardonnez-moi de me dépêcher, mais mon temps file.

Lors du prédédouanement, les Américains interviennent en sol canadien. Avez-vous un rôle à jouer si un incident qui fait l'objet d'une plainte a lieu en sol canadien, par exemple dans un aéroport canadien?

Mme Michelaine Lahaie:

Je ne le crois pas, mais c'est une question qui devrait être abordée.

M. Matthew Dubé:

C'est parfait.

J'ai une dernière question.

À la page 25, au paragraphe 51(1) proposé, il est question de la réponse du président de l'Agence. Ce mécanisme ressemble-t-il à celui qui existe déjà à la Commission civile d'examen et de traitement des plaintes relatives à la GRC, selon lequel on fournit une réponse écrite et, si des mesures additionnelles ne sont pas prises, on en fournit également les raisons par écrit? Pardonnez-moi si je ne connais pas par cœur la Loi sur la Gendarmerie royale du Canada; peut-être le devrais-je. Est-ce le même mécanisme que celui qui existe actuellement dans cette loi?

Mme Michelaine Lahaie:

Oui, c'est le même mécanisme que celui que nous utilisons en ce moment.

M. Matthew Dubé:

D'accord, merci. [Traduction]

Le président:

Merci, monsieur Dubé.

Je crois comprendre qu'il n'y a pas de questions de la part du gouvernement. Y en a-t-il du côté de l'opposition?

Monsieur Eglinski, vous avez cinq minutes.

M. Jim Eglinski (Yellowhead, PCC):

Je vous remercie.

J'aimerais vous remercier d'être venue aujourd'hui et d'avoir présenté cet exposé. Je suis très heureux de pouvoir appuyer le projet de loi C-98, mais il y a une ou deux questions que je traîne depuis un certain nombre d'années concernant une dynamique semblable que vous avez connue avec la GRC.

En ce qui concerne les pouvoirs prévus à l'article 44 proposé sous le titre « Pouvoirs de la Commission relativement aux plaintes », vous parliez des normes de service de la GRC et de certaines lignes directrices. Vous pouvez obliger une personne à se présenter devant vous et à lui faire prêter serment, etc. Or, si un membre de la sécurité frontalière était impliqué dans une affaire criminelle — par exemple pour une agression présumée ou quelque chose du genre ou pour l'usage d'une force excessive —, feriez-vous cela avant le procès criminel ou choisiriez-vous d'attendre après le procès criminel pour qu'il puisse se défendre des actions qu'on lui reproche? Les preuves que cette personne aurait fournies sous serment à votre organisation pourraient-elles être utilisées contre elle dans un procès criminel?

Mme Michelaine Lahaie:

Je vais d'abord répondre à la deuxième partie de votre question. Aucun renseignement qui nous est fourni sous serment par une personne que nous avons obligée à venir nous parler ne peut être utilisé contre elle. Rien de ce qu'elle admet personnellement ne peut être utilisé dans le moindre de nos rapports. Bref, cette information ne peut être utilisée contre elle.

La première partie de votre question porte sur une situation assez commune pour nous, une situation dans laquelle les tribunaux sont saisis d'une chose au sujet de laquelle nous avons reçu une plainte du public. En général, nous avons tendance à mettre ces plaintes du public en suspens en attendant de voir ce que les tribunaux vont dire, car il arrive souvent que les tribunaux donnent une certaine orientation ou qu'une décision fournisse un éclairage particulier.

M. Jim Eglinski:

C'est la question que je me posais. Il y a une sorte de suspens parce qu'il y a conflit.

Il y a un deuxième volet à ma question, et j'aimerais que vous répondiez assez rapidement si vous le pouvez, car j'en ai une autre à vous poser.

J'étais là lorsque vous avez commencé à travailler à la Commission des plaintes du public contre la GRC. Il y a eu un peu de ressentiment de la part des membres de la GRC — la confiance n'était pas au rendez-vous — et je pense qu'il y a eu un peu de ressentiment dans l'autre sens aussi; nous ne nous faisions pas mutuellement confiance en quelque sorte. Mais assez rapidement, une confiance s'est installée du fait que nous avons dû collaborer très étroitement. J'aurais tendance à croire que vous allez vous retrouver dans une situation semblable en entrant dans cette nouvelle ère. Allez-vous mettre sur pied un programme de sensibilisation à l'intention des membres de l'Agence des services frontaliers du Canada pour qu'ils comprennent vraiment ce que vous faites? Il y aura un peu de suspicion de leur part, alors je me demande si vous avez un plan pour leur donner l'heure juste.

(1730)

Mme Michelaine Lahaie:

À l'heure actuelle, nous travaillons à l'élaboration d'un plan pour les mettre au courant. Cela fait partie de nos intentions: nous voulons les éduquer et éduquer le public canadien au sujet du processus.

M. Jim Eglinski:

Le monsieur qui est à l'écran... Je suis désolé, j'ai oublié votre nom, sergent.

M. Brian Sauvé:

Je m'appelle Brian Sauvé.

M. Jim Eglinski:

Monsieur Sauvé, vous parlez des normes de service au sein de la GRC et de l'achèvement des enquêtes. Croyez-vous que les normes de service devraient aller dans les deux sens?

Je reviens à l'époque où j'étais responsable du détachement de Fort St. John, il y a 15 ans de cela. Je me souviens qu'il y avait eu un incident au sujet d'un membre qui était en poste là-bas pendant quatre ans, mais que je n'avais jamais rencontré. Son cas était en attente d'une enquête. Je n'ai jamais su de quoi il s'agissait. On ne me l'a jamais dit. Je sais qu'il vivait dans ma région, mais il ne venait jamais travailler. J'aimerais savoir si vous croyez qu'il devrait y avoir une norme de service dans les deux sens.

M. Brian Sauvé:

Je ne suis pas certain de comprendre ce que vous entendez par « norme de service dans les deux sens ». Qu'il s'agisse d'une plainte du public, d'une enquête interne ou d'une enquête criminelle, les personnes faisant l'objet d'une enquête ont droit à une enquête équitable sur le plan procédural et rapide, point final. C'est comme cela que je vois les choses.

Les lois de la justice naturelle devraient s'appliquer. Qu'il s'agisse de l'ASFC ou de la GRC, le membre faisant l'objet de l'enquête a droit à ce que ladite enquête soit menée rondement. Il a également le droit de garder le silence. Cela fait partie du droit commun: le droit au silence. Donc, si cela gêne les enquêteurs, trouvez une autre avenue.

M. Jim Eglinski:

Merci.

Je crois que je mon temps de parole est épuisé.

Le président:

Oui, il l'est.

Monsieur Manly, y a-t-il des questions que vous aimeriez poser?

M. Paul Manly (Nanaimo—Ladysmith, PV):

Non, je n'en ai pas.

Le président:

Y a-t-il d'autres questions de ce côté-ci? Non.

Sur ce, je remercie nos témoins.

Je vous remercie d'avoir été patients pendant que nous allions voter.

Nous allons maintenant suspendre la séance avant de revenir pour l'étude article par article.

(1730)

(1735)

Le président:

Je vois que nos témoins sont à la table et que les membres du Comité sont ici.

Passons maintenant à l'étude article par article.

(Les articles 1 et 2 sont adoptés.)

(Article 3)

Le président: Nous avons l'amendement PV-1.

Monsieur Manly, nous vous écoutons.

M. Paul Manly:

Cette modification préciserait que ni les agents actuels, ni les anciens agents, ni les employés de l'Agence des services frontaliers du Canada ne peuvent siéger à la Commission d’examen et de traitement des plaintes du public. Cette modification ne figure pas dans le projet de loi C-98, mais dans la Loi sur la GRC. L'alinéa sur l'inadmissibilité prévue au paragraphe 45.29(2) de cette loi exclurait les « membres » actuels ou anciens de la Commission d’examen et de traitement des plaintes du public et, en vertu de cette loi, le terme « membre » a une définition bien précise: il désigne un employé de la GRC. Vraisemblablement, les agents actuels et anciens de l'ASFC devraient également être exclus de cette commission. Cet amendement permettrait de l'établir de façon explicite.

Le président:

Monsieur Motz, vous avez la parole.

M. Glen Motz:

Merci, monsieur le président.

J'ai quelques questions. L'une d'elles s'adresse aux fonctionnaires qui sont ici au sujet de cet amendement, et l'autre s'adresse à M. Picard.

Le président:

Il ne pourra pas servir.

M. Glen Motz:

Non, mais sérieusement... Je comprends ce que dit la Loi sur la GRC, mais j'ai toujours voulu savoir s'il y a une certaine distance entre le service et une commission comme celle-ci. Même en tant que fonctionnaire, pour travailler de ce côté-ci comme enquêteur, comment cela pourrait-il empêcher quelqu'un d'être impartial, quelqu'un qui aurait une certaine compréhension de la dynamique lui permettant de bien servir le public au sein de cette commission... Je n'arrive pas à comprendre pourquoi nous voudrions même envisager une telle chose.

Les fonctionnaires pourraient-ils m'aider à comprendre s'il s'agit d'une mesure conforme à la loi ou à l'intention du projet de loi C-98?

M. Evan Travers:

Le projet de loi n'a pas pour objet d'imposer une restriction quant aux personnes qui peuvent devenir membres de la Commission, une restriction liée au fait qu'elles ont déjà été employées par l'ASFC. L'amendement proposé par M. Manly imposerait aux anciens membres de l'ASFC la même restriction qui s'applique aux anciens membres de la GRC. Cela ne fait pas partie du projet de loi que nous avons présenté.

M. Glen Motz:

Monsieur Picard, vous avez commencé votre service de cette façon, mais vous avez pris un certain recul depuis. Pensez-vous que la nomination de personnes qui ont déjà travaillé à l'ASFC dans le passé serait perturbante ou que cela inciterait le public à se soucier de l'équité ou de l'objectivité de la Commission?

M. Michel Picard:

Dans tous les cas, l'expérience ne devrait pas, selon moi, restreindre la capacité d'agir d'une personne. Je voterais contre cet amendement.

Le président:

Monsieur Dubé, la parole est à vous.

M. Matthew Dubé:

Par votre entremise, monsieur le président, je me demande simplement si M. Travers peut expliquer l'incohérence liée au fait que les anciens membres de la GRC ne sont pas autorisés à travailler pour la Commission, alors que la mesure législative autorise les anciens membres de l'ASFC à le faire.

M. Evan Travers:

Nous avons travaillé principalement à régler les questions liées à l'ASFC. En ce qui concerne ces questions, la décision a été prise de ne pas assujettir les anciens employés de l'ASFC à la même exigence. Les effectifs de ces deux organisations sont différents. En été, l'ASFC a tendance à employer des étudiants ou des personnes de ce genre, qui peuvent n'avoir travaillé à l'Agence que pendant quelques mois. Nous n'avons pas intégré cette restriction au projet de loi afin d'accorder au gouverneur en conseil, c'est-à-dire à l'organe qui nommera les membres de la Commission, le pouvoir discrétionnaire de choisir les meilleurs candidats.

(1740)

M. Matthew Dubé:

Monsieur le président, si je peux me permettre d'intervenir, je dirais que cette incohérence semble plutôt flagrante. Cette organisation gérera maintenant les plaintes liées à deux différentes entités responsables de la sécurité publique. D'une part, certaines personnes seront autorisées à y travailler — je comprends l'argument que vous faites valoir à propos des types d'expérience, mais il s'agit là d'un exemple très particulier et, essentiellement, cela signifie que des gens ayant travaillé à titre d'agents des services frontaliers pendant 30 ans qui, avec tout le respect que je dois à l'excellent travail qu'ils accomplissent, seront un peu en conflit d'intérêts...

Je présume que c'est la raison pour laquelle la Loi sur la GRC a été rédigée de cette façon, c'est-à-dire afin d'éviter le vieux dicton de la police qui enquête sur la police. Je sais qu'on qualifie maintenant la Commission de « publique », mais je me demande si son caractère civil ne sera pas légèrement dilué par cette incohérence plutôt importante qui existera maintenant au sein de ce qui est censé être une seule organisation. Pourriez-vous nous expliquer le raisonnement qui a motivé cette décision?

M. Evan Travers:

Je ne veux pas parler du but de la Loi sur la GRC ou des dispositions qui la composent. Je n'ai pas participé à leur élaboration ou à leur rédaction.

En ce qui concerne le projet de loi dont vous êtes saisis, nous avons conseillé le Cabinet par l'entremise de notre ministre, et c'est le projet de loi que le gouvernement a présenté. Si cette décision suscite des préoccupations ou des questions, le ministre serait peut-être mieux placé pour parler de l'intention qui sous-tend cette distinction.

Le président:

Monsieur Graham, la parole est à vous.

M. David de Burgh Graham:

J'ai une très brève question à poser.

Je ne vais pas appuyer cet amendement, mais je tenais simplement à poser une question à propos de l'interdiction frappant les membres de la GRC. À qui s'applique-t-elle en ce moment? Est-ce aux membres de la GRC aux termes de la loi, ou à n'importe quel employé de la GRC?

M. Evan Travers:

Je vais céder la parole à M. Talbot à ce sujet.

M. Jacques Talbot (conseiller juridique, Services juridiques, Ministère de la Sécurité publique et de la Protection civile, ministère de la Justice):

Dans le cas présent, les personnes assujetties à la disposition en vigueur sont les membres de la GRC, c'est-à-dire les membres de la force policière.

M. David de Burgh Graham:

Les agents en uniforme?

M. Jacques Talbot:

Oui.

M. David de Burgh Graham:

Donc, l'amendement qui nous occupe s'appliquerait à tous les employés de l'ASFC, y compris, comme vous l'avez dit, les étudiants employés pendant les mois d'été.

Cela répond à ma question, merci.

Le président:

Monsieur Dubé, la parole est à vous.

M. Matthew Dubé:

Merci, monsieur le président.

J'appuierai l'amendement de M. Manly parce que, selon moi, il distingue une incohérence plutôt importante.

Il y a deux enjeux importants qui me passent par la tête. Le premier, dont nous avons entendu parler, je crois, au cours des témoignages antérieurs et, en particulier, dans le cadre des questions posées par M. Eglinski, c'est l'importance de gagner la confiance du public. J'ai simplement le sentiment que l'iniquité, que cela créerait au sein de cette commission nouvellement renommée, nuirait à l'établissement de ce climat de confiance.

Deuxièmement, je le répète, nous utilisons l'exemple particulier d'un étudiant au service de l'Agence pendant trois mois de la période estivale quand, en fait, l'échappatoire permet la nomination de personnes dont le point de vue serait beaucoup plus ambivalent. Malheureusement, je ne sais pas comment formuler un amendement pour modifier l'amendement en vue de faire ressortir cette exception, mais je tiens à mentionner de nouveau, pour le compte rendu, qu'à mon avis, cette incohérence est plutôt flagrante. J'appuierai donc l'amendement de M. Manly.

Le président:

Monsieur Eglinski, la parole est à vous.

M. Jim Eglinski:

Premièrement, je ne pourrais pas appuyer cet amendement.

Toutefois, monsieur Talbot, j'aimerais que vous clarifiiez ce que vous avez dit il y a un moment.

Lorsque vous avez fait allusion aux agents de la GRC, parliez-vous du passé du présent?

M. Jacques Talbot:

Je fais allusion au régime actuel.

M. Jim Eglinski:

Pardon? [Français]

M. Jacques Talbot:

Je parle du régime actuel. [Traduction]

M. Jim Eglinski:

Je n'ai toujours pas compris ce que vous avez dit.

M. Jacques Talbot:

Oh, je fais également allusion aux anciens membres, aux personnes qui étaient assujetties à l'ancien régime. Comme vous le savez, il y a quelques années, nous avons mis en oeuvre une nouvelle mesure législative qui a changé le statut des employés de la GRC, en particulier pour...

(1745)

M. Jim Eglinski:

D'accord. Ce n'était pas tout à fait clair. Merci.

Le président:

Y a-t-il d'autres questions au sujet de l'amendement?

(L'amendement est rejeté. [Voir le Procès-verbal])

(L'article 3 est adopté.)

(Les articles 4 à 14 inclusivement sont adoptés.)

(L'article 15)

Le président: Nous sommes saisis de l'amendement PV-2, qui est réputé avoir été proposé. Malgré cela, personne n'est ici pour en parler, à moins que quelqu'un souhaite prendre la relève. Quelqu'un souhaite-t-il parler de l'amendement PV-2, en vue de l'appuyer ou de s'y opposer?

M. Glen Motz:

J'ai une question à poser aux hauts fonctionnaires. Je suis curieux de savoir si cet amendement fonctionnerait ou s'il est même nécessaire, étant donné que nous avons entendu dire au cours de la première heure de la séance que la commission d'examen et de traitement des plaintes ne s'occupe pas des questions d'expulsion. L'amendement PV-2 est-il même nécessaire dans le contexte de la mesure législative?

M. Evan Travers:

Si j'ai bien compris, l'amendement PV-2 concerne la consultation et la collaboration.

M. Glen Motz:

Cela pourrait vouloir dire que, si je suis expulsé dans un autre pays, j'utiliserai les services d'un organisme quelconque de l'autre pays pour contester mon exclusion.

M. Evan Travers:

Si je comprends bien votre question, je dirais que le projet de loi n'est pas censé entraver le processus d'expulsion ou d'extradition. Des plaintes peuvent être déposées ou continuer d'être déposées de l'extérieur du Canada. Toute personne qui a l'impression qu'elle devrait présenter une plainte peut le faire, qu'elle soit au Canada ou non.

M. Glen Motz:

D'accord. Merci.

Le président:

Y a-t-il d'autres commentaires?

(L'amendement est rejeté. [Voir le Procès-verbal])

Le président: Nous sommes saisis de l'amendement PV-3. Quelqu'un souhaite-t-il poser des questions aux hauts fonctionnaires ou parler de l'amendement PV-3?

M. T.J. Harvey (Tobique—Mactaquac, Lib.):

Si le parrain de l'amendement n'est pas là, sautez simplement l'amendement.

Le président:

Non, je ne peux pas sauter l'amendement. Le Comité a été adéquatement saisi de l'amendement. Par conséquent, nous devons nous en occuper.

M. T.J. Harvey:

Ce n'est pas le cas si le parrain n'est pas là pour proposer la motion.

Le président:

L'amendement est réputé avoir été proposé.

(L'amendement est rejeté. [Voir le Procès-verbal])

(L'article 15 est adopté.)

(Les articles 16 à 35 inclusivement sont adoptés.)

Le président: Le titre est-il adopté?

Des députés: Oui.

Le président: Le projet de loi est-il adopté?

Des députés: Oui.

Le président: Le Comité ordonne-t-il à la présidence de faire rapport à la Chambre du projet de loi?

Des députés: Oui.

Le président: Cela dit, j'aimerais remercier les hauts fonctionnaires.

Merci, chers membres du Comité.

La séance est levée.

Hansard Hansard

committee hansard secu 26723 words - whole entry and permanent link. Posted at 22:44 on June 17, 2019

2019-06-10 SECU 167

Standing Committee on Public Safety and National Security

(1535)

[English]

The Chair (Hon. John McKay (Scarborough—Guildwood, Lib.)):

Colleagues, it's 3:30, and I see quorum and Mr. Amos is in his place.

Welcome to the committee, Mr. Amos.

This is a study of rural digital infrastructure under motion 208 and under the name of Mr. Amos, the honourable member for Pontiac.

If you would proceed with your presentation, Mr. Amos, you have 10 minutes.

Mr. William Amos (Pontiac, Lib.):

Thank you, Chair, and thank you to the members.[Translation]

Thank you for this opportunity to discuss what represents [technical difficulties] for my fellow Pontiac residents, but also for Canadians across the country. Whether in rural or urban areas, this is a very important issue.[English]

I believe the importance of this issue is clearly demonstrated by the unanimous vote. I thank each of you individually—and also your colleagues—for that support, because I think it was a unifying vote around motion 208.

When urban Canada recognizes the challenges that rural Canada faces with regard to what we now consider to be basic telecommunication services—good cellphone access, high-speed Internet—I think these are the things that bring Canada together when there's an appreciation of our challenges.

I think there's an appreciation at this point in time that rural Canada needs to make up for lost time with the digital divide. For too many years, private sector telecommunications companies did not invest sufficiently in that necessary digital infrastructure. Governments at that time, in the past, weren't up to the challenge of recognizing that the market needed to be corrected.

I feel fortunate, in a way, to have been able to bring this motion forward, because I feel that all I was doing was stating the obvious: that a Canadian in northern Alberta or the B.C. interior who is challenged with serious forest fires, just like a Canadian in New Brunswick, Quebec or Ontario who is dealing with floods, deserves access to the digital infrastructure that most Canadians take for granted, so as to ensure their public safety.

As your committee is well aware, the motion was divided into two follow-up components, one with respect to the economic and regulatory aspects of digital infrastructure. That process in the industry committee has been moving forward well. A number of witnesses have been brought forth. The process is proceeding apace. I'm looking forward to their conclusions. I've had an opportunity to participate, and I thank that committee for enabling that participation.

I'm particularly appreciative, Chair, that this committee has seen fit to move forward, even if only with a brief set of interactions on this subject matter, because Canadians across this country recognize that it is time to get to solutions on the public safety dimensions of digital infrastructure.

I'm constantly attempting to channel the voices of my small-town mayors, mayors such as David Rochon, the mayor of Waltham, Quebec. Waltham is about an hour and 45 minutes away from Parliament Hill. It's a straight shot down Highway 148 once you cross the Chaudière Bridge or the Portage Bridge. You get over to Gatineau and just drive straight west down Highway 148, and you can't miss it. It's just across the way from Pembroke.

In that community, they have no cellphone service. The 300-and-some souls who live there, when they're faced with flooding for the second time in three years, get extremely frustrated, and they have every right to be frustrated. I'm frustrated for them, and I'm channelling their voices as I sit before you. This is no more than me speaking on behalf of a range of small-town mayors.

I know the voices of those mayors are magnified by those of so many others across this country. That's why the Federation of Canadian Municipalities supported motion 208, because they hear those mayors' voices as well. That's why the rural caucus of the Quebec Union of Municipalities supported this motion, because they hear those same voices.[Translation]

It is our responsibility to address this issue directly. I am very pleased to see that since motion M-208 was introduced in the House of Commons, digital infrastructure has been a major success, thanks to Budget 2019. The investments are historic, very concrete and very targeted.

The goal is to have high-speed Internet access across Canada by 2030. The target is 95% by 2025. Our government is the first to set these kinds of targets and invest these amounts. In the past, we were talking about a few hundred million dollars, but now we are talking about billions of dollars. The issue is recognized. For a government, this recognition comes first and foremost through its budget. Our government has recognized this. I really appreciate the actions of our Liberal government.

With respect to wireless and cellular communications in the context of public safety, there is agreement that, in any emergency situation, a cellular phone is required. It is very useful for managing personal emergencies, but it is also very useful for public servants, mayors, councillors who are in the field and want to help their fellow citizens. These people need access to a reliable cellular network to be able to connect with and help their fellow citizens.

(1540)

[English]

I see that I'm being given the two-minute warning. I will conclude in advance of that simply by saying that I think it's important for us not to descend into rhetoric on this topic. Canadians deserve better than that. I read today's opposition day motion. With no disrespect intended, it didn't spend any time recognizing what our government has done but spent so much time focusing on the problems without getting to the solutions. In the Pontiac, people want solutions. They want to know how they're going to get their cellphone service, and soon. They want their high-speed Internet hookup yesterday, not two years from now. I know that every rural member of Parliament—Conservative, NDP, Liberal and otherwise—is working very hard in their own way to make sure that happens. I am as well. Right now I appreciate this opportunity to focus our attention very specifically on the public safety dimensions.

I also want to say a thank you to our local and national media, who have taken on this issue and are recognizing that in an era of climate change and extreme weather, we're going to need our cellphones more and more; we're going to need this digital infrastructure more and more, to ensure Canadians' safety and security.

Thank you, Mr. Chair.

The Chair:

Thank you, Mr. Amos.

Mr. Graham, for seven minutes.

Mr. David de Burgh Graham (Laurentides—Labelle, Lib.):

Thank you, Mr. Chair.

Mr. Amos, when you brought forward M-208, it had two aspects to it. One was for the industry committee to study these services, and two, for SECU to study the public safety aspect of it. Would you like to expand a bit on how you saw the split committee approach to this.

Mr. William Amos:

My feeling was that there are most certainly economic dimensions to this issue. There are questions around competition. There are questions around the nature of a return on investment that can and cannot be made in rural Canada. These are real considerations that I think merit serious consideration. The independent regulator, the CRTC, has distinct responsibilities as established under the Telecommunications Act. Those obligations provide it, in many aspects, with a fair amount of latitude to achieve the public interest objectives of the Telecommunications Act.

I felt that those issues, both regulatory and economic, which ultimately help to frame how we will get to digital infrastructure access for rural Canada, are not the same issues necessarily, or they're not entirely the same, as the public safety issues. I felt that if the study were to be done by one committee on its own, public safety in particular might end up getting short shrift. I felt that would be inappropriate. I felt that one of the most important arguments in favour of making the massive investments that are necessary, and that our government is stepping forward to make, would be on the basis of public safety considerations.

Mr. David de Burgh Graham:

Fair enough.

In terms of public safety considerations, both your riding and mine have experienced significant problems with dispatching emergency services at a time of emergency. You've described it at great length in the past. When tornadoes hit your riding, when floods hit your riding and my riding, emergency services have to come to city hall, coordinate, and go back out in the field. Can you speak to that? Is that the basis of the focus?

(1545)

Mr. William Amos:

I think for the average Canadian who's thinking about how their family in a certain small town is dealing with an emergency related to extreme weather, it's plain to see that when a local official needs to spend an extra 20 to 40 minutes driving from a particular location on the ground—during a fire or a flood or a tornado or otherwise—back to town hall in order to make the necessary phone calls, it's inefficient. It brings about unnecessary delays in providing proper emergency response.

Mr. David de Burgh Graham:

In the same vein, a lot of citizens have trouble reaching 911 because there's no service available to do so. Phone lines are no longer up. If you're in a field or in the country—our ridings have recreational areas that are tens of thousands of kilometres—there is no means for people to reach emergency services. Would you find that to be true?

Mr. William Amos:

In fact, there are areas in the riding of Pontiac where a fixed wireline service is not available, or circumstances where the fixed wireline service, due to a falling tree or otherwise, has been cut off. Yes, it does create a public safety issue, because many, many seniors in my riding don't have a cellphone. Even if they wanted one, they wouldn't have access to the cellphone service.

Absolutely there are issues, and I think it's important to address these in their totality, but to my mind, the conversation is headed mostly to the access to cellular. That's how people will most often solve the predicament they may find themselves in. I can't tell you the number of times I've had constituents come to me to say, “My car broke down. I was between location X and location Y. There was no cellphone service. I thought I was going to die.” That is a run-of-the-mill conversation in the Pontiac. In this day and age, I think we have a mature enough and wealthy enough society to address these issues if we focus on them.

Mr. David de Burgh Graham:

To your point, though, there's been a lot of confusion in the public about what motion 208 is about, because it talks about “wireless” without being too specific. In your view, this is about cellphone service, and not about broadband Internet to the same extent. This is about making sure that we can reach emergency services, that emergency services can reach each other, and that the cellphone signal we need on our back roads is available to us.

Mr. William Amos:

That's correct. My greatest concern was the cellphone aspect. In M-208, where I refer to wireless, the intention is to mean cellphone, meaning mobile wireless.

Mr. David de Burgh Graham:

When I was younger, we had cellphone service in the Laurentians through analog. When we switched to digital, we lost a lot of that service. Did you have the same experience?

Mr. William Amos:

That's going back a ways.

Mr. David de Burgh Graham:

We had a cellphone in the car in 1985, and it was worth as much as the car, but it worked, which is not the case today. In most of my area, there is no signal, and it's becoming a very serious problem for us. I'm very happy to encourage this, and I'm glad you brought it forward. I'm running out of time here.

Where have the market forces been? We're always hearing from some people that market forces can fix everything. Why have market forces not solved these problems for us?

Mr. William Amos:

Since the advent of the Internet as a mainstream technology and wireless mobile coming in to a greater extent, the decision in the early 1990s to leave the development of this infrastructure to the private sector and not to nationalize it has had consequences.

Where the return on investment for the private sector is insufficient in a large area where the density of population is low, it's clear that's going to bring about a particular result. We see it all across rural Canada: patchiness, portions where there's coverage, and portions where there's not. That unreliability of coverage has serious impacts, both on the public security side but also on the economic development side.

Nowadays, prospective homebuyers in your riding, as well as mine and so many others, will make decisions premised on a full range of factors, including whether there is good Internet and cellphone coverage. It has serious ramifications both on a public safety and an economic and sustainable growth basis. I think we need to address those.

(1550)

The Chair:

Thank you, Mr. Graham. [Translation]

Mr. Paul-Hus, you have the floor for seven minutes.

Mr. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, CPC):

Thank you, Mr. Chair.

Mr. Amos, thank you for being here.

We also consider it important to establish a better connectivity system in Canada. This is a major problem for many regions, particularly in rural areas. I am glad a Liberal member is concerned about rural areas. The receptivity was not the same when we did a study on another subject. This current receptivity will please my colleagues who live in very remote rural areas and who are facing the same problem.

You must have met with the Canadian Communication Systems Alliance, which represents telephone companies and Internet service providers in the regions. Every year, they come to us and remind us that they have to use Bell Canada or Telus towers to transmit their signals and that this is a problem. In the end, it is always about revenues, complications and agreements.

Has this factor been assessed in order to facilitate things for those companies that are already in place?

Mr. William Amos:

Thank you for the question.

In fact, the executive director of the CCSA, Mr. Jay Thomson, is a Pontiac citizen. I met him several times.

This question has been important for some years now. All regulation and competition between large and smaller companies that would like to enter the market remains a challenge. Indeed, large companies have made significant investments and want to ensure their performance. Smaller players, on the other hand, have the right to access these infrastructures, under the Telecommunications Act, and want to use them. Ensuring competition and access as objectives in the act remains a challenge for the CRTC.

Mr. Pierre Paul-Hus:

If we start at the beginning, the motion raises important questions. I don't know anything about your meetings with the Standing Committee on Industry, Science and Technology, but have you ever considered the possibility of deregulating or regulating the sector otherwise? If companies are already established across the country and are just waiting for the opportunity to connect, this may be the first effort to make before going any further and saying that the government should invest hundreds of millions of dollars.

Mr. William Amos:

There are several aspects to be assessed, starting with the success of the Telecommunications Act in achieving its objectives of competition and access, among others. There is also a need to assess the investments and tax incentives put in place in this area by successive federal governments. It would be worthwhile to focus on these two elements in all cases.

I would like to mention, however, that the investments that were made by the previous Conservative government—your government—in successive budgets were not enough to solve the problem.

Mr. Pierre Paul-Hus:

Fine.

With regard to public safety, have you assessed the current situation in Canada? Police and ambulance services already have autonomous communication systems and can therefore remain in contact during an emergency. Have you taken this into account? I believe your goal is to allow all citizens to use their phones anywhere. However, when it comes to public safety, do you know if we are well equipped?

(1555)

Mr. William Amos:

In general, these emergency services are well equipped, but there are still gaps. I had discussions again this year with the Gracefield Fire Department, which was having communication difficulties. However, when I spoke to the Canadian Armed Forces in the aftermath of the 2019 floods, they told me that their system was very functional.

What we are seeing more and more in the age of digital infrastructure, social media and technology is that anyone can help anyone. Public safety is increasingly managed by individuals and their neighbours, in collaboration with public services. It is therefore essential that everyone have access to a cellular signal.

Mr. Pierre Paul-Hus:

Have you done any research on satellite communications? The satellite phone already exists, although its use is very expensive. Have any companies already suggested ways to reduce these user costs and focus on satellite calls in some areas where 3G or LTE networks are not available? Has this possibility already been evaluated?

Mr. William Amos:

I invite the Parliamentary Secretary, Mr. Serré, to fill any gaps I may have in my answer.

Our investments in satellite communications in Budget 2019 are very significant and this approach could prove to be one of the best solutions for remote and other communities that are hard to reach using fibre optics or cellular towers.

In terms of costs and whether this is the best way to cover the whole country, I am not an expert in this field. That is why I initiated this discussion both in the Standing Committee on Industry, Science and Technology and in this committee. I can tell you that Telesat Canada appeared before the Standing Committee on Industry, Science and Technology last week and its testimony was greatly appreciated.

Mr. Pierre Paul-Hus:

Thank you.

The Chair:

Thank you, Mr. Paul-Hus.

Mr. Dubé, you have seven minutes, please.

Mr. Matthew Dubé (Beloeil—Chambly, NDP):

Thank you, Mr. Chairman.

Mr. Amos, thank you for being here and for bringing this motion forward.

So long as we're talking about the content of different motions, I'd like to know something, because I'm intrigued. Why was a study commissioned at the outset? I listened to the discussions with Mr. Graham and Mr. Paul-Hus. For your part, you talked about the work of mayors, councillors or political leaders in your community. So there seems to be a clear consensus on the problem.

Rather than asking for further study by a parliamentary committee, why not introduce a motion or bill requiring the government to make changes and take action on this issue? Such a motion would have identified the problem and the House would have asked the government to do something about it. This would have had more impact, especially since there are only about ten days left in the current parliamentary session.

Mr. William Amos:

First, the motion was introduced in November 2018, before the 2019 budget. The Connect to Innovate program, the largest rural Internet investment program in Canadian history, was already in place. The motion and other political factors have put very constructive pressure on our government and have led to several new investments. As I mentioned, it plans to invest $1.7 billion in the Universal Broadband Fund, and make other investments in satellite technology and spectrum-related public policy measures. A whole series of measures have been taken. Given the slowness of the parliamentary process—

(1600)

Mr. Matthew Dubé:

Allow me to interrupt you.

Regarding the municipal actors in our ridings, I regularly speak with Mr. Jacques Ladouceur, who is the mayor of Richelieu as well as the reeve of the Rouville RCM. If there is not much traffic, it will take you 35 or 40 minutes to get from Richelieu to Montreal. It's not very far away. It is a constituency with rural areas, but it is not necessarily a rural constituency.

M. Ladouceur told me that you can throw all the money you want out the window, but—you recognize this in part in your motion—the CRTC relies on certain rules to assess the quality of the Internet connection. I am not an expert in this field and I rely, as we all do, on local actors who know about it. The CRTC measures the quality of the Internet connection in a certain way. If there is a place on the map where there is a certain band quality, the area is not considered a priority. Thirty-five minutes from Montreal, it is conceivable that we could find a house on one range that has a good quality band, but this is not the case for the other houses, and all of them are penalized.

I thank the minister for demonstrating an openness to speak to municipal officials in my riding. The mayors in my riding recognize the problem and I have no doubt that it is the same in yours.

Why limit ourselves to saying that the government has made investments and that we will look into the matter? Why didn't you approach this more forcefully? Money is all well and good, but you need something else. You and the elected municipal officials in your riding have identified the problem. Why don't you send a message to the House that something more needs to be done, such as changing the CRTC rules?

Mr. William Amos:

I believe that the process leading to these changes—whether legislative, regulatory or fiscal—has begun. The Telecommunications Act is being reformed. I am sure that this will be the subject of important discussions during this election period and following the election. This is the right time to present concrete solutions.

Yes, we can go directly to the CRTC, and that's what we did last week. Commission representatives appeared before the Standing Committee on Industry, Science and Technology to discuss regulatory issues and its investments. Indeed, the CRTC has a $750 million fund that comes solely from telecommunications companies and not directly from taxpayers. All these discussions are taking place right now, but there is no easy solution. That is the issue. That is why I asked for these two studies. We cannot take certain things for granted. As a voter, I would like a political party to propose not one solution, but a range of solutions, whether it involves the spectrum, the tax aspect, investments or regulation.

Do we now have all the solutions to these problems? I don't think so. That is why I am opening the discussion. I believe in the potential of 338 members of Parliament who care about rural Canada.

Mr. Matthew Dubé:

My last question is similar to the one Mr. Graham asked earlier. Two studies in tandem, we don't often see that. As for public safety, I appreciate that you don't want it to be an afterthought.

That being said, are there any specific actors we should talk to? We are talking about floods, and, in particular, various equipment. What could the committee focus on to be useful in this regard? The preamble largely deals with economic and regulatory aspects, but what do you see for us?

(1605)

The Chair:

May I ask you to answer quickly, please?

Mr. William Amos:

I am thinking here of firefighters' associations, police departments, the Federation of Canadian Municipalities and other municipal groups, as well as mayors of small communities across Canada. We must listen to Canadians. To know their stories and experiences is to know the reality. I find that Parliament sometimes lacks representation from small communities. I am also thinking of the security services across the country. These were some suggestions.

The Chair:

Thank you, Mr. Dubé.

Mr. Picard, you have the floor for seven minutes.

Mr. Michel Picard (Montarville, Lib.):

Mr. Amos, you said that your fellow citizens were eager to see the establishment of a cellular telephony infrastructure. We can understand them.

How realistic are your fellow citizens about how long it will take to set up this system? This will not happen in a day or a week.

Mr. William Amos:

Honestly, this is the most difficult aspect of our work and, in this case, of mine. I know that by advocating for digital infrastructure solutions, I am open to criticism. That's for sure. People want solutions, but would have wanted them yesterday. It is not in two or three months and even less in two or three years that they want an Internet connection. They would have wanted it yesterday, and rightly so. It will be very difficult for me to get my electorate to fully consider how long it will take. However, we must start at the beginning and address this problem. For this reason, I am very pleased with the investments our government is making. With more than $5 billion over a decade, this is a serious investment.

Mr. Michel Picard:

Beyond the need, there is also the question of social acceptability. People want to have the infrastructure as soon as possible, but suffer from the "not in my backyard" syndrome.

I'll give you an example. I live 25 minutes from Montreal, between Montreal and my colleague Mr. Dubé's riding. Past the mountain, where I live, in what is an urban suburb, the cellular signal is weak or non-existent. So people who come to my house can't use their cell phones. Steps have been taken to address this very real problem, and cell phone towers will be erected in my riding and in Mr. Dubé's riding. Obviously, there will always be cases where the tower will not be in the right place, but these towers are needed. People want solutions, but they don't want the equipment they require.

What is the perception of people in your riding?

Mr. William Amos:

This kind of debate will always be ongoing. In rural areas, the discussion may be less difficult because the vast majority of my fellow citizens are in favour of these towers and accept this kind of compromise.

This question is not a new one. This is a concern that both the CRTC and Innovation, Science and Economic Development Canada have been trying to manage for years. The whole dynamic of "not in my backyard" is important and you have to manage these aspects.

The vast majority of public safety concerns arising from the lack of mobile phone services are raised in small communities far from large urban centres. Therefore, the question of not wanting a tower in your backyard is less relevant. This concern certainly remains, but it is less important.

(1610)

Mr. Michel Picard:

When it comes to infrastructure planning, setting the right priorities is key. In terms of economic drivers, cell phone and Internet service is a priority. It enables economic growth. In fact, it's a must-have. In order to do business, people need a cell phone and Internet access, without which, success is merely wishful thinking. This priority benefits the community as a whole.

We are talking about public safety, however, and the issue is whether the infrastructure to address the social, business and economic concerns raised should include bandwidth for the exclusive use of first responders in the event of a disaster, such as in the north. I remember what happened with the Fort McMurray fires. Police and firefighters weren't using the same bandwidth to communicate with one another, and, in some cases, they weren't able to communicate at all. In situations like that, having dedicated lines and matching infrastructure is necessary.

How, then, should requirements be prioritized when implementing the infrastructure?

Mr. William Amos:

That's a great question, and it's precisely why I'd like the committee to conduct a detailed study. I can tell you how I think the available spectrum should be divvied up between emergency responders and the public, but, as the member for Pontiac, I'm no expert. Although very pertinent, it's not a question I'm qualified to answer.

Mr. Michel Picard:

Do we have the means, the capacity and the authority to make companies invest in expanding their networks? Eventually, it comes down to the return on investment. In all likelihood, companies haven't set up infrastructure in rural areas because the critical mass needed to generate a return on investment isn't there.

Mr. William Amos:

Through the CRTC, the government requires telecommunications companies to invest in digital infrastructure. Two years ago, the government announced $750 million in funding over five years for that purpose, and the CRTC began receiving the first applications a week ago. The funding comes directly from the telecommunications companies.

There's a central question that needs answering, and I certainly hope the CRTC gives it some thought. Is $750 million over five years sufficient? Should it be more? The fund was announced in December 2016. Following the 2019 budget, investments in the area have gone up considerably. [English]

The Chair:

It works better when the witness pays attention to the chair.

Mr. Motz, you have five minutes.

Mr. Glen Motz (Medicine Hat—Cardston—Warner, CPC):

Thank you, Mr. Chair.

Thank you, Mr. Amos, for being here today.

You won't get any argument from me or anyone in my riding about the need for rural infrastructure and connectivity. My riding is about 30,000 square kilometres and most of it is a rural area that struggles with connectivity issues from end to end.

As one example, one of the counties had asked for $2 million from the connect to innovate funding stream that came out a year and a half or so ago, for the beginning sections of a broadband plan for their region to provide a lot of necessary services to their constituents. They got $200,000 of their $2-million ask out of the $500 million that was rolled out across the country. That was a disappointment to them and to me, but it also put them in the very tough spot of how to move forward with one-tenth of what their ask was. How do you get things done?

I know you weren't here for this, but if you compare that with the rural crime study we just did, one of the things we looked at through this rural crime study was.... It was all about public safety and there are many areas where people couldn't access law enforcement through telephone service, 911, because there wasn't the infrastructure in place to do that.

Right now some of the people in rural Canada whom I've chatted with since that study on rural crime are wondering whether.... Now we're talking about doing digital infrastructure for rural Canada, but we couldn't give the same attention to crime and it's about public safety. They're wondering about how credible the ability to roll this out actually is.

I guess my question for you, sir, is this. Beyond the connect to innovate money that's been set aside for this and has been rolled out, is there any thought to or do you have any idea of whether the infrastructure bank that's been set up by this government...or how much of that has been rolled out to rural Internet projects?

(1615)

Mr. William Amos:

Maybe I'll start with the beginning of your question. You represent a riding of 30,000 square kilometres. Pontiac is 77,000 square kilometres. We're talking about big ridings here with great needs. All of our communities across rural Canada are playing catch-up. That is the simple reality. I'm not saying this to be partisan, but it is a simple fact that the previous Harper administration did not invest sufficiently in this, and that put us behind the eight ball.

We're now coming up with government programs that put carrots in front of telecommunications companies, that create incentives to invest more; and the connect to innovate program has had a number of major successes. The funding is rolling out presently, but I think there's a recognition that we need to do so much more because of situations like the one you're pointing out. I'm sure there is more than $200,000 worth of Internet infrastructure needs in your region, and we need to get to that point. Budget 2019 is really going to help us get there.

With respect to the Infrastructure Bank, the budget was quite clear that it would be contemplated as a source of financing. I'm looking forward to Minister Bernadette Jordan, our Minister of Rural Economic Development, coming forward with a plan for a rural economic development strategy, and to her collaboration with our Minister of Infrastructure, François-Philippe Champagne, to bring forth a plan to show us how more capital can be brought to bear, because at the end of the day, it is going to be about incentivizing private sector companies or—

Mr. Glen Motz:

Is that the way forward, to get more of a P3 approach to the whole concept of this?

Mr. William Amos:

I think it's part of the solution, but I don't think it's the whole solution, because there are going to circumstances where the private sector determines that it doesn't want to invest in particular corners and there are going to be little pockets that are left alone. We have to enable regional governments or non-profits to work together to fill those gaps. That's why this is going to take time, because there's going to be a process in which companies evaluate where they want to take advantage of these incentives and to invest, and then we're going to be doing gap analysis, and then going back in and doing more work. I think this is going to be an iterative process.

The Chair:

Thank you, Mr. Motz.

Ms. Sahota, you have five minutes.

Ms. Ruby Sahota (Brampton North, Lib.):

I've given my time over to David. He has a keen interest in this subject, so I think it's only fair.

An hon. member: He has 25 more questions.

Mr. David de Burgh Graham:

I don't have as many as normal.

The Chair:

Mr. Graham, you have five minutes.

Mr. David de Burgh Graham:

Thank you.

(1620)

[Translation]

Mr. Amos, one of the bases of Quebec's forest fire protection agency—the Société de protection des forêts contre le feu, or SOPFEU—is located in your riding, in Maniwaki. Last weekend, an event was held for aviation enthusiasts, Rendez-vous aérien. It was no doubt great fun. I wish I could've been there.

The SOPFEU has a low-frequency radio service across all of Quebec. It works throughout southern Quebec, at 55° or 56° north latitude. The cell phone service is entirely high-frequency, beginning at 400 MHz and even higher.

Since you've been in Parliament, have any telecommunications companies come to you with creative solutions outside the box? The focus is always on 5G and 24 GHz. You and I will agree that 24 GHz service would be tough to implement. Have any companies ever approached you with creative solutions?

Mr. William Amos:

I must admit I'm no expert. I'm not aware of any companies providing solutions like that. I agree with what you said and with the premise of your question.

Yesterday, I had a chance to meet some people from the SOPFEU. They put on the Rendez-vous aérien event in Maniwaki, which I was delighted to attend. In the Gatineau valley, these people are heralded as heroes. They are Canadian heroes to us. I have no doubt they'll be present in Alberta and British Columbia this summer, and certainly in Quebec.

Coming back to your question, I wonder what innovative solutions would make it possible to access the various bands of the spectrum. I don't know the answer. It goes back to what Mr. Dubé said about the reason for undertaking a study like this. It can't be assumed that politicians will have the answers to technical questions. We need engineers and entrepreneurs to come up with different options so that, together, we can recommend the most promising and cost-effective solution.

Mr. David de Burgh Graham:

You and Mr. Dubé were discussing potential witnesses earlier. You mentioned firefighters associations as well as the Federation of Canadian Municipalities, among others.

Should we be looking to telecommunications companies for creative solutions? I'm talking about non-traditional players, outside the Bells and Teluses. Should we study the whole issue of spectrum, as you mentioned, to figure out whether the current system is meeting regional needs?

Mr. William Amos:

Absolutely. Those are all key questions.

Yes, the telecommunications sector is home to a range of minor players. In the Pontiac, for instance, PioneerWireless holds tremendous potential, but it can be harder for small companies to access government programs. They no doubt have some ideas to suggest. I would be grateful to the committee if it were to examine the way telecommunications companies, big and small, view public safety and their role in the solutions process.

Mr. David de Burgh Graham:

With this Parliament drawing to a close, we are running out of time. It'll basically be over next week.

If you could tell the Standing Committee on Public Safety and National Security of the 43rd Parliament something, what would it be?

Mr. William Amos:

I would start by stressing how important the issue is. Then, I would point out the need for a non-partisan approach given that there is unanimous agreement on the problem. In Canada, we do better when we tackle major issues in a non-partisan way. This issue is highly complex. It's way too easy to point fingers, assign blame and get caught up in politics. That's not what the constituents in my riding or rural Canadians, in general, need. Finally, I think it would be very helpful for the committee to recommend that the next Parliament revisit the issue. That would signal the possibility of the next Parliament taking up the issue even though we may not have time to examine it in depth.

(1625)

[English]

The Chair:

Thank you, Mr. Graham.

Mr. Eglinski, go ahead for five minutes, please.

Mr. Jim Eglinski (Yellowhead, CPC):

Thank you.

I want to thank the presenter, Mr. Amos, for presenting this. As my counterpart said here, I'm very much in favour of trying to connect this country of ours to have cell coverage.

I notice that part (iii) of the text of your motion says: (iii) continue to work with telecommunication companies, provinces, territories, municipalities, Indigenous communities and relevant emergency response organizations

That's the part of this that kind of interests me. Most provinces have set up an emergency communications program that interconnects the ambulance service, police service and fire service. That has been in place for many years across most of the country that I'm aware of.

Have you talked to or approached the provincial governments, municipal governments or territorial counterparts to see what part they thought we should play? As I see it, it cannot be done by industry alone. It is not going to give us that connectivity on its own.

Your riding is about the same size as mine, Mr. Amos. I think I have about as much uninhabited land and about the same number of municipalities and counties. I have 11 counties and they're all fighting independently to try to get this service, but it's not profitable for industry. I think there is a need for our counties, our provinces, our federal government and industry to communicate.

I'm wondering if you have had any communications within your area as to where they think we should fit in. It's a big dollar amount. The money you mentioned—the $750 million—is just scratching the surface if we're going to give Canada equal coverage from one end to the other. It's going to be in the billions. Industry has told us that realistically it's probably more like $5 billion to $7 billion to connect Canada.

I wonder if you would comment on that.

Mr. William Amos:

Thank you for your question, and I would like to thank you also for being such a great colleague. We've worked together on the environment committee, and during our trip out west we had the pleasure of enjoying a little portion of your very special and very beautiful riding. I won't forget that.

You've asked about the role of the provincial governments and what my experience has been on that front as we try to amass the funding required to get to a multi-billion dollar solution. I think you're right. I've heard different numbers; I've heard the $15 billion figure bandied about.

Regardless of that, I think one of the things that has changed since our election in 2015 is a willingness of the provinces to engage in a more serious fashion with more serious provincial investments. I can speak for the situation in Quebec, where the connect to innovate program was matched by provincial funds. In the Pontiac, I've had the opportunity to announce over $20 million in new high-speed Internet funding. All of the federal contributions were matched by provincial contributions. I'd say roughly about a bit north of 50% of the total of that $20 million was federal and provincial investments.

I think we're turning a bit of a corner in the sense that despite the fact that the jurisdiction around telecommunications is clearly understood to be federal, there's a recognition that the fiscal responsibility is simply too large for one level of government to bear.

Mr. Jim Eglinski:

If I'm hearing you correctly, in that innovation fund, I believe we gave Quebec almost $160 million. So did Quebec also invest $161 million in the last four years?

(1630)

Mr. William Amos:

I believe it was at least that. It may even have invested a little more. Perhaps Mr. Graham would have exact figures by memory. I don't have those by memory, but I'm sure I could come back with them.

Mr. Jim Eglinski:

Do you know if any of your counties have invested? I believe you have a very similar system to what I have back home, where you have a number of large counties. Are they looking at investing? Have you talked to them about that?

Mr. William Amos:

Absolutely. In fact, the riding of Pontiac has three regional municipal governments, each with roughly 15 municipalities within them. Two of those regional municipal governments partnered together and brought a submission forward and submitted it to the connect to innovate program. In the end, their project wasn't the one that was chosen, but it does go to show that this is where the projects are going to be coming from, not just from the major telecommunications companies but also from municipal governments working with small service providers, working with consultants who are advising them. This is one of the challenges that we're looking to help them with.

The Chair:

Ms. Dabrusin, you have five minutes.

Ms. Julie Dabrusin (Toronto—Danforth, Lib.):

Thank you. I'll give my time to Mr. Graham.

The Chair:

Mr. Graham, you have another five minutes.

Mr. David de Burgh Graham:

I'll take it. Yes.[Translation]

Thank you, Mr. Chair.

In the past, private companies didn't invest in digital infrastructure without some type of federal, provincial or other source of funding. You just said that Quebec funded a large chunk of the Internet service within its borders. I believe it was much more than 50% of the federal and provincial funding that came from Quebec. The province made a tremendous contribution.

What can be done to get around companies' refusal to invest before they receive government funding? Is the answer to build digital infrastructure that is entirely publicly owned?

Mr. William Amos:

Some companies would certainly argue that nationalizing the infrastructure is the way to go. I don't agree because that would be too costly for taxpayers. Taxpayers would have a very hard time covering the billions upon billions that have already been invested. However, the goal is definitely to prevent situations where investments aren't made unless government funding has been granted.

That said, we all realize how important the issue is. As I said in response to Mr. Eglinski's question, some competition is already happening. Municipal and regional governments, often in partnership with small companies, are competing with the major telecommunications players. I think it's important to ensure the competition is balanced when it comes to regional governments, small players and major companies. Of course, they are all looking for public money, whether it comes from the federal government, the CRTC, the province or some other source.

Mr. David de Burgh Graham:

Under the connect to innovate program, a company receiving federal funding has to provide public access to the system. Might a similar requirement be applied to cell phone service, if the federal or provincial government helped to build towers and the system were more accessible than required by the CRTC? Conversely, would that be even more detrimental to investment?

Telecommunications companies such as Bell, Rogers and Telus have said setting up towers isn't worthwhile because a company that doesn't have a tower jumps onto their network right away.

What is the right balance between open access and a monopoly on investment?

Mr. William Amos:

That's a highly complex issue that the CRTC is looking into. As a politician and someone who is by no means an expert, I'm hesitant to say how the commission should go about finding that balance. Technical and economic considerations are equally important in coming up with the answer. A balance is clearly needed. Canadians benefit from greater competition, but, at the same time, companies need incentives to invest in fixed infrastructure, in other words, towers and fibre optics.

Our government is trying to find that balance with a directive that encourages companies to lower prices. It is asking the CRTC to move in that direction, but it has to provide incentives, whether through the connect to innovate program or other initiatives. Incentives are needed to give the private sector a reason to invest capital in infrastructure.

(1635)

[English]

The Chair:

Thank you, Mr. Graham.

Mr. Amos, if I wanted to digitally disappear, would I move to Pontiac?

Some hon. members: Oh, oh!

Mr. Glen Motz:

Yes, we can arrange that in Ottawa.

Some hon. members: Oh, oh!

The Chair:

Yes, I know. There is a certain element on this committee that would prefer that.

Mr. William Amos:

Well, I think you might start by speaking to your social media adviser. He could eliminate your accounts, and that would cause a degree of disappearance.

No, in the Pontiac, you don't disappear. In fact, there are many, many areas of the riding of Pontiac that are well covered. In fact, Pontiac, as a riding, starts with the northern suburbs of Gatineau, where there is 100% coverage, as one would expect in any major city in Canada, but as soon as you go 20 minutes outside of Gatineau, that's not—

The Chair:

So it is possible that I could digitally disappear 20 minutes outside of Gatineau.

Mr. William Amos:

You can virtually disappear, but not within 20 minutes. You'd have to go a bit farther than that. You could—

The Chair:

This is a public safety/public security committee, and what we look at are people who are not necessarily working in the public interest, shall we say. Is there any group, or are there any groups, of people who would prefer to digitally disappear, if you will, and who in turn would create a public safety issue? I'm thinking particularly of some of the people we might have heard of in our previous study on rural crime, but is there a group that we're not thinking about that does actually create security issues?

Mr. William Amos:

Just so I can be sure that I've understood the question clearly, are you asking if there's a public interest in maintaining digital obscurity to be set aside from the predominant digital culture that we should be protecting?

The Chair: Yes.

Mr. William Amos: If there is one, they're not knocking at my doors regularly in the Pontiac—

Some hon. members: Oh, oh!

Mr. William Amos: —and the mayors and municipal councillors who represent them are not knocking on my door requesting that assistance. It is certainly quite possible in my riding to live off the grid with a reclusive lifestyle, to enjoy the benefits of the national capital and have access to an international airport and a modern transportation system and all of the amenities of urban life on a day-to-day basis and still live in the woods.

The Chair:

Does anybody actively oppose your motion?

Mr. William Amos:

Actually, there are certain individuals who have raised health concerns about cell tower frequencies. That issue is still the subject of scientific inquiry, and I think that should continue. It's important that we have that kind of research being done. They would be in the minority, the very small minority.

The Chair:

I have a final question. A lot of these rural communities are in pretty vulnerable states. There was an article a week or two ago about Huawei offering access at an inexpensive rate. That has been a subject of this committee's study over the last number of months. Do you have any opinion with respect to Huawei's offering services at supremely discounted rates to rural communities?

(1640)

Mr. William Amos:

My sense is that there are many companies that offer the technologies that Huawei offers, such as Nokia and Ericsson, to name just a couple. The national security considerations in relation to Huawei are being undertaken by our government at the highest levels. I have every faith that it will be done appropriately. I trust that process.

No matter what transpires on that ledger, we will have access in Canada to the necessary 5G technologies to build out digital infrastructure for all of rural Canada. It's just a question of which company would provide those technologies and services.

The Chair:

Okay. With that, on behalf of the committee, I want to thank you for your appearance here.

We will now adjourn.

Comité permanent de la sécurité publique et nationale

(1535)

[Traduction]

Le président (L'hon. John McKay (Scarborough—Guildwood, Lib.)):

Distingués collègues, il est 15 h 30; je constate que nous avons le quorum, et que M. Amos est présent.

Bienvenue devant le Comité, monsieur Amos.

Le Comité étudie la motion M-208 sur les infrastructures numériques en milieu rural, proposée par M. Amos, député de Pontiac.

Si vous voulez bien enchaîner avec votre déclaration, monsieur Amos, vous avez 10 minutes.

M. William Amos (Pontiac, Lib.):

Merci, monsieur le président, de même qu'à tous les membres du Comité.[Français]

Je vous remercie de m'accorder ce moment pour discuter de ce qui représente [difficultés techniques] pour mes concitoyens du Pontiac, mais aussi pour les Canadiens et les Canadiennes partout au pays. Que ce soit en région rurale ou urbaine, c'est un enjeu très important.[Traduction]

Je crois que le vote unanime en faveur de la motion témoigne clairement de l'importance de cet enjeu. Je remercie donc chacun d'entre vous, de même que vos collègues, pour votre soutien, car je crois que le vote sur la motion M-208 était rassembleur.

Quand les Canadiens en région urbaine constatent à quel point leurs concitoyens en région rurale ont du mal à obtenir ce que l'on considère aujourd'hui comme des services de télécommunications de base, soit un bon accès au réseau cellulaire et Internet haute vitesse, je crois que c'est le genre d'enjeux qui unifient le pays parce que tout le monde peut comprendre nos difficultés.

Je pense qu'il est aujourd'hui accepté qu'il faut rattraper le temps perdu en milieu rural au Canada et combler le fossé numérique. Depuis trop d'années maintenant, les compagnies privées du secteur des télécommunications négligent les investissements dans des infrastructures numériques pourtant nécessaires. À l'époque, les gouvernements n'étaient pas en mesure de comprendre la nécessité de corriger la tendance du marché.

D'une certaine façon, je me sens privilégié d'avoir pu proposer cette motion, car j'avais l'impression de simplement affirmer une évidence: pour assurer sa sécurité, un Canadien dans le Nord de l'Alberta ou dans les terres intérieures de la Colombie-Britannique qui fait face à un grave incendie de forêt, tout comme un Canadien au Nouveau-Brunswick, au Québec ou en Ontario confronté à des inondations, a le droit d'avoir accès aux infrastructures numériques que la majorité des Canadiens tiennent pour acquises.

Comme le Comité le sait très bien, la motion portait sur deux études, dont une sur les aspects économiques et réglementaires des infrastructures numériques. Ce processus avance rondement au sein du Comité permanent de l'industrie, des sciences et de la technologie. Un certain nombre de témoins ont été entendus, et les travaux se poursuivent rapidement. J'ai hâte d'en connaître les conclusions. J'ai eu l'occasion de participer aux travaux du Comité et je l'en remercie.

Je suis particulièrement heureux, monsieur le président, de constater que votre comité a jugé bon d'aller de l'avant, même si les interactions sur la question doivent être brèves, car les Canadiens de partout au pays savent qu'il est temps d'adopter des mesures qui confirment le rôle des infrastructures numériques en matière de sécurité publique.

J'essaie constamment de me faire le porte-parole des maires des petites collectivités de ma circonscription, comme David Rochon, qui est maire de Waltham, au Québec. Waltham se trouve à environ 1 h 45 de route de la Colline du Parlement. Une fois de l'autre côté du pont des Chaudières ou du Portage, on file sur la route 148. Il suffit de traverser à Gatineau et de suivre la route 148 en direction ouest. Vous ne pouvez pas vous tromper. C'est juste en face de Pembroke.

Dans cette collectivité, il n'y a pas de réseau cellulaire. Pour les quelque 300 âmes qui vivent là, cela devient extrêmement frustrant, un sentiment tout à fait justifié quand on sait que ces personnes viennent de connaître des inondations pour la deuxième fois en trois ans. Je partage leur frustration, et je me fais leur porte-parole, ici, aujourd'hui. Je suis là strictement pour parler au nom d'un groupe de maires de petites collectivités.

Je sais qu'un très grand nombre de maires à l'échelle du pays joignent leur voix à celle de leurs collègues du Pontiac. C'est pour cette raison que la Fédération canadienne des municipalités a appuyé la motion M-208, car elle est, elle aussi, à l'écoute de ces maires. C'est aussi pour cette raison que le Caucus des municipalités locales de l'Union des municipalités du Québec a appuyé cette motion, car il entend lui aussi les mêmes voix.[Français]

Il nous incombe d'aborder cet enjeu de façon directe. Je suis très heureux de voir que, depuis que la motion M-208 a été déposée devant la Chambre des communes, l'infrastructure numérique a connu un important succès, et ce, grâce au budget de 2019. Les investissements sont historiques, très concrets et très ciblés.

L'objectif est que l'ensemble du Canada ait accès à Internet à haute vitesse d'ici 2030. On vise une cible de 95 % pour 2025. Notre gouvernement est le premier à établir ce genre de cibles et à investir de telles sommes. Dans le passé, on parlait d'à peine quelques centaines de millions de dollars alors que, maintenant, il s'agit de milliards de dollars. L'enjeu est reconnu. Pour un gouvernement, cette reconnaissance passe avant tout par son budget. Notre gouvernement l'a reconnu. J'apprécie vraiment beaucoup les gestes posés par notre gouvernement libéral.

En ce qui concerne les communications sans fil et cellulaires dans le contexte de la sécurité publique, on s'entend pour dire que, dans n'importe quelle situation d'urgence, on a besoin d'un téléphone cellulaire. C'est très utile pour gérer les urgences personnelles, mais ce l'est aussi pour les fonctionnaires, les maires, les conseillers et les conseillères qui sont sur le terrain et veulent aider leurs concitoyens. Ces personnes ont besoin d'accéder à un réseau cellulaire fiable pour pouvoir entrer en contact avec leurs concitoyens et leur venir en aide.

(1540)

[Traduction]

Je vois qu'il ne me reste que deux minutes. Je vais conclure plus rapidement que cela en vous disant simplement que j'estime important d'éviter les joutes oratoires sur le sujet. Les Canadiens méritent mieux que cela. J'ai pris connaissance de la motion de l'opposition qui doit être proposée aujourd'hui. Sans vouloir manquer de respect à qui que ce soit, cette motion ne dit rien de ce que notre gouvernement a accompli, mais est strictement axée sur les problèmes, sans proposer de solution. Dans le Pontiac, les gens veulent du concret. Ils veulent savoir de quelle façon ils vont accéder à un réseau cellulaire, et vite. Ils veulent leur connexion Internet haute vitesse et l'auraient voulue hier, pas dans deux ans. Je sais que tous les députés de circonscriptions rurales, qu'ils soient conservateurs, néo-démocrates, libéraux ou d'une autre affiliation, travaillent très dur, à leur façon, pour s'assurer que cela se concrétise. Je le fais aussi. Je suis donc très heureux aujourd'hui de pouvoir attirer votre attention tout spécialement sur les aspects liés à la sécurité publique.

Je souhaite également remercier les médias locaux et nationaux qui ont traité de cet enjeu et qui savent que, en cette ère de changements climatiques et de phénomènes météorologiques extrêmes, nous avons plus que jamais besoin de nos téléphones cellulaires; nous aurons aussi un besoin grandissant d'infrastructures numériques pour assurer la sécurité des Canadiens.

Merci, monsieur le président.

Le président:

Merci, monsieur Amos.

Monsieur Graham, la parole est à vous pour sept minutes.

M. David de Burgh Graham (Laurentides—Labelle, Lib.):

Merci, monsieur le président.

Monsieur Amos, quand vous avez proposé la motion M-208, elle comportait deux volets. Un était à l'intention du comité de l'industrie, qui devait se pencher sur ces services, puis l'autre s'adressait au Comité permanent de la sécurité publique et nationale, qui devait étudier ce qui relève de la sécurité publique. Souhaiteriez-vous expliquer un peu le raisonnement derrière votre idée de confier la tâche à deux comités?

M. William Amos:

J'étais d'avis qu'il y avait indéniablement des aspects économiques à cet enjeu. Il y a des questions relatives à la concurrence. D'autres, sur la nature du rendement du capital qu'on peut investir ou non en milieu rural au Canada. Ce sont des questions légitimes qui méritent, selon moi, une étude sérieuse. Le Conseil de la radiodiffusion et des télécommunications canadiennes ou CRTC, à titre d'organe de réglementation indépendant, a des responsabilités distinctes conformément à la Loi sur les télécommunications. À bien des égards, ces obligations lui donnent passablement de latitude pour atteindre les objectifs de la loi en matière d'intérêt public.

Ces questions, qui sont à la fois réglementaires et économiques, vont ultimement nous aider à établir quel accès aux infrastructures numériques offrir aux régions rurales du pays. J'estimais donc qu'elles n'étaient pas nécessairement de la même nature, du moins pas tout à fait, que celle de la sécurité publique. Je craignais que, si l'étude était menée strictement par un comité, la sécurité publique ne devienne qu'une réflexion après coup. Et cela me semblait inapproprié. J'estimais que la sécurité publique serait l'un des arguments les plus importants en faveur d'investissements majeurs, des investissements qui sont nécessaires et que notre gouvernement a pris la décision de faire.

M. David de Burgh Graham:

Fort bien.

Pour ce qui est de la sécurité publique, votre circonscription et la mienne ont connu de graves problèmes de répartition des services d'urgence. Vous l'avez déjà décrit par le menu. Quand une tornade frappe votre circonscription, que des inondations se déclarent dans nos circonscriptions, les services d'urgence doivent se rendre à l'hôtel de ville, coordonner leurs efforts, puis retourner sur le terrain. Pouvez-vous en parler? Est-ce le fondement de l'étude sur la sécurité publique?

(1545)

M. William Amos:

Pour Monsieur ou Madame Tout-le-Monde qui songe à ses proches, installés dans une petite localité, et aux interventions d'urgence provoquées par des phénomènes météorologiques extrêmes, je pense que c'est évident: demander à un représentant local de faire de 20 à 40 minutes de route de plus pour partir d'un site précis sur le terrain et revenir à l'hôtel de ville, d'où il doit faire les appels nécessaires en cas d'incendie, d'inondations, de tornade ou d'une autre catastrophe, c'est tout sauf efficace. Cela provoque des retards indus dans les interventions d'urgence.

M. David de Burgh Graham:

Dans un même ordre d'idées, beaucoup de citoyens ont du mal à joindre le 9-1-1 parce qu'il n'y a plus de service téléphonique, plus de ligne fixe. Dans des circonscriptions comme les nôtres, où les aires de loisir couvrent des dizaines de milliers de kilomètres, si vous êtes en plein champ ou à la campagne, il n'est pas possible de joindre les services d'urgence. Êtes-vous de cet avis?

M. William Amos:

En fait, il y a des secteurs dans la circonscription de Pontiac où il n'y a pas de ligne fixe, d'autres où ce service est temporairement inaccessible en raison de la chute d'un arbre, par exemple. Oui, cela pose un risque pour la sécurité publique, car un très grand nombre d'aînés dans ma circonscription n'ont pas de téléphone cellulaire. Même s'ils en voulaient un, ils n'auraient pas accès au réseau cellulaire.

Il va sans dire qu'il y a des problèmes, et je crois qu'il est important d'y remédier en bloc, mais, à mon sens, la conversation est surtout axée sur l'accès au réseau cellulaire. C'est le plus souvent de cette façon que les gens remédient à une situation délicate. C'est incroyable le nombre de fois où des électeurs m'ont dit: « Ma voiture est tombée en panne. J'étais entre X et Y. Il n'y avait pas de réseau cellulaire. Je pensais que j'allais mourir. » C'est une conversation banale dans le Pontiac. À une époque comme la nôtre, je crois que, en tant que société, nous sommes assez riches et évolués pour remédier à ces problèmes. Il suffit de s'y mettre.

M. David de Burgh Graham:

Cela dit, pour revenir au réseau cellulaire, le public ne semble pas trop savoir sur quoi porte la motion M-208, parce qu'elle parle de télécommunications sans fil sans vraiment entrer dans les détails. De votre point de vue, elle porte sur le réseau cellulaire d'abord, puis sur le service Internet à large bande dans une moindre mesure. Elle vise essentiellement à assurer l'accès aux services d'urgence, la capacité des services d'urgence de communiquer entre eux et la présence du signal cellulaire dont nous avons besoin sur les routes secondaires.

M. William Amos:

C'est exact. Ma plus grande préoccupation était l'accès au réseau cellulaire. Dans la motion M-208, toutefois, où je parle de télécommunications sans fil, l'intention est de faire référence au cellulaire, c'est-à-dire aux services sans fil mobiles.

M. David de Burgh Graham:

Quand j'étais jeune, nous avions un réseau cellulaire analogique dans les Laurentides. Quand nous sommes passés au numérique, nous avons perdu une bonne partie de ce réseau. Avez-vous connu une expérience semblable?

M. William Amos:

Voilà qui ne date pas d'hier.

M. David de Burgh Graham:

Nous avions un cellulaire dans la voiture en 1985, et il valait autant que la voiture, mais il fonctionnait, ce qui n'est pas le cas aujourd'hui. Dans la majeure partie de ma région, il n'y a pas de signal, et c'est maintenant un grave problème pour nous. Je suis très heureux de soutenir cette motion, et que vous l'ayez proposée. Je n'ai presque plus de temps.

Pourquoi ne sent-on pas l'effet des lois du marché? Certains répètent que les lois du marché peuvent tout régler. Pourquoi n'ont-elles pas réglé ces problèmes pour nous?

M. William Amos:

Puisque Internet est aujourd'hui une technologie de masse et que les services mobiles sans fil se banalisent, la décision prise au début des années 1990 de laisser le secteur privé déployer cette infrastructure plutôt que de la nationaliser a eu des conséquences.

Quand le rendement sur le capital investi du secteur privé ne justifie pas sa présence dans une grande région où la densité de population est faible, le résultat est on ne peut plus prévisible, comme on le constate partout dans les régions rurales du pays: il y a fragmentation de la couverture, avec des zones couvertes et d'autres pas. Le manque de fiabilité de la couverture a de graves répercussions tant sur la sécurité publique que sur le développement économique.

De nos jours, les éventuels acheteurs d'une propriété dans votre circonscription, dans la mienne et dans bien d'autres, prennent leur décision en fonction d'une gamme complète de facteurs, y compris la qualité des services Internet et cellulaires. Cela a d'importantes conséquences pour la sécurité publique et une croissance économique durable. Je crois qu'il faut en tenir compte.

(1550)

Le président:

Merci, monsieur Graham.[Français]

Monsieur Paul-Hus, vous avez la parole pour sept minutes.

M. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, PCC):

Merci, monsieur le président.

Monsieur Amos, je vous remercie d'être parmi nous.

Nous considérons également qu'il est important d'établir un meilleur système de connectivité au Canada. C'est un problème majeur pour bon nombre de régions, particulièrement en milieu rural. Je suis content qu'un député libéral se préoccupe des régions rurales. La réceptivité n'a pas été la même lorsque nous avons fait une étude sur un autre sujet. La réceptivité que nous connaissons présentement fera plaisir à mes collègues qui vivent dans des régions rurales très éloignées et qui font face à ce même problème.

Vous avez sûrement rencontré les gens de la Canadian Communication Systems Alliance, qui représente les compagnies de téléphonie et les fournisseurs de services Internet dans les régions. Chaque année, ils viennent nous rencontrer et nous rappeler qu'ils doivent se servir des tours de Bell Canada ou de Telus pour transmettre leurs signaux et que cela constitue un problème. En fin de compte, il s'agit toujours de revenus, de complications et d'ententes.

Ce facteur a-t-il été évalué dans le but de faciliter les choses pour ces compagnies qui sont déjà en place?

M. William Amos:

Je vous remercie de la question.

En fait, le directeur général de la CCSA, M. Jay Thomson, est un citoyen de Pontiac. Je l'ai rencontré à plusieurs reprises.

Cette question est importante depuis quelques années déjà. Toute la réglementation et la concurrence entre les grandes compagnies et les plus petites qui voudraient entrer dans le marché demeurent un défi. En effet, les grandes compagnies ont fait des investissements importants et veulent s'assurer du rendement de ces derniers. De leur côté, les plus petits joueurs ont le droit d'accéder à ces infrastructures, en vertu de la Loi sur les télécommunications, et veulent s'en prévaloir. Assurer la concurrence et l'accès en tant qu'objectifs dans la Loi demeure un défi pour le CRTC.

M. Pierre Paul-Hus:

Si nous commençons par le début, c'est que la motion soulève des questions importantes. Je ne sais rien des rencontres que vous avez eues avec le Comité permanent de l'industrie, des sciences et de la technologie, mais avez-vous déjà évalué la possibilité de déréglementer ou de réglementer autrement le secteur? Si des compagnies sont déjà implantées partout au pays et qu'elles n'attendent que la possibilité de se connecter, c'est peut-être le premier effort à mettre avant d'aller plus loin et de dire que le gouvernement devrait investir des centaines de millions de dollars.

M. William Amos:

Il y a plusieurs aspects à évaluer, à commencer par le succès de la Loi sur les télécommunications dans l'atteinte de ses objectifs de concurrence et d'accès, parmi d'autres. Il faut également évaluer les investissements et les incitatifs fiscaux mis en place dans ce domaine par les gouvernements fédéraux qui se sont succédé. Il vaudrait la peine de mettre l'accent sur ces deux éléments dans tous les cas.

Je voudrais cependant mentionner que les investissements qui ont été faits par le gouvernement conservateur précédent — votre gouvernement — dans ses budgets successifs n'ont pas suffi à régler le problème.

M. Pierre Paul-Hus:

D'accord.

En ce qui a trait à la sécurité publique, avez-vous fait une évaluation de la situation actuelle au Canada? Les corps policiers et ambulanciers ont déjà des systèmes de communication autonomes et peuvent donc demeurer en contact en situation d'urgence. En avez-vous tenu compte? Je crois que votre objectif est de permettre à tous les citoyens de se servir de leur téléphone n'importe où. Cependant, en matière de sécurité publique, savez-vous si nous sommes bien équipés?

(1555)

M. William Amos:

En général, ces services d'urgence sont bien équipés, mais il y a toujours des lacunes. J'ai eu des discussions encore cette année avec le service des incendies de Gracefield, lequel éprouvait des difficultés de communications. En revanche, lorsque j'ai parlé aux Forces armées canadiennes dans la foulée des inondations de 2019, elles m'ont indiqué que leur système était très fonctionnel.

Ce que nous constatons de plus en plus à l'ère des infrastructures numériques, des médias sociaux et de la technologie, c'est que n'importe qui peut venir en aide à n'importe qui. La sécurité publique est gérée de plus en plus par l'individu et par ses voisins, en collaboration avec les services publics. Il est donc essentiel que tout le monde ait accès à un signal cellulaire.

M. Pierre Paul-Hus:

Avez-vous fait des recherches sur les communications par satellite? Le téléphone satellite existe déjà, bien que son utilisation soit très dispendieuse. Des entreprises ont-elles déjà suggéré des façons de diminuer ces coûts d'utilisation et de privilégier les appels par satellite dans certaines régions où les réseaux 3G ou LTE ne sont pas disponibles? Cette possibilité a-t-elle déjà été évaluée?

M. William Amos:

J'invite le secrétaire parlementaire, M. Serré, à combler tout oubli que je pourrais avoir dans ma réponse.

Nos investissements prévus dans le budget de 2019 pour les télécommunications par satellite sont très importants et cette approche pourrait s'avérer être l'une des meilleures solutions pour les communautés éloignées et difficiles à atteindre par fibre optique ou tour cellulaire.

Pour ce qui est des coûts et la question de savoir s'il s'agit de la meilleure façon de couvrir tout le pays, je ne suis pas expert dans ce domaine. C'est d'ailleurs pour cette raison que j'ai amorcé cette discussion tant au Comité permanent de l'industrie, des sciences et de la technologie qu'à ce comité-ci. Je peux vous dire que Telesat Canada a comparu devant le Comité permanent de l'industrie, des sciences et de la technologie la semaine passée et que son témoignage a été fort apprécié.

M. Pierre Paul-Hus:

Merci.

Le président:

Merci, monsieur Paul-Hus.

Monsieur Dubé, vous avez sept minutes, s'il vous plaît.

M. Matthew Dubé (Beloeil—Chambly, NPD):

Merci, monsieur le président.

Monsieur Amos, je vous remercie de votre présence et d'avoir présenté cette motion.

Tant qu'à parler du contenu de différentes motions, j'aimerais savoir quelque chose, car je suis intrigué. Pourquoi, d'entrée de jeu, a-t-on demandé une étude? J'ai écouté les échanges avec MM. Graham et Paul-Hus. Pour votre part, vous avez parlé du travail des maires, des conseillers ou des leaders politiques dans votre communauté. Il semble donc y avoir un consensus clair sur le problème.

Plutôt que demander une autre étude à un comité parlementaire, pourquoi ne pas avoir présenté une motion ou un projet de loi exigeant du gouvernement de faire des changements et d'agir dans ce dossier? Une telle motion aurait cerné le problème et la Chambre aurait demandé au gouvernement d'agir en ce sens. Cela aurait eu plus de force, d'autant plus qu'il reste seulement une dizaine de jours à la session parlementaire actuelle.

M. William Amos:

En premier lieu, la motion a été soumise en novembre 2018, c'est-à-dire avant le budget de 2019. Il y avait déjà le programme Brancher pour innover, le plus important programme de l'histoire du Canada au chapitre des investissements dans l'Internet en milieu rural. La motion et d'autres facteurs politiques ont exercé des pressions très constructives sur notre gouvernement et l'ont amené à faire plusieurs nouveaux investissements. Comme je l'ai mentionné, il prévoit investir 1,7 milliard de dollars dans le Fonds pour la large bande universelle, d'autres investissements dans la technologie satellitaire et des mesures de politique publique relativement au spectre. Toute une série de mesures a été prise. Étant donné la lenteur du processus parlementaire...

(1600)

M. Matthew Dubé:

Je me permets de vous interrompre.

Au sujet des acteurs municipaux dans nos circonscriptions, je parle régulièrement avec M. Jacques Ladouceur, qui est le maire de Richelieu ainsi que le préfet de la MRC de Rouville. S'il n'y a pas beaucoup de circulation, cela vous prendra 35 ou 40 minutes pour vous rendre de Richelieu à Montréal. Ce n'est pas très loin. C'est une circonscription où il y a des zones rurales, mais ce n'est pas forcément une circonscription rurale.

M. Ladouceur m'a dit qu'on peut lancer tout l'argent qu'on veut par la fenêtre, mais — vous le reconnaissez en partie dans votre motion — le CRTC se fonde sur certaines règles pour évaluer la qualité de la connexion Internet. Je ne suis pas un expert en la matière et je me fie, comme nous tous, aux acteurs locaux qui s'y connaissent. Le CRTC mesure la qualité de la connexion Internet d'une certaine façon. S'il y a un endroit sur la carte où il y a une certaine qualité de bande, la zone n'est pas considérée comme prioritaire. À 35 minutes de Montréal, il est concevable qu'on puisse trouver une maison dans un rang qui a une bande de bonne qualité, mais ce n'est pas le cas des autres maisons, et toutes ces dernières s'en trouvent pénalisées.

Je remercie la ministre de démontrer une ouverture à parler aux élus municipaux de ma circonscription. Les maires de ma circonscription reconnaissent le problème et je n'ai aucun doute que c'est la même chose dans la vôtre.

Pourquoi se limiter à dire que le gouvernement a fait des investissements et qu'on va se pencher sur la question? Pourquoi ne pas y avoir été avec plus de force? C'est bien beau, l'argent, mais il faut autre chose. Vous-même et les élus municipaux de votre circonscription avez cerné le problème. Pourquoi ne portez-vous pas le message à la Chambre qu'il faut faire quelque chose de plus, par exemple changer les règles du CRTC?

M. William Amos:

Je crois que le processus menant à ces changements — aussi bien législatifs que réglementaires ou fiscaux — est entamé. La Loi sur les télécommunications est en train d'être réformée. Je suis certain que cela va faire l'objet de discussions importantes en cette période électorale et à la suite de l'élection. C'est le moment opportun pour présenter des solutions concrètes.

Oui, nous pouvons nous adresser directement au CRTC et c'est ce que nous avons fait la semaine dernière. Des représentants du Conseil ont comparu devant le Comité permanent de l'industrie, des sciences et de la technologie pour discuter des aspects réglementaires et de ses investissements. En effet, le CRTC a un fonds de 750 millions de dollars qui provient uniquement de compagnies de télécommunication et non des contribuables directement. Toutes ces discussions ont lieu présentement, mais il n'y a pas de solution facile. Voilà l'enjeu. C'est la raison pour laquelle j'ai demandé ces deux études. Nous ne pouvons pas considérer que certaines choses sont acquises. En tant qu'électeur, je voudrais qu'un parti politique me propose non pas une solution, mais une gamme de solutions, qu'il s'agisse du spectre, du côté fiscal des investissements ou de la réglementation.

Avons-nous maintenant toutes les pistes de solution pour remédier à ces problèmes? Je ne le crois pas. C'est pour cette raison que j'ouvre la discussion. Je crois au potentiel de 338 députés qui ont à cœur la ruralité canadienne.

M. Matthew Dubé:

Ma dernière question rejoint celle qu'a posée M. Graham plus tôt. Deux études qui forment un tandem, on ne voit pas cela souvent. Pour ce qui est de la sécurité publique, j'apprécie que vous ne vouliez pas qu'il s'agisse d'une réflexion après coup.

Cela dit, y a-t-il des acteurs précis à qui nous devrions parler? Il est question des inondations et, notamment, des divers équipements. Sur quoi le Comité pourrait-il se pencher pour être utile en ce sens? Le préambule touche largement les aspects économiques et réglementaires, mais qu'envisagez-vous pour nous?

(1605)

Le président:

Répondez rapidement, s'il vous plaît.

M. William Amos:

Je pense ici à des associations de pompiers, à des services de police, à la Fédération canadienne des municipalités et aux autres regroupements municipaux ainsi qu'à des maires de petites collectivités situées d'un bout à l'autre du Canada. Il faut écouter les Canadiens. Connaître leurs histoires et leurs expériences, c'est connaître la réalité. Je trouve que la représentation des petites collectivités manque parfois au Parlement. Je pense aussi aux services de sécurité de l'ensemble du pays. C'était là quelques pistes.

Le président:

Merci, monsieur Dubé.

Monsieur Picard, vous avez la parole pour sept minutes.

M. Michel Picard (Montarville, Lib.):

Monsieur Amos, vous disiez que vos concitoyens étaient impatients de voir l'établissement d'une infrastructure de téléphonie cellulaire. On peut les comprendre.

Quel est le degré de réalisme de vos concitoyens quant au temps que prendra la mise sur pied de ce système? Cela ne se fera ni en un jour ni en une semaine.

M. William Amos:

Honnêtement, c'est l'aspect le plus difficile de notre travail et, en l'occurrence, du mien. Je sais qu'en militant pour obtenir des solutions concernant l'infrastructure numérique, je m'expose aux critiques. C'est certain. Les gens veulent des solutions, mais les auraient voulues hier. Ce n'est pas dans deux ou trois mois et encore moins dans deux ou trois ans qu'ils veulent une connexion Internet. Ils l'auraient voulue hier, et avec raison. Il sera très difficile pour moi d'amener mon électorat à envisager entièrement le temps que cela va prendre. Pourtant, il faut commencer par le début et s'attaquer à ce problème. Pour cette raison, je suis très heureux des investissements que fait notre gouvernement. Plus de 5 milliards de dollars étalés sur une décennie, cela constitue un investissement sérieux.

M. Michel Picard:

Au-delà du besoin, il y a aussi la question de l'acceptabilité sociale. Les gens veulent avoir les infrastructures le plus rapidement possible, mais souffrent du syndrome du « pas dans ma cour ».

Je vous donne un exemple. Je demeure à 25 minutes de Montréal, entre cette ville et la circonscription de mon collègue M. Dubé. Du côté de la montagne où j'habite, dans ce qui est pourtant une banlieue urbaine, le signal cellulaire est faible, voire inexistant. Les gens qui viennent chez moi ne peuvent donc pas se servir de leur cellulaire. Des démarches ont été entreprises pour régler ce problème très réel, et des tours de téléphonie cellulaire vont être érigées dans ma circonscription et dans celle de M. Dubé. Évidemment, il y aura toujours des cas où la tour ne sera pas au bon endroit, mais il faut ces tours. Les gens veulent des solutions, mais ils ne veulent pas l'équipement qu'elles exigent.

Quelle est la perception des gens dans votre circonscription?

M. William Amos:

Ce genre de débat aura toujours cours. En milieu rural, la discussion est peut-être moins difficile du fait que la grande majorité de mes concitoyens sont en faveur de ces tours et acceptent ce genre de compromis.

Cette question n'est pas nouvelle. C'est une préoccupation que tentent de gérer tant le CRTC qu'Innovation, Sciences et Développement économique Canada depuis des années. Toute la dynamique du « pas dans ma cour » est importante et il faut gérer ces aspects.

C'est dans de petites collectivités loin des grands centres urbains que sont soulevées la grande majorité des préoccupations de sécurité publique découlant du manque de services de téléphonie mobile. Par conséquent, la question de ne pas vouloir de tour dans son arrière-cour se pose moins. Il est sûr que cette préoccupation demeure, mais elle est moins importante.

(1610)

M. Michel Picard:

Quand on planifie la mise sur pied d'une infrastructure, il faut savoir établir des priorités. Or, la téléphonie cellulaire et l'Internet sont un vecteur économique prioritaire, un élément de croissance économique, voire une obligation. En effet, si l'on veut faire des affaires, il faut avoir un cellulaire et être branché à l'Internet. Sinon, il est illusoire d'espérer réussir. Cette priorité en est une dont bénéficie l'ensemble de la communauté.

Cependant, nous parlons ici de sécurité publique. La question est donc de savoir si, dans la planification, il faut consacrer une partie de nos efforts à répondre aux préoccupations sociales, commerciales, économiques ou industrielles tout en réservant une bande passante à l'usage exlusif des premiers répondants en cas de catastrophe, par exemple dans le Nord. Je me souviens notamment de ce qui s'était passé à Fort McMurray, où la police et les pompiers ne communiquaient pas entre eux sur la même bande et ne parvenaient parfois même pas à se parler. Dans pareil cas, il est nécessaire d'avoir des lignes dédiées et une infrastructure correspondante.

De quelle façon devrait-on alors établir les priorités lors de la mise sur pied?

M. William Amos:

C'est une très bonne question et c'est exactement la raison pour laquelle je souhaiterais que ce comité mène une étude approfondie. Je peux offrir mon avis sur la façon de partager le spectre disponible entre les services de sécurité et ceux offerts au grand public, mais le député de Pontiac n'est pas un expert en la matière. Je ne peux donc pas répondre à ce genre de question, pourtant très pertinente.

M. Michel Picard:

Avons-nous les moyens, la capacité et l'autorité d'imposer aux compagnies d'investir pour développer leurs réseaux? À un certain stade, cela soulève la question du rendement du capital investi. La raison pour laquelle on ne voit pas ces compagnies en milieu rural est probablement qu'il ne s'y trouve pas la masse critique nécessaire à ce rendement.

M. William Amos:

L'État impose aux compagnies de télécommunications d'investir dans l'infrastructure numérique par l'entremise du CRTC et a annoncé, il y a deux ans, un fonds de 750 millions de dollars sur cinq ans. Il y a une semaine, le CRTC a commencé à recevoir les premières soumissions et ces fonds proviennent directement des compagnies de télécommunications.

La question qu'il faut se poser, et je voudrais certainement que le CRTC y songe, est la suivante: cette somme de 750 millions de dollars sur cinq ans est-elle appropriée? Faudrait-il l'augmenter? Cet investissement a été annoncé en décembre 2016. Après le budget de 2019, les investissements dans ce domaine viennent d'augmenter de façon appréciable. [Traduction]

Le président:

Il est plus facile de respecter le déroulement de la séance quand le témoin tient compte de la présidence.

Monsieur Motz, vous avez cinq minutes.

M. Glen Motz (Medicine Hat—Cardston—Warner, PCC):

Merci, monsieur le président.

Merci, monsieur Amos, d'être avec nous aujourd'hui.

Ce n'est pas moi, ni qui que ce soit dans ma circonscription, qui va vous contredire sur la nécessité d'une infrastructure en milieu rural et d'une meilleure connectivité. Ma circonscription couvre environ 30 000 kilomètres carrés et est principalement rurale; les problèmes de connectivité y sont courants, partout sur le territoire.

Par exemple, un comté a demandé 2 millions de dollars au programme Brancher pour innover qui a été lancé il y a un an et demi; il souhaitait ainsi mettre en place les premiers jalons d'un plan de services Internet à large bande dans la région afin de fournir bon nombre des services dont ses résidants ont besoin. Sur les 500 millions de dollars versés à l'échelle du pays, le comté a reçu 200 000 $ des 2 millions demandés. Les responsables et moi étions certes déçus, mais cela les place aussi dans une position très délicate où ils doivent déterminer comment ils peuvent aller de l'avant avec le dixième des fonds demandés. Comment peuvent-ils faire le travail qui s'impose?

Je sais que vous n'y avez pas participé, mais si vous comparez cet enjeu à l'étude sur la criminalité en milieu rural au Canada que nous venons de faire, l'une des choses que nous avons étudiées au cours de ces travaux était... C'était la sécurité publique, et il y a beaucoup d'endroits où les gens ne peuvent pas joindre les forces de l'ordre parce qu'ils n'ont pas accès au 9-1-1, et c'est parce que l'infrastructure nécessaire n'est pas en place.

En ce moment même, des Canadiens en milieu rural avec qui j'ai échangé depuis la tenue de cette étude sur la criminalité se demandent si... Maintenant, nous parlons d'infrastructures numériques pour les régions rurales, mais nous n'avons pas réussi à accorder la même attention à la criminalité, et c'est une question de sécurité publique. Les gens se demandent à quel point il est crédible que ces infrastructures soient déployées.

En somme, ma question pour vous est la suivante: au-delà des fonds du programme Brancher pour innover qui ont été mis de côté pour cela et qui ont été versés, a-t-on envisagé de recourir à la Banque de l'infrastructure mise en place par ce gouvernement, ou savez-vous s'il est possible de l'utiliser de cette façon... ou encore quel montant a déjà été versé pour des projets de connexion Internet en milieu rural?

(1615)

M. William Amos:

Je vais peut-être commencer par répondre au début de votre question. Vous représentez une circonscription de 30 000 kilomètres carrés. La circonscription de Pontiac a une superficie de 77 000 kilomètres carrés. Nous parlons d'énormes circonscriptions dont les besoins sont importants. Toutes les collectivités rurales du Canada font du rattrapage. Voilà la simple réalité. Je ne dis pas cela pour faire preuve de partisanerie, mais la réalité est que le gouvernement Harper n'a pas investi suffisamment dans ce secteur, et nous accusons du retard.

Nous mettons maintenant en oeuvre des programmes gouvernementaux qui agitent une carotte au bout du nez des entreprises de télécommunications, qui les incitent à investir davantage, et le programme Brancher pour innover a remporté un certain nombre de succès majeurs. Les fonds sont versés en ce moment, mais je pense que nous avons conscience que nous devons prendre de nombreuses autres mesures en raison des situations comme celle que vous avez décrite. Je suis sûr que les besoins de votre région en matière d'infrastructure Internet s'élèvent à plus de 200 000 $, et nous devons parvenir à satisfaire ces besoins. Le budget de 2019 va vraiment nous aider à parvenir à ce stade.

En ce qui concerne la Banque de l'infrastructure, le budget a indiqué clairement qu'elle serait envisagée comme source de financement. J'ai hâte que la ministre Bernadette Jordan, notre ministre du Développement économique rural, présente un plan relatif à une stratégie de développement économique rural et collabore avec notre ministre de l'Infrastructure, François-Philippe Champagne, pour proposer un plan visant à nous démontrer comment des capitaux supplémentaires pourraient être affectés à ce projet parce qu'en fin de compte, la tâche consistera à inciter des entreprises du secteur privé ou...

M. Glen Motz:

L'adoption d'une approche liée davantage aux partenariats public-privé est-elle la bonne façon de faire avancer ce projet?

M. William Amos:

Je pense que cela fait partie de la solution, mais que ce n'est pas la solution en entier, parce que, dans certaines circonstances, le secteur privé décidera de ne pas investir dans certaines régions, qui seront alors laissées pour compte. Nous devons permettre aux gouvernements régionaux et aux organismes sans but lucratif de travailler ensemble à combler ces manques. C'est la raison pour laquelle cela exigera du temps. Il y aura une période pendant laquelle les entreprises évalueront les endroits où elles souhaitent tirer parti des mesures d'incitation et investir. Ensuite, nous procéderons à une analyse des manques, puis nous réexaminerons la situation et nous prendrons des mesures supplémentaires. Je pense que ce sera un processus itératif.

Le président:

Merci, monsieur Motz.

Madame Sahota, vous avez la parole pendant cinq minutes.

Mme Ruby Sahota (Brampton-Nord, Lib.):

Je cède mon temps de parole à M. de Burgh Graham. Ce sujet l'intéresse vivement. Par conséquent, je crois qu'il est juste de lui accorder plus de temps.

Une voix: Il a 25 questions de plus à poser.

M. David de Burgh Graham:

Je n'en ai pas autant que d'habitude.

Le président:

Monsieur Graham, vous avez la parole pendant cinq minutes.

M. David de Burgh Graham:

Merci.

(1620)

[Français]

Monsieur Amos, il y a une base de la SOPFEU, à Maniwaki, dans votre circonscription. La fin de semaine dernière, il y a eu le Rendez-vous aérien. C'était sûrement intéressant et j'aurais aimé être là.

La SOPFEU a un service de radio à basse fréquence qui traverse la province du Québec. Cela fonctionne dans tout le secteur sud du Québec, à 55 ou 56 degrés de latitude Nord. Tous les services cellulaires sont à haute fréquence, à partir de 400 mégahertz et même plus haut.

Depuis que vous êtes député, y a-t-il des compagnies de télécommunications qui vous ont parlé de solutions créatives et hors normes? On parle toujours du 5G et du 24 gigahertz. Entre vous et moi, le service de 24 gigahertz sera difficile à mettre en place. Vous a-t-on déjà fait part de solutions créatives?

M. William Amos:

J'avoue que je ne suis pas expert dans le domaine. Je ne connais pas d'entreprise qui offre ce genre de solutions. Je suis d'accord sur ce que vous avez dit et sur la prémisse de votre question.

Hier, j'ai eu l'occasion de rencontrer des gens de la SOPFEU. Ils ont organisé le Rendez-vous aérien, à Maniwaki, auquel j'ai eu le grand plaisir de participer. Nous considérons ces gens comme des héros dans la Vallée-de-la-Gatineau. Nous les considérons comme des héros canadiens et des héroïnes canadiennes. Je suis certain qu'ils seront en Alberta et en Colombie-Britannique cet été, et certainement au Québec.

Je reviens à votre question. Quelles sont les solutions novatrices qui permettront d'accéder aux différentes bandes du spectre? Je ne le sais pas. Cela revient à la question qu'a posée M. Dubé sur la tenue de ce genre d'étude. On ne peut pas supposer que les politiciens auront les réponses à des questions techniques. Nous avons besoin que nos ingénieurs et nos entrepreneurs nous proposent différentes options, afin de recommander ensemble les pistes qui nous semblent les plus abordables et les plus prometteuses.

M. David de Burgh Graham:

Plus tôt, vous avez discuté avec M. Dubé des autres témoins possibles. Vous avez mentionné notamment les associations de pompiers et la Fédération canadienne des municipalités, ainsi que d'autres.

Devrions-nous nous tourner vers des compagnies de télécommunication qui pourraient nous fournir des solutions créatives? Je parle ici de compagnies autres que des entreprises traditionnelles comme Bell ou Telus. Devrions-nous étudier la question du spectre, comme vous venez de le mentionner, et déterminer si le système de spectre actuel répond à nos besoins dans les régions?

M. William Amos:

Absolument. Ce sont toutes des questions très importantes.

Oui, il y a une gamme de petits acteurs dans le secteur des télécommunications. Dans le Pontiac, par exemple, la compagnie PioneerWireless a beaucoup de potentiel. Cependant, il est parfois plus difficile pour les petites compagnies d'accéder aux programmes gouvernementaux. Ces gens auront certainement des suggestions à faire. Je serais très reconnaissant envers le Comité s'il abordait la façon dont les compagnies de télécommunication — les grandes, mais aussi les petites — voient l'enjeu de la sécurité publique et la façon dont elles pourraient présenter des solutions à cet égard.

M. David de Burgh Graham:

Comme cette législature tire à sa fin, il ne reste pas beaucoup de temps. La semaine prochaine, ce sera pratiquement terminé.

Si vous pouviez envoyer un message au Comité permanent de la sécurité publique et nationale de la 43e législature, quel serait-il?

M. William Amos:

D'abord, je voudrais réitérer l'importance de cet enjeu. Ensuite, je voudrais souligner qu'il est considéré de façon unanime comme un enjeu non partisan. Je crois que les choses vont mieux, au Canada, lorsque nous nous attaquons aux grands problèmes de façon non partisane. C'est un enjeu très complexe. Il est trop facile de pointer du doigt, de blâmer les autres et de faire le jeu de la politique. Mes concitoyens et ceux de l'ensemble du Canada rural n'ont pas besoin de cela. Enfin, jetrouve qu'il serait très utile que le Comité recommande au futur Parlement de revenir sur cet enjeu. Il faudrait reconnaître que nous n'aurons peut-être pas l'occasion d'aller au bout de ce dossier, mais qu'il serait possible d'y revenir lors de la prochaine législature.

(1625)

[Traduction]

Le président:

Merci, monsieur Graham.

Monsieur Eglinski, vous avez la parole pendant cinq minutes.

M. Jim Eglinski (Yellowhead, PCC):

Merci.

Je tiens à remercier l'intervenant, c'est-à-dire M. Amos, d'avoir fait un exposé sur cet enjeu. Comme mon homologue l'a déclaré, je suis entièrement en faveur de la tentative de brancher notre pays afin de bénéficier d'une couverture cellulaire.

Je remarque que la partie (iii) du libellé de votre motion indique ce qui suit: (iii) continuer à collaborer avec les entreprises de télécommunications, les provinces, les territoires, les municipalités, les communautés autochtones et les organismes d'interventions d'urgence concernés.

C'est la partie de cette motion qui m'intéresse un peu. La plupart des provinces ont établi un programme de communications d'urgence qui relie entre eux les services d'ambulance, les services de police et les services d'incendie. À ma connaissance, ce programme est en place dans la majeure partie du pays depuis de nombreuses années.

Avez-vous parlé aux gouvernements provinciaux, aux gouvernements municipaux ou à leurs homologues territoriaux, ou les avez-vous abordés, afin de déterminer quel rôle nous devrions jouer, selon eux? D'après moi, ce travail ne peut être accompli uniquement par l'industrie. L'industrie ne nous fournira pas cette connectivité par elle-même.

Votre circonscription a environ la même dimension que la mienne, monsieur Amos. Je crois que ma circonscription comporte à peu près la même superficie de terres inhabitées et à peu près le même nombre de municipalités et de comtés que la vôtre. Ma circonscription compte 11 comtés, qui luttent tous séparément pour tenter d'obtenir ce service, mais ce n'est pas rentable pour l'industrie. J'estime qu'il faut que nos comtés, nos provinces, notre gouvernement fédéral et l'industrie communiquent entre eux.

Je me demande si les habitants de votre région ont discuté du secteur dans lequel nous devrions intervenir, selon eux. Le montant à investir est important. La somme que vous avez mentionnée, à savoir les 750 millions de dollars, est seulement un léger aperçu de l'argent qui devra être investi si nous voulons offrir au Canada une couverture égale d'un océan à l'autre. Cela coûtera des milliards de dollars. L'industrie nous a dit que, de façon réaliste, l'investissement requis pour assurer une couverture nationale serait probablement de l'ordre de 5 à 7 milliards de dollars.

Je me demande si vous pourriez formuler des observations à ce sujet.

M. William Amos:

Je vous remercie de me poser cette question. Je voudrais aussi vous remercier d'être un excellent collègue. Nous travaillons ensemble au sein du comité de l'environnement, et au cours de notre voyage dans l'Ouest, nous avons eu le plaisir de visiter une petite partie de votre circonscription, qui est magnifique et toute spéciale. Voilà une expérience que je n'oublierai pas.

Vous avez parlé du rôle des gouvernements provinciaux et m'avez interrogé sur mon expérience à ce sujet alors que nous tentons de réunir les fonds nécessaires pour acquérir une solution de plusieurs milliards de dollars. Je pense que vous avez raison. J'ai entendu divers chiffres, dont celui de 15 milliards de dollars.

Je pense néanmoins que quelque chose a changé depuis les élections de 2015: les provinces sont maintenant disposées à s'impliquer plus sérieusement en effectuant des investissements d'envergure. Je peux parler de la situation au Québec, où la province a fourni des fonds de contrepartie dans le cadre du programme Brancher pour innover. Dans le Pontiac, j'ai eu l'occasion d'annoncer des investissements de plus de 20 millions de dollars dans les services Internet à haute vitesse. Le gouvernement provincial a fourni du financement de contrepartie pour toutes les contributions du gouvernement fédéral. Je dirais que les investissements fédéraux et provinciaux constituent un peu plus de 50 % environ du montant total de 20 millions de dollars.

Je pense que nous entrons un peu dans une nouvelle ère, car malgré le fait que les télécommunications relèvent sans contredit du gouvernement fédéral, on admet que la responsabilité financière est tout simplement trop lourde pour qu'un ordre de gouvernement l'assume à lui seul.

M. Jim Eglinski:

Si je vous comprends bien, je pense que nous avons accordé près de 160 millions de dollars au Québec dans le cadre du programme Brancher pour innover. Le Québec a-t-il investi 161 millions de dollars au cours des quatre dernières années?

(1630)

M. William Amos:

Je pense qu'il a investi au moins cette somme, voire légèrement plus. M. Graham aurait peut-être les chiffres exacts en tête. Je ne les ai pas en mémoire, mais je suis certain que je pourrais vous les communiquer ultérieurement.

M. Jim Eglinski:

Savez-vous si certains de vos comtés ont investi? Je pense que votre circonscription, à l'instar de la mienne, comprend un certain nombre de grands comtés. Ces derniers cherchent-ils à investir? Avez-vous abordé le sujet avec eux?

M. William Amos:

Mais certainement. En fait, la circonscription du Pontiac compte trois administrations municipales, qui gèrent chacune une quinzaine de municipalités. Deux de ces administrations ont uni leurs forces pour présenter une soumission au programme Brancher pour innover. Leur projet n'a finalement pas été retenu, mais cela montre que les projets viendront non seulement des grandes entreprises de télécommunications, mais aussi des municipalités qui travaillent en collaboration avec de petits fournisseurs de service et des consultants qui leur prodiguent des conseils. C'est un des défis que nous voulons les aider à relever.

Le président:

Madame Dabrusin, vous disposez de cinq minutes.

Mme Julie Dabrusin (Toronto—Danforth, Lib.):

Merci. Je céderai mon temps à M. Graham.

Le président:

Monsieur Graham, vous avez cinq minutes de plus.

M. David de Burgh Graham:

Je vais certainement m'en prévaloir.[Français]

Merci, monsieur le président.

Dans le passé, les entreprises privées n'investissaient pas dans l'infrastructure numérique tant qu'il n'y avait pas une subvention fédérale, provinciale ou d'une autre source. Vous venez de dire que le Québec a subventionné en grande partie les services Internet sur son territoire. Je pense que c'est beaucoup plus que 50 % des subventions fédérales et provinciales qui venaient du Québec, qui a largement contribué à cela.

Comment peut-on contourner le problème lié au fait que les compagnies refusent d'investir avant de recevoir des subventions? Doit-on commencer à construire des infrastructures numériques entièrement publiques?

M. William Amos:

Il y a certainement des entreprises qui donneront pour argument que la nationalisation de cette infrastructure est la direction à prendre. Je n'appuie pas cette vision ou cette perspective parce que cela coûterait trop cher aux contribuables. Il serait très difficile pour les contribuables de couvrir les milliards de dollars déjà investis. Effectivement, on veut se protéger d'une situation où les investissements n'auront pas lieu tant que des subventions n'auront pas été accordées.

Cela dit, nous accordons tous à cet enjeu une grande importance. Il y a déjà une forme de concurrence, comme je l'ai dit en réponse à une question de M. Eglinski. Les municipalités et les gouvernements régionaux, souvent en collaboration avec les petites compagnies, sont en concurrence avec les grandes compagnies de télécommunications. Selon moi, il faut s'assurer qu'il y a une bonne gestion de la concurrence entre les gouvernements régionaux, les petites et les grandes compagnies. C'est sûr qu'ils seront tous à la recherche de fonds publics, qu'ils proviennent du fédéral, du CRTC, du provincial ou d'autres sources.

M. David de Burgh Graham:

Dans le programme Brancher pour innover, si une entreprise bénéficiait d'un investissement du fédéral, il fallait qu'elle donne un accès public au système. Pourrait-on envisager une exigence semblable pour les services cellulaires, si le fédéral ou le provincial contribue à la construction des tours et qu'il y a un accès plus ouvert que ce que le CRTC prévoit, ou cela nuira-t-il encore plus à l'investissement?

Des compagnies de télécommunications comme Bell, Rogers et Telus nous disent qu'il ne vaut pas la peine qu'elles installent une tour parce qu'une compagnie qui n'a pas de tour embarque immédiatement sur leur système.

Quel est l'équilibre entre un accès ouvert et un monopole d'investissement?

M. William Amos:

C'est une question très complexe que le CRTC aborde. En tant que politicien et non-expert, je suis réticent à dire comment il devrait trouver cet équilibre. C'est une question tant technique qu'économique. Il faut certainement trouver un équilibre. Il est dans l'intérêt des Canadiens qu'il y ait une concurrence accrue, mais, en même temps, il faut encourager les compagnies à investir dans des infrastructures fixes, c'est-à-dire dans les tours et la fibre optique.

Je crois que notre gouvernement essaie de trouver cet équilibre avec une directive qui pousse les compagnies à baisser leurs prix. Il demande au CRTC d'aller dans ce sens, mais, en même temps, il doit offrir des incitatifs, que ce soit par l'entremise du programme Brancher pour innover ou par d'autres programmes. Il faut des incitatifs pour donner de bonnes raisons aux entreprises privées d'investir des capitaux dans cette infrastructure.

(1635)

[Traduction]

Le président:

Merci, monsieur Graham.

Monsieur Amos, si je voulais disparaître numériquement, devrais-je déménager dans le Pontiac?

Des députés: Ha, ha!

M. Glen Motz:

Oui, nous pouvons organiser le tout à Ottawa.

Des députés: Ha, ha!

Le président:

Oui, je sais. Il y a au sein du Comité un certain élément qui préférerait cela.

M. William Amos:

Eh bien, je pense que vous pourriez commencer par parler avec votre conseiller en médias sociaux. Il pourrait effacer vos comptes, ce qui vous ferait disparaître quelque peu.

Non, vous ne disparaîtrez pas dans le Pontiac. En fait, cette circonscription comprend un très grand nombre de régions bien servies. Elle commence dans les banlieues nord de Gatineau, qui sont servies à 100 %, comme on pourrait s'y attendre dans une grande ville du Canada, mais dès qu'on est à 20 minutes de Gatineau, ce n'est pas...

Le président:

Je pourrais donc disparaître numériquement à 20 minutes de Gatineau.

M. William Amos:

Vous le pouvez, mais pas à 20 minutes. Vous devriez aller un peu plus loin. Vous pourriez...

Le président:

Notre comité de la sécurité publique s'intéresse à des personnes qui ne travaillent pas nécessairement dans l'intérêt public, si l'on peut dire. Est-ce que certains groupes préféreraient disparaître numériquement, si l'on veut, créant ainsi un problème de sécurité publique? Je pense notamment à certaines des personnes dont nous avons peut-être entendu parler dans le cadre de notre étude précédente sur la criminalité en région rurale, mais est-ce qu'un groupe auquel nous ne pensons pas constitue un problème de sécurité publique?

M. William Amos:

Juste pour être certain de bien comprendre la question, me demandez-vous si certains ont intérêt à maintenir l'obscurité numérique afin de se tenir à l'écart de la culture numérique prédominante que nous devrions protéger?

Le président: Oui.

M. William Amos: S'il existe de telles personnes, elles ne viennent certainement pas frapper à ma porte dans le Pontiac...

Des députés: Ha, ha!

M. William Amos: ... et les maires et les conseillers municipaux ne viennent pas me voir pour réclamer de l'aide. Dans ma circonscription, il est certainement possible de vivre en dehors du réseau en menant une vie de reclus, profitant des avantages de la capitale nationale, ayant accès à un aéroport international et à un réseau de transport moderne et jouissant de tous les bonheurs de la vie urbaine quotidiennement, tout en vivant dans les bois.

Le président:

Est-ce que quelqu'un s'oppose activement à votre motion?

M. William Amos:

De fait, certaines personnes ont soulevé des préoccupations en matière de santé au sujet des fréquences émises par les stations cellulaires. La question fait toujours l'objet de recherches scientifiques, et je pense que ces recherches devraient se poursuivre, car il est important qu'elles soient réalisées. Ce n'est qu'une infime minorité qui s'oppose à la motion.

Le président:

J'ai une dernière question. Nombre de communautés rurales se trouvent en situation de grande vulnérabilité. Selon un article paru il y a une ou deux semaines, Huawei offre l'accès à bas prix. Notre comité se penche d'ailleurs sur la question depuis quelques mois. Avez-vous une opinion sur les services que Huawei propose aux communautés rurales à des taux suprêmement bas?

(1640)

M. William Amos:

Il me semble que de nombreuses entreprises — comme Nokia et Ericsson, pour n'en nommer que quelques-unes — proposent les technologies que Huawei offre. Les hautes instances de notre gouvernement étudient les questions de sécurité nationale que soulève cette entreprise. Je suis convaincu que tout sera fait dans les règles de l'art. Je fais confiance au processus.

Peu importe ce qu'il se passe de ce côté, le Canada aura accès aux technologies 5G nécessaires pour construire des infrastructures numériques dans toutes ses régions rurales. Il ne s'agit plus que de trouver l'entreprise qui fournira ces technologies et les services.

Le président:

D'accord. Sur ce, au nom du Comité, je vous remercie d'avoir comparu.

La séance est levée.

Hansard Hansard

committee hansard secu 17175 words - whole entry and permanent link. Posted at 22:44 on June 10, 2019

2019-06-03 SECU 166

Standing Committee on Public Safety and National Security

(1530)

[English]

The Chair (Hon. John McKay (Scarborough—Guildwood, Lib.)):

I'm calling this meeting to order.

I want to thank Minister Goodale for his presence. He is here to talk about the main estimates.

Before he starts, I want to note that this is possibly the last time the minister will appear before this particular committee. On behalf of the committee, I want to thank him not only for his attendance here, but for his willingness to co-operate with the committee and to review all of the amendments that have been put forward by this committee to him, and his willingness to accept quite a high percentage of them.

Minister, I want to thank you for your co-operation and for your relationship with the committee.

With that—

Mr. David de Burgh Graham (Laurentides—Labelle, Lib.):

You mean in this Parliament, right?

The Chair:

Pardon?

Mr. David de Burgh Graham: You mean in this Parliament, right?

The Chair: Yes, in this Parliament. We're not going back to the days of Laurier or anything of that nature.

Mr. David de Burgh Graham: It's not the last time ever.

The Chair:

No. Thank you.

Minister.

Hon. Ralph Goodale (Minister of Public Safety and Emergency Preparedness):

Mr. Chairman, thank you for your very kind remarks. They are much appreciated, and I'm glad to be back with the committee once again, this time, of course, presenting the 2019-20 main estimates for the public safety portfolio.

To help explain all of those numbers in more detail and to answer your questions today, I am pleased to be joined by Gina Wilson, the new deputy minister of Public Safety Canada. I believe this is her first appearance before this committee. She is no stranger, of course, in the Department of Public Safety, but she has been, for the last couple of years, the deputy minister in the Department for Women and Gender Equality, a department she presided over the creation of.

With the deputy minister today, we have Brian Brennan, deputy commissioner of the RCMP; David Vigneault, director of CSIS; John Ossowski, president of CBSA; Anne Kelly, commissioner of the Correctional Service of Canada; and Anik Lapointe, chief financial officer for the Parole Board of Canada.

The top priority of any government, Mr. Chair, is to keep its citizens safe and secure, and I'm very proud of the tremendous work that is being done by these officials and the employees who work following their lead diligently to serve Canadians and protect them from all manner of public threats. The nature and severity of those threats continue to evolve and change over time and, as a government, we are committed to supporting the skilled men and women who work so hard to protect us by giving them the resources they need to ensure that they can respond. The estimates, of course, are the principal vehicle for doing that.

The main estimates for 2019-20 reflect that commitment to keep Canadians safe while safeguarding their rights and freedoms. You will note that, portfolio-wide, the total authorities requested this year would result in a net increase of $256.1 million for this fiscal year, or 2.7% more than last year's main estimates. Of course, some of the figures go up and some go down, but the net result is a 2.7% increase.

One key item is an investment of $135 million in fiscal year 2019-20 for the sustainability and modernization of Canada's border operations. The second is $42 million for Public Safety Canada, the RCMP and CBSA to take action against guns and gangs. Minister Blair will be speaking in much more detail about the work being done under these initiatives when he appears before the committee.

For my part today I will simply summarize several other funding matters affecting my department, Public Safety Canada, and all of the related agencies.

The department is estimating a net spending decrease of $246.8 million this fiscal year, 21.2% less than last year. That is due to a decrease of $410.7 million in funding levels that expired last year under the disaster financial assistance arrangements. There is another item coming later on whereby the number goes up for the future year. You have to offset those two in order to follow the flow of the cash. That rather significant drop in the funding for the department itself, 21.2%, is largely due to that change in the DFAA, for which the funding level expired in 2018-19.

There was also a decrease of some $79 million related to the completion of Canada's presidency of the G7 in the year 2018.

These decreases are partially offset by a number of funding increases, including a $25-million grant to Avalanche Canada to support its life-saving safety and awareness efforts; $14.9 million for infrastructure projects related to security in indigenous communities; $10.1 million in additional funding for the first nations policing program; and $3.3 million to address post-traumatic stress injuries affecting our skilled public safety personnel.

(1535)



The main estimates also reflect measures announced a few weeks ago in budget 2019. For Public Safety Canada, that is, the department, these include $158.5 million to improve our ability to prepare for and respond to emergencies and natural disasters in Canada, including in indigenous communities, of which $155 million partially offsets that reduction in DFAA that I just referred to.

There's also $4.4 million to combat the truly heinous and growing crime of child sexual exploitation online.

There is $2 million for the security infrastructure program to continue to help communities at risk of hate-motivated crime to improve their security infrastructure.

There is $2 million to support efforts to assess and respond to economic-based national security threats, and there's $1.8 million to support a new cybersecurity framework to protect Canada's critical infrastructure, including in the finance, telecommunications, energy and transport sectors.

As you know, in the 2019 federal budget, we also announced $65 million as a one-time capital investment in the STARS air rescue system to acquire new emergency helicopters. That important investment does not appear in the 2019-20 main estimates because it was accounted for in the 2018-19 fiscal year, that is, before this past March 31.

Let me turn now to the 2019-20 main estimates for the other public safety portfolio organizations, other than the department itself.

I'll start with CBSA, which is seeking a total net increase this fiscal year of $316.9 million. That's 17.5% over the 2018-19 estimates. In addition to that large sustainability and modernization for border operations item that I previously mentioned, some other notable increases include $10.7 million to support activities related to the immigration levels plan that was announced for the three years 2018 to 2020. Those things include security screening, identity verification, the processing of permanent residents when they arrive at the border and so forth—all the responsibilities of CBSA.

There's an item for $10.3 million for the CBSA's postal modernization initiative, which is critically important at the border. There is $7.2 million to expand safe examination sites, increase intelligence and risk assessment capacity and enhance the detector dog program to give our officers the tools they need to combat Canada's ongoing opioid crisis.

There's also approximately $100 million for compensation and employee benefit plans related to collective bargaining agreements.

Budget 2019 investments affecting CBSA main estimates this year include a total of $381.8 million over five years to enhance the integrity of Canada's borders and the asylum system. While my colleague Minister Blair will provide more details on this, the CBSA would be receiving $106.3 million of that funding in this fiscal year.

Budget 2019 also includes $12.9 million to ensure that immigration and border officials have the resources to process a growing number of applications for Canadian visitor visas and work and study permits.

There is $5.6 million to increase the number of detector dogs deployed across the country in order to protect Canada's hog farmers and meat processors from the serious economic threat posed by African swine fever.

Also, there's $1.5 million to protect people from unscrupulous immigration consultants by improving oversight and strengthening compliance and enforcement measures.

I would also note that the government announced through the budget its intention to introduce the legislation necessary to expand the role of the RCMP's Civilian Review and Complaints Commission so it can also serve as an independent review body for CBSA. That proposed legislation, Bill C-98, was introduced in the House last month.

(1540)



I will turn now to the RCMP. Its estimates for 2019-20 reflect a $9.2-million increase over last year's funding levels. The main factors contributing to that change include increases of $32.8 million to compensate members injured in the performance of their duties, $26.6 million for the initiative to ensure security and prosperity in the digital age, and $10.4 million for forensic toxicology in Canada's new drug-impaired driving regime.

The RCMP's main estimates also reflect an additional $123 million related to budget 2019, including $96.2 million to strengthen the RCMP's overall policing operations, and $3.3 million to ensure that air travellers and workers at airports are effectively screened on site. The increases in funding to the RCMP are offset by certain decreases in the 2019-20 main estimates, including $132 million related to the completion of Canada's G7 presidency in 2018 and $51.7 million related to sunsetting capital infrastructure projects.

I will now move to the Correctional Service of Canada. It is seeking an increase of $136 million, or 5.6%, over last year's estimates. The two main factors contributing to the change are a $32.5-million increase in the care and custody program, most of which, $27.6 million, is for employee compensation, and $95 million announced in budget 2019 to support CSC's custodial operations.

The Parole Board of Canada is estimating a decrease of approximately $700,000 in these main estimates or 1.6% less than the amount requested last year. That's due to one-time funding received last year to assist with negotiated salary adjustments. There is also, of course, information in the estimates about the Office of the Correctional Investigator, CSIS and other agencies that are part of my portfolio. I simply make the point that this is a very busy portfolio and the people who work within Public Safety Canada and all the related agencies carry a huge load of public responsibilities in the interests of public safety. They always put public safety first while at the same time ensuring that the rights and freedoms of Canadians are properly protected.

With that, Mr. Chair, my colleagues and I would be happy to try to answer your questions.

(1545)

The Chair:

Thank you, Minister.

With that, Mr. Picard, go ahead for seven minutes. [Translation]

Mr. Michel Picard (Montarville, Lib.):

Thank you, Mr. Chair.

I want to welcome Minister Goodale and everyone who has joined us. Thank you for participating in this exercise once again.

First, I'll talk about my favourite subject, which is financial crime. If I combine the funding from the RCMP and Public Safety and Emergency Preparedness Canada, the total is just over $7 million in investments — [English]

Hon. Ralph Goodale:

There's no translation coming through.

Mr. Michel Picard:

Let's look at the money-laundering aspect of the estimates. Combined Public Safety and RCMP is about $7 million more.

What kind of improvement are we looking for? Is it just the money-laundering unit or is it IM/IT as well and other units working closely with financial crimes and/or terrorism financing?

Hon. Ralph Goodale:

Let me ask Deputy Commissioner Brennan to comment.

Mr. Michel Picard:

Thank you.

Hon. Ralph Goodale:

Incidentally, he is brand new on the job, just in the last number of months, but he will get used to the very pleasant experience of committee hearings of the House of Commons.

Deputy Commissioner Brian Brennan (Contract and Indigenous Policing, Royal Canadian Mounted Police):

Thank you, Minister and Chairman.

The increase in funding would go to all of those areas. I'm not in a position to speak specifically to the numbers, exactly where all the dollars will go, but that investment is intended to increase our investigational capability and to support systems needed around those types of very specific investigations.

Hon. Ralph Goodale:

If I could add to that, Monsieur Picard, the estimates show $4.1 million going to the RCMP directly for enhanced federal policing capacity. There's about $819,000 to Finance Canada to support its work related to money laundering. There's $3.6 million to FINTRAC to strengthen operational capacity. There's $3.28 million to the Department of Public Safety to create the anti-money laundering action, coordination and enforcement team, which is an effort to bring all of these various threads more coherently together so that everybody is operating on exactly the same page with the greatest efficiency and inter-agency co-operation.

Mr. Michel Picard:

Thank you, sir.

With respect to CSIS and the Canadian strategy with respect to the Middle East, what do we have to change in our strategy? What doesn't work or what has to be changed?

Also, with respect to recent events here and close to us, the Middle East doesn't seem to be the only nature of the threats we have, so why the focus on the Middle East?

Hon. Ralph Goodale:

David.

Mr. David Vigneault (Director, Canadian Security Intelligence Service):

Thank you, Minister.

Specifically, it's our effort to support the whole-of-government approach to the Middle East operations, the military and diplomatic operations in Syria and Iraq. The monies you see here for the main estimates are the specific allocations for CSIS to support those activities. We do intelligence collection in the region and here in Canada to support that activity.

Also, on your question, the focus of this estimate was on the Middle East, but as you pointed out, Mr. Picard, we are obviously concerned about activities and terrorism all over the world, not just in the Middle East.

(1550)

Mr. Michel Picard:

Thank you.

Hon. Ralph Goodale:

Monsieur Picard, could I add just one small anecdote?

I had the opportunity at an earlier stage to have a discussion with the person who was then the U.S. Secretary of Defense with respect to the the change that had been made in Canada's deployment in the Middle East with respect to the international coalition against Daesh. I noted the very significant increase in the investment we were making with respect to intelligence activities. The U.S. secretary commented very favourably on the work by Canadians in that particular zone, particularly the intelligence work, which he indicated was first class and very helpful to all members of that coalition in dealing effectively with the threats posed by Daesh.

Mr. Michel Picard:

This is my first experience and my first mandate, and I understand that we have to justify why we spend money. My next question would be why we don't spend a specific amount of money on a specific topic, so we'd be justifying to spend more money.... In terms of infrastructure on cyber-threats, I see that we have more than $1.7 million for cyber-threats. My concern is not that we have money for cyber-threats; it's that we don't have money anywhere else.

Based on what we've studied on democratic institutions, ethics and public information here, on cyber-threats and financial crimes, this subject was all over the place. People are getting scared in learning what we learn day in and day out about this threat, which is multi-faceted. I don't see anything about this topic specifically in this budget, so would you please take this chance to explain?

Hon. Ralph Goodale:

I would be happy to, Monsieur Picard, because it is quite possible for people to look at that one number, $1.8 million, and wonder how that covers the field. Well, it doesn't. This is one little snapshot of one portion of the spending that we are devoting to the whole cause of cybersecurity.

Through our last two or three budgets, we have included a series of investments. They of course roll forward through the estimates process, but you actually need to examine the sections of the budget that lay out the more complete picture.

Through various departments, we are investing, through the budget last year, $750 million to enhance cybersecurity in Canada. A portion of that creates the new cyber response centre. A portion of that creates the new cybercrime unit within the RCMP. There is a whole series of investments to enhance our approach to cybercrime and cybersecurity.

In the last budget, the key investment was $145 million, of which this is the first very small tranche, to support the security of our critical cyber-systems. We have identified four in particular: finance, telecommunications....

Remind me of what they are. I want to make sure I get the four critically....

The Chair:

We can come back to that. Mr. Picard is well over time.

Hon. Ralph Goodale:

I'm trying to recite the budget speech.

There are four particular areas in which we will be investing to support new legislation that will require certain standards of these critical sectors and create the enforcement mechanisms to make sure those standards are met. It is so vital, Mr. Picard, that our critical cyber-systems protect themselves and employ all the procedures that are necessary to keep themselves safe and secure. We are creating the legislative framework to make sure that happens, with the right kind of enforcement mechanisms backing it up and the funding, of which the $1.8 million is just the very first small tranche. We'll make sure that these systems are indeed safe and secure with the right enforcement to enforce the requirements.

(1555)

The Chair:

Thank you, Minister Goodale, for that lengthy response.

Mr. Paul-Hus, go ahead for seven minutes. [Translation]

Mr. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, CPC):

Thank you, Mr. Chair.

Good afternoon, Minister Goodale and everyone who has joined us.

Minister Goodale, my question concerns several of your agencies. It relates to the information broadcast by the Quebec media, particularly TVA, regarding the Mexican drug cartels doing business in Canada. This morning, I met with His Excellency Mr. Camacho, the Mexican ambassador to Canada. We discussed the situation.

I know that you were already asked about this during the oral question period, and you responded that the information was false. I want to find out what you know and what's really being done in Canada to deal with the Mexican cartels. Canada does business with Mexico, one of its largest partners and a friend. We're not focusing on Mexico here, but on the people who come to Canada with a Mexican passport to work for the Mexican drug cartels. We want to deal with these people. How are we dealing with them? [English]

Hon. Ralph Goodale:

I appreciate the question, Monsieur Paul-Hus. It is important to get accurate information in the public domain. The figures that you have referred to in certain media outlets are figures that have been very perplexing to CBSA because they have not been able to verify where that arithmetic came from. Mr. Ossowski may well want to comment on this, because over the last number of days he has had his officials in CBSA scouring the records to see where this arithmetic originates, and it simply cannot be verified.

What I can tell you is that CBSA has determined that the number of inadmissibility cases for all types of criminality by Mexican foreign nationals during the period of the last 18 months, from January 2018 until now, is 238. Of these 238, only 27 were reported to be inadmissible due to links to known organized criminality, three of which were for suspected links to cartels.

The real numbers are substantially lower than the numbers that have been referred to in the media. All 27 of those people who were reported to be inadmissible due to links to organized criminality have been removed from Canada. They are no longer in the country. [Translation]

Mr. Pierre Paul-Hus:

Thank you for your response, Minister Goodale.

The fact remains that one individual has been clearly identified. Why was this person, whom Mexico has identified as a criminal, able to cross our border? Don't the two countries share information on everyone arriving in Canada? Since Mexico has identified this person as a criminal, isn't that information entered in a database? What process does CBSA follow? [English]

Hon. Ralph Goodale:

All of the proper checks in terms of identity, records, background immigration issues and criminality have been done thoroughly by CBSA at the border.

Mr. Ossowski, can you comment on the specific individual that Mr. Paul-Hus is referring to?

Mr. John Ossowski (President, Canada Border Services Agency):

Thank you.

I would just say that, in the first instance, I think it's important to understand the layers of security. We work in airports and with Mexican officials in Mexico to, first, try to prevent people from even getting on flights to Canada if they don't have the proper documentation or if there are any concerns in terms of misrepresentation or criminality. That being said, if they do arrive and there are concerns, our officers are very well trained to deal with those upon arrival. They could be allowed to leave at that point, if they stay at the airport until the next flight and then go home. If they do come in and we suspect that there is some work that we need to do, we will check in secondary inspection for any criminality.

During that same reporting period, I can say that we found 18 people who had used fraudulent travel documents and whom we were able to prevent from entering. There are layers of security.

With respect to that specific individual, he has been removed from the country.

(1600)

[Translation]

Mr. Pierre Paul-Hus:

I understand that you can have this information in advance since I know that there are officers in Mexico and agreements with that country. Thousands of Mexicans come to Canada. Aren't there adequate computer mechanisms in CBSA's systems? Isn't passport data available, especially for convicted criminals? Isn't there an exchange of information on these criminals, a bit like Interpol? [English]

Mr. John Ossowski:

I think it's important to understand the differences. With Mexico, visas are not required in order to come to Canada. We lifted the visa requirement a couple of years ago. They travel now on what's called the electronic travel authorization program. That's a lighter touch in terms of criminality.

As I mentioned, if they arrive and there are some concerns or some indicators, we do those criminal checks at the port of entry upon their arrival. [Translation]

Mr. Pierre Paul-Hus:

Thank you.

Minister Goodale, on May 10, a fuel tanker collided with an aircraft at Pearson airport. The Globe and Mail informed us that the vehicle had made three attempts to crash into the plane. Peel police are conducting the investigation. However, the situation is very suspicious and the incident could constitute a deliberate attack. Do you have more information on the matter? [English]

Hon. Ralph Goodale:

There's no information that I'm in a position to share at this time, Mr. Paul-Hus, with respect to that particular incident. I would, however, undertake to see if there is some further detail that I can share with you, as a colleague in the House of Commons. I will inquire and determine what information can be put into the public domain.

The Chair:

Thank you for that, Mr. Paul-Hus and Minister.

Mr. Dubé, go ahead for seven minutes, please. [Translation]

Mr. Matthew Dubé (Beloeil—Chambly, NDP):

Thank you, Mr. Chair.

I want to thank all the witnesses for joining us today.

Minister Goodale, we met with David McGuinty when he presented the first annual report of the National Security and Intelligence Committee of Parliamentarians. I forget the exact part of the report and please forgive me, but the report stated that the amounts spent on national security couldn't be disclosed.

Nevertheless, the report provided the amounts and the division of the amounts for Australia. When I pointed out this contradiction to Mr. McGuinty, he confirmed that the committee members had raised the issue with the officials giving the presentation. However, the committee members were told that it was a matter of national security and that the information couldn't be disclosed.

I was wondering whether you could clarify why Australia, an ally and member of the Five Eyes, feels that its expenses can be disclosed, but not Canada. [English]

Hon. Ralph Goodale:

Our concern, Monsieur Dubé, is with providing information in the public domain that could, in fact, reveal sensitive and very critical operational details of the RCMP, CSIS or CBSA in a way that would compromise their ability to keep Canadians safe.

The information can be shared in the context of the National Security and Intelligence Committee of Parliamentarians. It would also be available to the new national security and intelligence review agency, which will be created under Bill C-59. Those are classified environments in which members of Parliament around the table have the appropriate clearance level. It's more difficult to share that information here. [Translation]

Mr. Matthew Dubé:

I understand that the information is classified and that certain limits must be imposed. I don't want to go on about this issue too much, because I have questions regarding other topics. However, as I said, Australians disclose this information, as stated in the report.

Mr. McGuinty told us that the National Security and Intelligence Committee of Parliamentarians hadn't received an adequate response regarding this matter. Why is there a difference between Canada and Australia? I understand the applicable mechanisms. However, your reasoning seems to contradict the reasoning of the Australians.

(1605)

[English]

Hon. Ralph Goodale:

Well, far be it from me to be critical of the Australians, but we have our own Canadian logic, and our obligation here is to protect the public safety and national security of Canadians.

Monsieur Dubé, I would simply encourage Mr. McGuinty and the National Security and Intelligence Committee of Parliamentarians to pursue this issue with the various security agencies, which they have the authority to do under the legislation, to secure the information that they believe they need. I would encourage the agencies to be forthcoming—

Mr. Matthew Dubé:

Minister, I'm going to have to interrupt you, because my time is limited and this is probably the only round I'll get to ask you questions.

I just want to say that I do think it's an important thing to raise, because on expenditures there's a particular role for all parliamentarians to play beyond just the committee with clearance, where it can pertain more to operational details. Money is a whole different game, as Monsieur Picard was alluding to in his questions about the role that even we can play as those around this table at this committee.

On that note, I do want to move on to CBSA and the CRCC. We know that Bill C-98 is before the House. I'm wondering if you can clarify. There's $500,000 for CBSA and there's $420,000 for CRCC. I have two questions about that.

One, is that all the money that's going to come out of the Bill C-98 mechanism, or is there more money following that to implement those measures? Two, what explains that discrepancy? If it's $500,000 for CBSA, are they doing the work internally for review and oversight, or is that going to be sent off back to CRCC once Bill C-98 has become law?

Hon. Ralph Goodale:

Again, the numbers that are in this set of estimates are the initial snapshot, a one-year slice, of the beginning of a process. This is a very significant process. Where the CRCC has previously, as you know, totally focused on the RCMP, we will now be broadening the agency. It will continue its review function with respect to the RCMP, but it will also assume responsibility for the review function with respect to CBSA.

The expectation is that for any complaint the public has with respect to officer behaviour or a particular situation that developed at the border, or some other topic such as the handling of detention, for example, a complaint could be filed with this new expanded body, and they would have the complete jurisdiction to investigate that complaint from the public.

Mr. Matthew Dubé:

Well, with all due respect, it's better late than never, and I certainly hope it has time to pass before Parliament rises.

Hon. Ralph Goodale:

So do I, Mr. Dubé.

Mr. Matthew Dubé:

My last question is on vote 15, which talks about “economic-based national security threats” as part of CSIS's mandate. What is an economic-based national security threat in the context of what you're allowed to tell us here today?

Hon. Ralph Goodale:

Well, I could give my layman's explanation of that.

David, would you like to provide the official definition?

Mr. David Vigneault:

Yes. Thank you, Minister.[Translation]

Thank you, Mr. Dubé.[English]

Essentially, this is related to overall foreign investment into the country when we're looking at a different country's different state-owned enterprises, different entities, trying to invest in greenfield investment here in Canada.

It's the ability for the service to contribute to the efforts of the national security community to assess if there are any national security links to these transactions. Sometimes it's because of ownership. Sometimes it's because of the nature of the technology that might be acquired. It's our overall ability to investigate and produce the right analysis to support the decision-making of Public Safety, other agencies and ultimately the cabinet, under the Investment Canada Act.

The Chair:

Thank you, Mr. Dubé.

Mr. Spengemann, please, for seven minutes.

Mr. Sven Spengemann (Mississauga—Lakeshore, Lib.):

Thank you, Mr. Chair.

Minister Goodale, we're coming up on the end of the parliamentary term. I just want to take a moment to thank you and your senior team, on behalf of the people of Mississauga—Lakeshore, the riding I represent, for your work and through you, the women and men, the members of our civil service, who do this incredibly important work in public safety and national security day by day.

A couple of days ago I had an opportunity to meet with a group of amazing grades 7 and 8 students at Olive Grove School, which is an Islamic school in my riding. It was part of CIVIX Canada's Rep Day, which is a day to bring elected representatives into the classroom.

There was a great discussion. One of the points we discussed was violent crime, and specifically gun violence. I know Minister Blair will be with us later on. We straw polled the students on the issues that are of importance, and when it came to gun violence and violent crime, almost every hand went up among grades 7s and 8s.

We have a $2-million commitment towards a program to protect community gathering places from hate-motivated crimes, but we also have the Canada Centre for Community Engagement and Prevention of Violence. What are we doing at the moment with respect to addressing the root causes of violent crime, and also to make sure there is a level of security for grades 7 and 8 students who belong to a faith-based school so that they feel safe when they study in their community and in their centre of learning?

(1610)

Hon. Ralph Goodale:

That's a very important question, Mr. Spengemann, and there are several answers to that.

Thank you for flagging the good work of the Canada community outreach centre within my department. Their whole objective is to coordinate and support activities at the community level across the country, some run by municipalities, some run by provincial governments, some run by academic organizations, some run by police services that reach out to the community to counter that insidious process of radicalization to violence.

Some of their work is purely research; other is program delivery; other is assisting groups that provide the countervailing messages to people who are on a negative trajectory towards extremism and violence. The Canada centre has been up and running now for two and a half years, and it has done some very important work.

The specific program I think you're referring to is a different one. It's the security infrastructure program which, when we started in government three and a half years ago, was funded at the rate, I believe, of about $1 million a year. It was a good initiative but fairly limited in its scope. We have quadrupled the funds, so it's now up to $4 million a year. We've expanded the criteria for what this program can, in fact, support.

One of the recent changes, for example, is to allow some of the funding from the security infrastructure program to be used for training in schools or in places of worship or community centres where that training can actually assist with knowing what to do if there is an incident. It's like a fire drill in school. How do you react, say, to an active shooter or to an incident of violence?

It was found, in the case of the Tree of Life synagogue in Pittsburgh last fall, that training in advance made a real difference in that situation. There were people on the scene who knew, because they had been properly trained, exactly how to react to an active shooter situation. It's the considered opinion of people in that synagogue that the training made a material difference in saving lives.

We have adjusted the terms of the security infrastructure program to allow for that to be part of what the program can pay for, in addition to closed-circuit television, better doors, barriers and other protective features within the design of a building, and the renovation of the building itself to make it as effective as it can be to keep people safe.

Mr. Sven Spengemann:

Thank you for that.

Let me shift gears and take you to the cyber domain. I think there is $9.2 million going towards protecting the rights and freedoms of Canadians. One concern that's raised is about cyber-bullying, particularly with respect to LGBTQ2+ youth and people but also for other vulnerable communities.

Can you tell the committee what the department is doing with respect to online bullying specifically?

Hon. Ralph Goodale:

This is an initiative that involves not only my department but other departments within the Government of Canada as well. The whole purpose is to first of all raise the level of awareness about some of the insidious activity that's going on online. It might be bullying. It might be child sexual exploitation. Often one leads to the other. It might be human trafficking. It might be violent extremism. In another cadre, it could be attacks on our democratic institutions. There is a whole range of social harms perpetrated on the Internet. Our objective is to raise the level of public awareness so that people understand better and have a higher level of digital literacy in terms of what they're being subjected to online and are able to distinguish between what is legitimate activity and what is not.

As I said earlier, we've also created new cyber response systems—one within the Communications Security Establishment, another within the RCMP—making it, in terms of the police unit, more accessible to the public with a one-window reporting mechanism. People know where they can go to report cybercrime and incidents on the Internet that need to be drawn to the attention of public officials.

This is such an all-pervasive problem. It is, quite literally, in our hands every minute. We need to engage all Canadians in this effort to understand their vulnerabilities online, and then make the response mechanisms at all levels of government readily available. That's what we're trying to do.

(1615)

The Chair:

Thank you, Mr. Spengemann—

Hon. Ralph Goodale:

To answer one final little point, Mr. Chair, the critical infrastructure systems that I was referring to earlier are finance, telecommunications, energy and transport.

The Chair:

Thank you for that.

I'm sure Mr. Motz appreciated that.

Mr. Glen Motz (Medicine Hat—Cardston—Warner, CPC):

I did. Thank you.

The Chair: You have five minutes, Mr. Motz.

Mr. Glen Motz: Thank you, Chair.

Thank you, Minister and team, for being here.

Minister, there have been lots of rumours floating around recently about your government considering a ban on certain types of firearms, maybe as early as this week. I'll ask you a very simple, clear question: Are you considering an order in council to ban certain firearms, yes or no?

Hon. Ralph Goodale:

The Prime Minister—

Mr. Glen Motz:

Yes or no.

Hon. Ralph Goodale:

—invited Minister Blair to examine that question, and he will be reporting his recommendations very shortly. No final decision has been taken at this stage. He'll be able to give you an accurate description of where he is in his deliberations when he appears.

Mr. Glen Motz:

Minister, I know that generally your party tends to treat law-abiding Canadian firearms owners as second-class citizens—

Hon. Ralph Goodale:

No, that's not true.

Mr. Glen Motz:

—but I want to be clear that the firearm industry in Canada does hundreds of millions of dollars annually in sales and is responsible for thousands upon thousands of jobs. There are real-world consequences to attempts to shore up your left flank for an election year, with precious little in the way of accomplishments so far in your government.

Again, yes or no, do you have plans to ban firearms in this country?

Hon. Ralph Goodale:

Mr. Motz, you know very well that this is a specific policy area that the Prime Minister has asked Minister Blair to examine and report upon. He has conducted extensive consultations, probably the largest in Canadian history. He will make his recommendations known very shortly.

Mr. Glen Motz:

All right. So we're still waiting.

I'll go to my other question. We know that the majority of firearms-related homicides in this country are not by those who have a valid firearms licence. In the last 15 years or so, that percentage has been extremely low. Targeting a population that is law-abiding to begin with, with Bill C-71, rather than going after the gangs and guns issue that we have in this country.... Your government has loosened penalties for gangs and gang affiliation and made things more difficult for those who are already law-abiding gun owners. How do you reconcile that?

Hon. Ralph Goodale:

Well, we have invested $327 million in a strategy directly aimed at guns and gangs. Of that total, $214 million is going to provinces and communities to support their local anti-gang strategies. There's about $50 million that's going to CBSA to assist in the interdiction of illegal guns coming across the border, and there's about $35 million going to the RCMP to support their efforts at combatting illegal gun trafficking.

There is a whole collection of—

(1620)

Mr. Glen Motz:

In 2017, you promised $500 million to policing to combat gangs and guns, and then it was $327 million. I wonder how much of that money has actually been given out to provinces to deal with their gang and gun issues.

Hon. Ralph Goodale:

The agreements with the provinces are in the process of being concluded.

In my own province of Saskatchewan, the agreement has been concluded, and announced by me and the provincial minister together. The announcements have been made in several provinces and territories across the country. The process is rolling forward.

The commitment that we made was to get to the level of $100 million per year ongoing, and we will meet that target. The $327 million that I referred to is the beginning of that commitment, to help all levels of government be as effective as they possibly can be in dealing with the issue of illegal guns and gangs. You can probably add a third component in that, because it's usually present, and that is drugs.

Guns, gangs and drugs are what this money is to be used for, coupled with the changes in the law that improve background checks, require licence verification and standardize best practices in record-keeping.

The Chair:

You have a little less than a minute.

Mr. Glen Motz:

Thank you, Chair.

Just so you know, we won't get into the Bill C-71 debate, because that's not exactly what's going to happen.

Your colleague, Mr. Blair, said there is no reason for anyone to own what in reality is a modern hunting rifle, because they're purpose built to harm people. That statement isn't only offensive, but it is incredibly misinformed, misguided and deliberately misleads Canadians.

I wonder what your response would be, sir, to the men and women on our Canadian Olympic shooting team, for example, who are representing Canada in Tokyo, when they hear of such a statement by a minister of this government.

The Chair:

You're going to have to save that answer.

Your time has expired, Mr. Motz. I'm sure you'll have an opportunity to ask Mr. Blair directly what he means by his own comment.

Next is Ms. Sahota.

Ms. Ruby Sahota (Brampton North, Lib.):

Thank you, Minister, for being here today, and for all the other occasions you've been before this committee. Your answers are always enlightening.

You mentioned in your statement something about funding going toward enforcement measures for unscrupulous immigration consultants. I know that it's not just from your department, but from Citizenship and Immigration as well.

Can you give me a bit more information as to what that amount is and how enforcement measures will be enacted?

Hon. Ralph Goodale:

Let me ask Mr. Ossowski to provide some detail on that.

Mr. John Ossowski:

Thank you.

We get about 200 leads a year, which result in about 50 investigations. The additional funds that we're going to be receiving will help us to deal with some of the more complex cases and overall increase our capacity to pursue these investigations and hopefully stop the problem.

Ms. Ruby Sahota:

Can you elaborate on the leads?

Do clients of these consultants call CBSA and report them?

Mr. John Ossowski:

It could be a variety of different sources that we catch wind of. Sometimes it's our own analysis in terms of working with the Immigration and Refugee Board, if they see something suspicious. It could be a number of different ways that we would be apprised of somebody who is worthy of an investigation.

Ms. Ruby Sahota:

What kind of actions or measures can you take against them?

Mr. John Ossowski:

Ultimately, they could face criminal charges.

Ms. Ruby Sahota:

That would be within your realm, that—

Mr. John Ossowski:

If it were a criminal offence, then it would depend on whether or not we did something with the RCMP. It depends on the nature of the outcome of the investigation.

Ms. Ruby Sahota:

Okay.

Is this increase for the first time, or is this the regular amount that's usually allocated?

Mr. John Ossowski:

No. This is an increase of $10 million over five years, so it's actually around $2 million a year, if I remember the profile correctly. It's just, as I say, to increase our capacity, because we are starting to see a bit more and, as I said, there's the complexity of some of these cases representing multiple clients and trying to sift through that information and focus our efforts better.

(1625)

Ms. Ruby Sahota:

Okay.

Recently, Minister, we've heard so much news in Ontario, Quebec and New Brunswick about flooding. How much of your budget has been spent on mitigating the effects or dealing with the aftermath of the flooding that has occurred?

Hon. Ralph Goodale:

We can actually get you a statement of the DFAA, disaster financial assistance arrangements, payments over the course of the last number of years. It really is instructive. I would be glad to supply that information to the committee, because it shows that the losses covered by DFAA in the last six years, mostly for floods and wildfires, are larger than the amount the program spent in all the previous years, going right back to 1970.

Ms. Ruby Sahota: Wow.

Hon. Ralph Goodale: Something obviously is happening with the climate and with the incidence of wildfires and the incidence of floods in the last number of years. The pace has accelerated dramatically.

Ms. Ruby Sahota:

More in the last six years than since 1970?

Hon. Ralph Goodale:

Yes.

Ms. Ruby Sahota:

Have the criteria changed as to under which conditions the government would be funding, or is it mostly just due to climate change and these events occurring more often?

Hon. Ralph Goodale:

It is a larger number of incidents that tend to be more serious and more expensive with every passing year. The criteria are essentially the same. In fact, a few years ago, the previous government adjusted the funding formula so that the provinces would pay for a larger portion before the federal share would kick in, and that would tend to reduce the amount that the federal government would be paying because the cost-sharing formula was adjusted a bit. Despite that, the volume of federal payments is higher because the losses are larger.

You can just think of the spectacular ones, such as the flooding around High River, Alberta, a few years ago. I think that was the most expensive flood in Canadian history. Fort McMurray in northern Alberta had the most expensive fire disaster in Canadian history. That was followed by two very expensive years in British Columbia.

We're also having serious issues this spring, with the floods a few weeks ago in Manitoba, Ontario, Quebec and New Brunswick, and now, in the last week or so, with the fires at Pikangikum First Nation in northwestern Ontario, and in northern Alberta. I think that it's about 11,000 people now who are evacuated in northern Alberta, and the entire community at Pikangikum is in the process of being evacuated.

It is a very serious problem. Climate change has its consequences, and they are growing more serious.

The Chair:

We're going to have to leave it there.

We're getting close to the end, but I think Mr. Eglinski might have a couple of minutes to ask a question if he wishes to.

Hon. Ralph Goodale:

I hope it's about Grande Cache.

Mr. Jim Eglinski (Yellowhead, CPC):

Not that lucky this time....

Thank you to all the witnesses, and congratulations, Brian, on your recent promotion.

Hon. Ralph Goodale:

These are former colleagues.

Voices: Oh, oh!

Mr. Jim Eglinski:

Minister, as you are aware, we did a public safety report on rural crime. My Alberta colleagues and I did quite an extensive round table consultation throughout the province. People are very concerned not only in Alberta but also in Saskatchewan. I understand that you heard from some of their mayors about the shortage of RCMP. Crime increased by about 30% in rural Canada versus in urban.

What really alarms me is that I just looked at the RCMP 2018-19 plan, and it has your manpower progressions over the last five years up to the year 2019-20. Actually, the law enforcement program is calling for a reduction in police officers from 1,366 to 1,319. These are just the manpower numbers. You are increasing the overall strength of the force by 1,033, and you're increasing the administration by 460. Your increase is only about 0.6%, 0.1%, 0.2%, 0.2% over the next few years. The attrition rate has to be 10 times that number.

How are you going to provide policing? How can you tell the people in rural Canada, whether in Saskatchewan, Manitoba, B.C. or Alberta, where that policing is going to come from? Are you going to look at your contract to look at strengthening those numbers? The numbers you have here show that you don't have the manpower.

(1630)

The Chair:

You have about 10 seconds.

Hon. Ralph Goodale:

I'll ask the deputy commissioner to respond to that as well.

Mr. Eglinski, I would just point out that we have tripled the capacity of new recruits coming out of the Depot training academy in Regina, with over 1,100 compared to a much smaller number earlier. Also, if I remember correctly, the number last year of new people going into Saskatchewan was about 135, which was a significant increase. This coming year about 90 new officers will be going into that particular region.

Part of your answer is that we're increasing the capacity of training at Depot to generate officers more rapidly. As you know, you can't do this overnight. You want to be sending officers who are fully trained and qualified to do the job of protecting Canadians. It's a serious business, and we are accelerating the recruits.

The commanding officers in both Alberta and Saskatchewan have also taken initiatives in the last two to three years to deploy officers based more on criminal intelligence so that they're being deployed more strategically than was perhaps previously the case.

I note that both the Attorney General of Saskatchewan and the commanding officer in Alberta have observed that in the last year they've actually seen an improvement in the crime statistics.

Mr. Jim Eglinski:

I have just one quick question, if I may.

The Chair:

You can have one question.

Mr. Jim Eglinski:

Regarding the recruiting needs, are you getting the recruits?

The Chair:

I'm very pleased to have given you this 10 seconds which has, in the history of our parliamentary procedure, stretched into a couple of minutes.

Mr. Jim Eglinski:

I love you for it, big guy.

The Chair:

It's what you call a buzzer beater.

Can you answer that briefly, Mr. Brennan?

D/Commr Brian Brennan:

We're meeting the recruiting numbers to make sure that we are on track for 40 troops a year to go through Depot, and we're continuing to examine ways to increase our recruiting capacity to ensure that it is sustained over a long period of time.

Hon. Ralph Goodale:

At 40 out of 52 weeks in the year, that's a graduating class of almost one a week coming out of Depot.

The Chair:

You're going to have to live with that answer, Mr. Eglinski.

I did pick up on Ms. Sahota's question with respect to the increase in the disaster assistance money. I think that would be of interest to all of us, so if that could be made available to the committee, that would be useful.

With that, again I want to thank you for your appearance here, Minister, and I thank your colleagues. I suspect that you will be leaving and your colleagues remaining. Minister Blair is also up next.

With that we'll suspend.

(1630)

(1635)

The Chair:

We're resuming. I see that we still have quorum.

Welcome, Minister Blair.

We have Minister Blair, but we also have to deal with the estimates themselves. We have another motion to pass with respect to Bill C-93, the recommendations that we would like also to get done.

My proposal is that we leave ourselves 10 minutes at the end of the—

Mr. David de Burgh Graham:

What about my questions?

The Chair:

I don't know; that may be a problem.

I would encourage colleagues, ministers and witnesses to be economical in their questions and their answers, if that's at all possible.

With that, I welcome Minister Blair to the committee once again.

We look forward to your remarks. Questions are after.

Hon. Bill Blair (Minister of Border Security and Organized Crime Reduction):

Thank you, Mr. Chair. I will endeavour to be judicious in my responses, to adhere to your direction.

It's a pleasure to once again have the opportunity to join the committee to discuss the 2019-20 main estimates. These estimates will include authorities for measures that, of course, were announced in budget 2019.

I'd like to take the opportunity to focus on some of the important measures that will fall within my mandate of ensuring that our borders remain secure and leading efforts to reduce organized crime. On the latter, as I've noted to this committee previously, taking action against gun and gang violence remains a top priority. We've seen an increase in gun violence across the country in recent years. Guns are still getting into the hands of people who would commit crimes with them. While I think the measures in Bill C-71 are exceptional and will go a long way to reversing the trend, I also believe there is more we can do.

Earlier this month, we issued a report outlining what we heard in an extensive cross-country engagement on this issue. In the meantime, funding through these estimates and budget 2019 can and will make a real difference right away.

I've noted before that the $327 million over five years, which the government announced in 2017, is already beginning to help support a variety of initiatives to reduce gun and gang activity in our communities across Canada. Over the past few months, I have been pleased to work with provinces, territories and municipalities as we roll out their portions of that funding specific to initiatives in their regions.

The Government of Canada is investing an additional $42 million through this year's estimates in the guns and gangs initiative. This is a horizontal initiative, which is being led by Public Safety Canada, and it is working in partnership, as always, with the Canada Border Services Agency and the Royal Canadian Mounted Police.

With respect to policing more specifically, in this year's budget there's substantial funding for policing, including $508.6 million over five years to support the RCMP in strengthening policing operations. Of that $508.6 million, there is $96.2 million allotted for the RCMP policing operations in the estimates provided today. The RCMP is, of course, absolutely key to protecting our national security, to reducing the threat of organized crime and to supporting prevention, intervention and enforcement initiatives right across Canada.

The CBSA supports the RCMP and other law enforcement partners in Canada to counter organized crime and gang activity. Investments made through the estimates and budget will support new technologies, increased detector dog teams, specialized training and tools, and an augmented intelligence and risk assessment capacity. All of this will help to enhance the CBSA's operational responses to better interdict illicit goods, such as firearms and opioids, from crossing our borders. I'm confident the funding we're providing will help all of our partners keep Canada's evolving safety and security needs in place and include addressing gun and gang challenges.

With respect to the border security aspects of my mandate, I'm pleased to report that the government is making significant investments, through the budget and these estimates, to better manage, discourage and prevent irregular migration. Budget 2019 provides $1.2 billion over five years, starting this year, to IRCC, IRB, CBSA, RCMP and CSIS to implement a comprehensive asylum reform and border action plan. While IRCC is the lead on this action plan, the public safety portfolio has a very significant contribution to make.

As the committee is aware, the CBSA is responsible for processing refugee claims, which are made at official points of entry and at their inland offices. The funding approved under budget 2019 will enable the CBSA to strengthen its processes at our border, to help increase the asylum system's capacity and to accelerate claim processing. It will facilitate the removal of individuals found not to be in need of genuine protection from Canada in a more efficient and timely way. The strategy, supported by that funding, will guide these efforts.

Before I close, I'd like to take the opportunity to highlight one further item. Canadians have been hearing a great deal lately about money laundering, terrorism financing and tax evasion happening within our country, and they are rightly concerned. Money laundering is not only a threat to public safety, but it also harms the integrity and stability of the financial sector and the economy more broadly. The government is not waiting to take action to protect Canada's safety, security and quality of life. I'm pleased to note that in budget 2019, the government will invest $24 million over five years for Public Safety Canada to create an anti-money laundering action coordination and enforcement unit, or ACE. This is a pilot project that will strengthen inter-agency action against money laundering and financial crimes.

(1640)



In addition, a further $68.9 million will be invested over five years, allocated to the RCMP, to enhance federal policing capacity, including the effort to fight money laundering, beginning with $4.1 million allocated in this fiscal year.

In addition, $28 million over five years is being invested in CBSA to support a new centre of expertise. The centre will work to identify and prosecute incidents of trade fraud, as well as potential cases of trade-based money laundering to be referred to the RCMP for investigation and prosecution.

As always, these are just a few examples of the important and vital work that the public safety portfolio and, in this case, the many departments that support my mandate are doing to protect Canadians.

Once again, I thank the committee members for their consideration of these estimates and for their ongoing efforts.

Thank you, Mr. Chair. I look forward to members' questions.

The Chair:

Thank you, Minister.

With that, Ms. Dabrusin, you have seven minutes, please.

Ms. Julie Dabrusin (Toronto—Danforth, Lib.):

Thank you, Minister, for being with us today.

I've had the opportunity to raise this before. I would like to continue with the conversation about guns and gangs. You mentioned it in your opening, and I was looking through the main estimates about the work that's being done on border operations as well.

On my first question, when we're looking at gun issues, all the conversations I've had were really talking about supply and demand, both pieces. If we're first looking at the supply side of things, you mentioned it briefly, but could you tell us a bit more about what's being done by the CBSA to prevent gun smuggling?

Hon. Bill Blair:

Yes. Thank you very much, Ms. Dabrusin.

Guns that end up in the hands of criminals and are used to commit violent crimes in our community have a number of different sources. There are various estimates available from the various police services and agencies across the country that are determining the source of those illicit guns. It's quite clear that a significant portion of the guns used by gangs to commit criminal offences in our communities across Canada are illicitly imported into Canada across our borders. CBSA, of course, has a very important role in interdicting that supply.

I had the opportunity on the weekend to go down and visit the Point Edward CBSA facility and had the opportunity to speak about some of the work they're doing there, with the use of new technologies, the dog teams and, frankly, some really extraordinary and dedicated individuals—

(1645)

Ms. Julie Dabrusin:

If I could jump in, when you're talking about dog teams, are you actually talking about dogs?

Hon. Bill Blair:

Yes, real dogs. I actually met the dog. His name is Bones.

Voices: Oh, oh!

Hon. Bill Blair: They showed me how he searched a car. It's a really extraordinary use of even that. It's low-tech, but it works, and it works really well.

They were able to also share with me some of the extraordinary successes they've been able to achieve, including, for example, the seizure of a very high-powered assault rifle over the May 24 weekend, along with a number of large capacity magazines and ammunition. There is some excellent work that's taking place across our borders.

I will also tell you that there's an acknowledgement within CBSA and within the law enforcement community that to interdict the supply of guns coming across the border from the United States.... The United States is essentially the largest handgun arsenal in the world. There are many firearms there. Criminals know that if they can bring those guns across our border, they can be sold at a significant premium above what would be paid in the U.S., because they're not as readily available in Canada. It's a crime motivated by profit.

The police and CBSA understand that you can't just interdict the supply at the border, so there are some extraordinary efforts taking place. We are investing in the RCMP and municipal and provincial police services right across Canada that work in integrated border enforcement teams and conduct organized crime investigations to identify the individuals and the criminal organizations who are responsible for purchasing these guns in the United States, smuggling them across the border and then subsequently selling them to criminals in our country.

We have seen some extraordinary successes as a result of that partnership as well, but the work continues and is ongoing. We are making significant investments in this budget in CBSA and in law enforcement's capacity to conduct those investigations to improve the quality of the intelligence they gather and how they use that data to effect good success in their investigations and successful prosecution of the individuals who are responsible.

Ms. Julie Dabrusin:

Thank you.

Staying on the supply side—I'm hoping we have a few minutes for demand—you have had a study. It was part of your mandate letter. You were asked to study a possible ban on handguns and assault weapons. It was, I believe, a “what we heard” report that was released. Would you be able to tell us about what the next steps are?

Hon. Bill Blair:

We identified a number of ways in which guns were getting into the hands of criminals. As I've already mentioned, a portion of those—some estimate 50%, some estimate as much as 70%—are in fact smuggled across the border. We also know that a number of those firearms that are subsequently used to commit criminal offences in Canada are domestically sourced.

Essentially, there are a number of reasonably well-identified ways in which that takes place. With regard to the first one, there have been a significant number of large-scale thefts where guns have been stolen either from a gun retailer or from an individual Canadian gun owner. Those guns are then subsequently made available on the street, sold to criminal organizations and used in criminal acts across the country. One of the things I heard, and we discussed very extensively, was how we might improve the secure storage of firearms to prevent those thefts, to make it harder for criminals to steal those guns and subsequently for them to go on the street.

There were also a number of cases where firearms were identified that had been purchased legally in this country, but then subsequently diverted into the criminal market by an individual with the intent of profiting by resale of those guns. It's a process that is sometimes referred to as straw purchasing. Essentially, it's an individual who has the legal authority to purchase a handgun, who sometimes tries to conceal its origin by removing the serial number, and then resells it on the street to somebody at a significant profit.

We identified in conversations across the country, and particularly with law enforcement, the importance of improving the tracing of those firearms that are used in criminal offences, so we can determine their origin of sale and better identify—and by detecting, thereby deterring—and hold accountable those individuals who are involved in that criminal activity. There were a number of other measures that we also heard about on interdicting the supply.

I've also heard from a number of people who have expressed concern that certain types of weapons, frankly, are a significant risk, and that additional steps should be considered in making them less available to those who would use them to harm others.

(1650)

The Chair:

You're not quite finished yet, but I'm sure that Mr. Graham will thank you if in fact we finish before seven minutes.

You have 40 seconds left.

Ms. Julie Dabrusin:

I do. Thank you.

On the demand piece, quickly, we were at an announcement in Toronto in December, specifically about how we help youth and how we help the communities who have been impacted.

Can you tell me a bit about that, please?

Hon. Bill Blair:

Ms. Dabrusin, much of my earlier comments were with respect to interdicting the supply of guns that get into the hands of criminals. However, our government recognizes that you also have to reduce the demand for those guns, so we are also making significant investments in communities and in kids. We are working particularly with municipalities, but I've been to each province and we're providing resources to each of the provinces and territories to make investments in their communities and in those community organizations that do an extraordinary job of working with young people to help them make better choices, safer and more socially responsible choices, to avoid getting involved in gangs in the first place.

There are also a number of initiatives that we are supporting, working with young people who have already been involved in gangs, to help them leave that gang lifestyle and to not engage in violent criminal activity that causes so much trauma in our communities across the country.

There's no one single response. Frankly, it requires very significant investments, and also looking more broadly—

The Chair:

I think we're going to have to leave the answer.

Hon. Bill Blair:

Perhaps I will have the opportunity to come back to some of the other things we're doing that are making a difference.

Thanks, Mr. Chair.

The Chair:

The talent for stretching seconds into minutes is quite extraordinary today.

Hon. Bill Blair:

Thank you, sir.

The Chair:

Mr. Paul-Hus, you have seven minutes, please. [Translation]

Mr. Pierre Paul-Hus:

Thank you, Mr. Chair.

Minister Blair, I want to talk about illegal border crossings.

The Auditor General submitted a damning report on refugee claims. You said that the system was very efficient. However, it was confirmed that the system was overloaded. The main agencies have difficulty working together, and it will take four to five years simply to return to normal.

Do you regret telling us in the committee that everything was fine and wonderful? Do you regret providing inaccurate information? [English]

Hon. Bill Blair:

Of course, I'm telling you the truth, Mr. Paul-Hus.

I was acknowledging the exceptional work that's being done by CBSA and by the RCMP, the police, provincial and municipal, right across the country. Given the resources and support they have had available to them, I think they do an extraordinary job.

We recognize that more needs to be done. It's precisely why we're making significant new investments and increasing their capacity to conduct these very complex investigations. For example, we recognize the importance of all law enforcement and departments and agencies working more collaboratively together. It's one of the reasons we're establishing for the money-laundering thing an action, coordination and enforcement centre. [Translation]

Mr. Pierre Paul-Hus:

At the time, you told us that everything was fine. However, the Auditor General told us that this wasn't true. Basically, you're confirming that you provided the wrong information at that time. [English]

Hon. Bill Blair:

Could you be specific about which Auditor General's report you are referring to, sir? [Translation]

Mr. Pierre Paul-Hus:

I'm talking about the parliamentary budget officer's report, which confirmed the issues associated with the $1.1 billion cost of handling asylum seekers. This report was published a few months ago. Do you know what I'm referring to? [English]

Hon. Bill Blair:

I'm sorry, I was referring to guns and money laundering. If you're talking about asylum claimants, one of the things that was identified, I believe, in that report was the work that was being done in security screening by CBSA.

Mr. Pierre Paul-Hus:

My question, sir, is quite simple.

A few months ago when you came to committee, we asked a question about the issue, and you said everything was fine. But the Auditor General said that there are many issues with that. My question was just whether you are ready to apologize to the committee because you said something wrong at that time.

That was my question, but I've lost too much time for that, so I'll go to my next question, sir.

Hon. Bill Blair:

Do you want an answer to that?

Sir, I'm happy to try to answer your question.

Mr. Pierre Paul-Hus:

I've lost enough time, sir. I will ask another question, okay?

Hon. Bill Blair:

If there are any other questions you don't want answered, let me know.

(1655)

Mr. Pierre Paul-Hus:

That's all right because you understand my question.

Your speaking notes refer to that. In the budget, you talk about an investment of $1.2 billion over five years, but is this the same money that the Auditor General mentioned, $1.1 billion in three years?

Is it the same money?

Hon. Bill Blair:

I believe the Auditor General concluded his report and his estimates on what was required last spring, in 2018, and since that time our government.... First of all, budget 2018 made significant new investments in the IRB and CBSA, and of course, in the budget we've just presented before you today, which is $1.18 billion....

Just as an example, we're increasing the capacity of IRB from where it was when the Auditor General conducted his report. They had the ability then to do about 26,000 hearings per year. Under these new investments, by the end of next year, they'll be at approximately 50,000, so it responds very directly to the deficiency that was identified as a result of understaffing and underfunding that had previously been experienced. We made those investments in budgets 2018 and 2019.

Mr. Pierre Paul-Hus:

Okay, you make a lot of detours.

Your title is Minister of Organized Crime Reduction and Border Security.

On organized crime reduction, you're supposed to talk about the Mexican cartels, drug cartels, too, but why does Minister Goodale's office always answer questions from the media and not your office?

Hon. Bill Blair:

First off, he's the Minister of Public Safety and—

Mr. Pierre Paul-Hus:

But you're the Minister of Border Security and Organized Crime Reduction. Is that true?

Hon. Bill Blair:

I've listened very carefully to Minister Goodale's response and even his response earlier today, and I have exactly the same information as he provided to this committee.

It is a direct result of information provided by our agencies. I believe he did confirm that CBSA has determined that the number of inadmissibility cases for the period was 238 and also mentioned that we have been unable to determine any evidence that suggests—

Mr. Pierre Paul-Hus:

I don't want his, Minister, I want your—

Hon. Bill Blair:

—that on the number you've raised in the House, 400 foreign nationals in Canada, we haven't been able to find any evidence that supports the veracity of that statement.

Mr. Pierre Paul-Hus:

I'll go to my next question.

Last week, U.S. Vice President Pence came to meet the Prime Minister. Do you think they raised the question of the safe third country agreement? Did they?

Hon. Bill Blair:

I believe that it did come up—

Mr. Pierre Paul-Hus:

Do you have an answer for us or do you think we will change the agreement on safe third countries?

Hon. Bill Blair:

There are discussions. I've been involved in discussions with U.S. officials as well as our officials at both IRCC and CBSA. I know that it has been raised at a number of different levels of discussion, and I think there is an acknowledgement or recognition that it's an agreement that can be modernized and improved to the benefit of both countries, and those discussions are ongoing.

Mr. Pierre Paul-Hus:

By "modernized" do you mean like we suggested last year?

Hon. Bill Blair:

As I recall, your suggestion was that we just unilaterally change a bilateral agreement, and that's not how that works. We have begun to have discussions with our treaty partner, the United States, to discuss many aspects of that agreement because we believe there is an opportunity for it to be improved and enhanced. Those discussions are ongoing.

It is not possible nor is it appropriate to simply unilaterally change a bilateral agreement.

Mr. Pierre Paul-Hus:

We haven't said that. I know we would never say that. We've said that we have to deal—

Hon. Bill Blair:

Just to be clear, you said you would change it, and we said no, we would enter into discussions with our partner on how it could be improved.

Mr. Pierre Paul-Hus:

Of course we have—

I have no more questions.

The Chair:

Thank you Mr. Paul-Hus.

Mr. Dubé, you have seven minutes, please. [Translation]

Mr. Matthew Dubé:

Thank you, Mr. Chair.

Thank you for joining us, Minister Blair.

I'll ask you about your responsibilities regarding the border and the migrant situation. Some long responses have been provided. I'll provide a lengthy introduction and focus on the past, so that you can understand the context of my question. If my colleagues haven't seen the Radio-Canada report, I'd encourage them to watch it.

In 2011, I believe, the previous government implemented a program following two incidents where boats arrived in Canada with Tamil asylum seekers on board. The program still exists and spending has increased. Over $18 million is being spent on the program. People from CSIS, the RCMP and even CSE deal with shady individuals abroad, in countries that could be involved in smuggling migrants into Canada. We can agree that human rights are an issue in these places.

I want to know the following. How can you reconcile the government's approach of showing compassion for people in this situation with the fact that agencies are working for a ban abroad? People are being detained in countries where they may be subject to human rights violations.

If you aren't able to answer the question, I know that the people accompanying you today could do so. In the Radio-Canada report, neither the RCMP nor CSIS was able or willing to respond.

I'll let you answer my question. I'm sorry for the lengthy context, but it was important for my colleagues.

(1700)

[English]

Hon. Bill Blair:

Thank you very much, Mr. Dubé.

If I understand your question appropriately—and I'll certainly invite officials to add any background that will assist you—in my experience there are, unfortunately, individuals.... Those who are seeking refuge and those who are fleeing war and persecution are in a very vulnerable state. Quite often, they are subject to exploitation by those who would intend to profit from that. So we have a responsibility as well to ensure that, to maintain the integrity of our refugee determination system and our borders, CBSA, the RCMP and others who work together have a responsibility, and we do work internationally.... Frankly, we are very concerned, and we've taken a number of steps to deal with those who would exploit people in a vulnerable position.

Mr. Matthew Dubé:

Certainly I don't disagree with that characterization of individuals who want to take advantage of people in vulnerable situations. The issue in this media report, which I'm raising here, is that the Government of Canada has a program and invests millions of dollars—it's $1 million for CSIS and $9 million for the RCMP, if I remember correctly, but I could be mistaken—for them to operate abroad to deal with those unscrupulous individuals in regions where you're dealing with equally, if not more, unscrupulous regimes in those particular countries.

An individual in the Prime Minister's Office, or who at any rate advises the Prime Minister on this program, has gone to these places to thank these regimes on behalf of Canada.

At what cost do we ensure the integrity of the border? In other words, it's not only a responsibility to ensure the integrity of the border and take on these unscrupulous individuals, but also to ensure that we're not, pardon the expression, getting into bed with some pretty problematic individuals abroad, if I may say so diplomatically, as the report outlines, which, again, I would invite colleagues to read, and would be more than happy to provide to members of the committee who haven't seen it.

Hon. Bill Blair:

Yes, sir. I will simply acknowledge, because I don't have particular insight into—and colleagues, if any of you do, I wish you'd jump in.... We deal with transnational organized crime, including the exploitation of vulnerable people, in human trafficking, and with those who would be involved in exploiting those fleeing persecution. It is necessary for our federal officials and our security establishment to extend their work beyond our borders in order.... Some of the most effective work they do in preventing problems and crimes in Canada is by preventing it from coming to our borders in the first place. They are working in some very difficult places in the world, but we expect they would continue to uphold Canadian law and Canadian standards. [Translation]

Mr. Matthew Dubé:

I don't have much time left.

Mr. Vigneault or Mr. Brennan, do you want to talk about your organization's perspective?

Mr. David Vigneault:

Yes. Thank you, Mr. Dubé.[English]

Thank you, Minister.

I would just add, Monsieur Dubé, that the program you referred to has been in place for a number of years now to prevent, as the minister mentioned and as you referred to in your prelude, traffickers from bringing people to Canada irregularly. The reason we are engaged is to protect the integrity of the system in Canada and make sure that criminals...national security concerns or people are not victimized through these processes.

The work we do abroad is governed by our act and by ministerial directives. I cannot go into all the operational details, but I can say that when we do share information with foreign entities, we are under ministerial directives to make sure that the information does not lead to a human rights violation or to mistreatment. I'm familiar with what the media was reporting on this, but I can say that there's been a review of these programs and that all agencies involved are covered by this ministerial directive. So there's another perspective as well to that story.

(1705)

The Chair:

Thank you, Mr. Dubé.

Ms. Sahota, you have seven minutes, please.

Ms. Ruby Sahota:

Thank you.

Thank you, Minister Blair, for being here today.

I want to start with the agreements you were speaking of earlier with the different provinces in relation to the funding in terms of gangs and guns. Can you tell me a little bit about how much funding is being provided from the federal level to specifically the Doug Ford government in Ontario?

Hon. Bill Blair:

Approximately $214 million has been identified in the guns and gangs funding for the entire country. That's in addition to the money that's been allocated, some $89 million, for CBSA and RCMP. Of the $214 million, $65 million is allocated to the Province of Ontario. There have been ongoing discussions with the Province of Ontario on how that money will flow to them and what they will do with it. I recently made a joint announcement with the Minister of Community Safety and the Attorney General for Ontario where they accepted $11 million over the first two years of this funding program. I'm not yet aware of whether they've made announcements as to how they intend to allocate that, but it's a total funding allocation over a five-year period of $65 million. So far the Province of Ontario has received $11 million of that.

Ms. Ruby Sahota:

Why is it only $11 million at this point? Who makes that choice, and how was that decided?

Hon. Bill Blair:

It's part of the ongoing discussions between us. That was all they were prepared to identify various initiatives for. The money remains there for allocation to the Province of Ontario when they're ready to use it. They've identified so far, just in the first two years of the program, $11 million in initiatives that they're prepared to undertake with that money.

Ms. Ruby Sahota:

Are you telling me there's $65 million available to Ontario? I know that my counterparts in the City of Brampton have been taking a keen interest in wanting to reduce crime in the city. However, they've only accepted $11 million of the $65 million that's been offered.

Hon. Bill Blair:

In fairness, these are ongoing discussions between our government and all the provinces. We've been working out funding allocations for each of the provinces, and so far that has been identified. This money is for municipal and indigenous police services across the provinces and territories but it is appropriately and necessarily allocated through the provincial governments. I would simply encourage all municipalities to reach out to their respective provincial government for discussions on how they might access the money that's coming from the federal government through the provincial governments.

Ms. Ruby Sahota:

Is there any way to provide the money directly to the municipal governments? I know that my city, Brampton, is very eager to be able to get access to some of these funds to help them with some of the problems they're dealing with. Is the only way to get access to this money to go through the province?

Hon. Bill Blair:

I think it is incumbent upon us to do our very best to work with our provincial partners across the country. I will tell you that in my experience in some other jurisdictions, it's been a very positive experience. I remain hopeful about those allocations in Ontario. I have a strong interest in that place myself. I know the municipalities and policing agencies that are involved. Again, with those decisions, I think the appropriate way....

Policing is administered and overseen by the provincial governments across Canada. We are working with community safety ministers, public safety ministers and attorneys general across the country in each of the provinces and territories. We've certainly done our best. There are some other funding opportunities available that are done directly. That's more with community organizations. There have been a number of significant announcements in Ontario, in addition to the money I've already referenced, where we're supporting community organizations, various crime prevention initiatives and other types of investments in communities.

(1710)

Ms. Ruby Sahota:

When you compare the $65 million offer to past allocated amounts, is this more or less than what the Government of Canada has provided provinces, or Ontario specifically?

Hon. Bill Blair:

I'm not aware of funding of this magnitude previously. I've been involved in a different capacity in dealing with guns and gangs issues. Generally our relationship was with only the provincial government. There was actually some funding made available in 2008 for what was called the police officers recruitment fund, but that money was terminated in 2013.

Ms. Ruby Sahota:

Is this kind of funding the first of its kind from the federal government to the provinces?

Hon. Bill Blair:

Public Safety and our government last year brought forward a significant investment in guns and gangs initiatives, and there was also recognition and acknowledgement, after we talked with the provinces and municipal and indigenous police services, that there was important work that needed to be done. When we began making investments, we made sure there was money to flow through the provinces to those municipal and indigenous police services, as well as our federal authorities in the RCMP, CBSA and others, because the guns and gangs issue is a very real concern right across the country. We've seen a significant increase in gun violence and gun murders in our country. Much of that is directly related to drugs and gang activity, so we're making significant investments to support those efforts.

Ms. Ruby Sahota:

From my experience in just these last few years of paying attention and monitoring, because issues now tend to come to the members of Parliament, I've seen that as the weather gets better and the summer comes along, in general there's an increase in criminal activity in Brampton.

Is there a different approach or are different allocations of funding budgeted for certain months? Can you speak from your past experience as to why that is?

Hon. Bill Blair:

Those operational decisions regarding how to allocate their resources and use these new resources are really the responsibility of police services and their leaders under the direction of their boards and their municipalities, and they are made very much in collaboration with the provincial authority.

There are also very significant partnerships that exist right across this country among law enforcement. For example, there are a number of important initiatives led by the RCMP in what we call combined forces special enforcement units. As an example, we have the integrated national security enforcement teams and others in which all police services will participate. I should mention, because they are quite relevant to my mandate, the integrated border enforcement teams, which are usually led by the federal agency but in which other police services participate as well. These types of initiatives are supported by the funding that we provide.

The Chair:

Thank you, Ms. Sahota.

Mr. Motz, you have five minutes.

Mr. Glen Motz:

Thank you, Chair.

Thank you, witnesses, for being here.

Minister, last week you said assault-style rifles are military weapons “designed to hunt people”. I don't know what you refer to as an assault-style rifle, but I suspect you're referring to automatic rifles, automatic firearms, and you know that those firearms have been prohibited in this country since 1976. Could you tell us exactly what firearms you're referring to in that statement?

Hon. Bill Blair:

We've had a number of discussions. As I said, I've travelled across the country, Mr. Motz.

Mr. Glen Motz:

Exactly what firearms are you referring to specifically with that statement?

Hon. Bill Blair:

They are firearms that were designed for a military purpose, firearms that—

Mr. Glen Motz:

I don't know what that means. With that statement, to me, you're referring to, in reality, modern hunting rifles, modern sporting rifles. The very fact that you made that statement.... I find it extremely offensive. I find it misguided. I find it misinformed, and you're misleading the Canadian public with that. Again, what firearms are you referring to specifically?

The Chair:

Mr. Motz, let Mr. Blair answer.

Hon. Bill Blair:

I'm sorry you were offended, but I was thinking about—

Mr. Glen Motz:

Canadian licensed firearm owners are offended by this statement.

The Chair:

Mr. Motz, let Mr. Blair answer the question.

Hon. Bill Blair:

I was thinking about the firearm that was used to kill three Mounties in Moncton. That was a firearm that was designed for military use. It was originally created and used by the military. It was a weapon that was used by that individual to hunt three police officers.

Mr. Glen Motz:

What was it? What was the rifle? What was the firearm?

Hon. Bill Blair:

I believe it was an M14. I was also thinking about the weapons that were used to kill the two officers in Fredericton and two private citizens. I was also thinking about the weapon that was used to kill 14 women at École Polytechnique—

Mr. Glen Motz:

You referred to the AR-15—

Hon. Bill Blair:

—and the weapon that was used to kill worshippers in the mosque in Quebec.

These were all weapons that were not designed as hunting weapons. They were designed for soldiers, soldiers who—

(1715)

Mr. Glen Motz:

You've identified the AR-15 specifically, Mr. Minister. You've identified it. Do you know whether the AR-15 has ever been used in a crime committed in Canada?

Hon. Bill Blair:

The AR-15.... Again, I have mentioned some of the other.... The AR-15 is the number one weapon used—

Mr. Glen Motz:

—a drive-by shooting in 2004, and no one was injured.

Ms. Julie Dabrusin:

On a point of order, Mr. Chair, we're just not getting the answers to these questions.

Mr. Glen Motz:

He needs to answer the question. He doesn't need to dance around the issue.

Hon. Bill Blair:

The AR-15 is the weapon that was used to kill a whole bunch of little kids at Sandy Hook. It was also used to murder 50 people in Christchurch—

Mr. Glen Motz:

We're talking Canada here, Mr. Minister.

The Chair:

Mr. Motz, if you want to ask your question, ask your question, and then let the minister finish his answer. Then you can go back to asking another question.

Mr. Glen Motz:

Minister, can you describe the difference between an AR-15, which is currently restricted in this country, and the WK180-C?

The Chair:

Okay, there's a specific question. A specific answer, if you may, please.

Hon. Bill Blair:

Frankly, I don't consider myself an expert in the classification of those firearms, although I am familiar with both. I don't know whether any of the other witnesses has the expertise to define it. As you know, the classification is determined now by the RCMP.

The Chair:

Okay, we now have a specific answer to a specific question.

The second specific question.

Mr. Glen Motz:

Let me answer the question for you. They are virtually the same firearm. They fire a .223 round. They have the same operational mechanisms. The only difference is—and I'm glad you identified the idea of classifications; the Canadian public wants firearms classified by what they can do, not by what they look like, and that challenge has been ongoing. Bill C-71 is a prime example. We need facts to guide these decisions, not cosmetics, Mr. Minister.

The Chair:

That's a comment, not a question.

Mr. Glen Motz:

It is.

So is there any truth—

The Chair:

Excuse me, Mr. Motz.

Does the Minister wish to respond to Mr. Motz's comment?

Hon. Bill Blair:

No.

The Chair:

No.

Mr. Motz, your question.

Mr. Glen Motz:

Some rumours have been floating around over the last while about your government's plans to ban firearms, ranging from banning specific firearms to banning semi-automatic firearms, to handguns.

So I have a simple yes or no question. Will an order in council be issued banning certain classes of firearms?

Hon. Bill Blair:

Mr. Motz, I don't normally respond to rumours. What we are—

Mr. Glen Motz:

That's not a rumour. I'm asking a direct question.

Hon. Bill Blair:

If I may—

Mr. Glen Motz:

Is an order in council—

The Chair:

Mr. Motz, you've asked a specific question. It took you half a minute to do that. I should allocate similar time to Minister Blair to respond to your question.

Hon. Bill Blair:

We are looking at all the measures that we believe could help keep Canadians safe, and we are examining the right way to deal with those measures.

Mr. Glen Motz:

So no order in council is being planned. Do you have a different plan to ban firearms, as you've indicated?

The Chair:

Okay, that's the end of that question.

Briefly respond to Mr. Motz, and then he has finished his five minutes.

Hon. Bill Blair:

I have a plan to examine every way in which we can keep Canadians safe.

Mr. Glen Motz:

You continue to dance.

The Chair:

Thank you, Mr. Motz.

Mr. Graham.

Mr. David de Burgh Graham:

Thank you.

Mr. Minister, as you know, I'm a rural Canadian who has firearms in the house and I fire them from time to time. The last time I fired an AR-15 was only a month ago, so I want to put that in perspective.

What are you doing to protect lawful users of firearms going forward?

Hon. Bill Blair:

I also want to be very clear. The mandate I was given by the government was to examine every measure that could keep people safe with a very important specific caveat and that was an acknowledgement and a recognition that the overwhelming majority of firearm owners in this country are law abiding and responsible in their ownership. They acquire their firearms legally. They store them securely. They use them responsibly and they dispose of them according to the law.

Firearm ownership in this country is a privilege that is predicated on people's willingness and acceptance of our laws and regulations as they pertain to firearms. In my experience the overwhelming majority of Canadians are exceptionally responsible and law abiding with respect to their firearms, and I think it's really critically important that we always respect that. They are not dangerous people, and particularly hunters and farmers and sport shooters are very careful with their weapons.

At the same time, we have a responsibility to make sure that those weapons don't end up in the hands of people who would commit violent crimes with them. In my experience and from my discussions across the country, I believe those responsible gun owners are equally concerned with public safety and ensuring that their firearms don't end up in the hands of criminals.

(1720)

Mr. David de Burgh Graham:

I appreciate that.

Do I still have time, Chair?

The Chair:

You have a full five minutes, Mr. Graham, in part due to the efficiency of—

Mr. David de Burgh Graham:

I thought you wanted 10 minutes left at the end.

I appreciate your responses.

I wanted to ask Mr. Tousignant—I believe you're from CSC—a very quick question before I come back to Mr. Blair.

I would have asked this at the previous panel, but I didn't have a chance. In my riding there is the La Macaza Institution, which has 28 Bomarc missile silos. I would like to know if CSC can help us prevent those from being torn down.

Mr. Alain Tousignant (Senior Deputy Commissioner, Correctional Service of Canada):

I'd have to get back to you on that.

Mr. David de Burgh Graham:

They're on La Macaza Institution land. That's why I ask you.

Mr. Alain Tousignant:

Yes.

Hon. Bill Blair:

I don't have an answer for that either.

Mr. David de Burgh Graham:

I just want it on the record because it is part of our heritage. I don't want to lose that heritage. It is used as storage units and it has asbestos and they want to take it out. They want to remove these silos. I don't want that to happen.

The Chair:

So we want to save—

Mr. David de Burgh Graham:

Save the Bomarc silos. Save the missile silos.

The Chair:

—the missile silos. Okay.

That's different.

Mr. David de Burgh Graham:

Mr. Blair, I don't know if it's you or Health or both, but I'd like to dive into the marijuana laws a bit.

As you know, it's a large rural riding. There are a lot of medical marijuana operations being set up. A lot of towns are complaining to me that they're not finding out about them. I would like to know what responsibility a licence requester has to notify the police, fire and municipalities. Could you help me with that?

Hon. Bill Blair:

Those are regulations that are outside of the Cannabis Act, where someone gets an authorization for growing cannabis, but they still have to adhere to, first of all, Health Canada's regulations with respect to those facilities, and they are also subject to municipal bylaws and zoning regulations, where they exist. I say that because not every place has such bylaws.

We've had a number of these incidents where there have been issues with respect to smell, light pollution, noise and other things that are problematic. In those circumstances, Health Canada has a role, and there are regulations that apply specifically to those authorized growers of medical marijuana, which are not the licensed producers under the Cannabis Act. There is also a significant role for local regulatory authorities, particularly bylaw enforcement, to address those things.

I would encourage you, if you have such facilities in your riding that are problematic for your community, to reach out to us and we'll make sure that Health Canada, to the extent it is able, assists with their regulations. In many circumstances we're able to work with the local municipal authority or regional authority in order to address those concerns.

Mr. David de Burgh Graham:

Thank you very much.

The Chair:

With that, I'm going to bring questioning to a close.

Mr. Jim Eglinski:

Wait. I had a really nice question.

The Chair:

It would be the first time in a long time that you've had a nice question.

Hon. Bill Blair:

I'd love to answer your nice question.

The Chair:

You can ask your nice question offline. We do have to pass the estimates, which is the purpose for which we're here.

On behalf of the committee I want to thank you, Minister Blair, and all your officials for being here while we go through these estimates.

With that, I'm going to suggest, and it's up to the colleagues whether we want to do roughly 30 votes all at once, presumably all with one vote on division. Is that a preferable way to proceed, or do you want to divide up the votes?

We're agreed that it will all be done at one. CANADA BORDER SERVICES AGENCY ç Vote 1—Operating expenditures..........$1,550,213,856 ç Vote 5—Capital expenditures..........$124,728,621 ç Vote 10—Addressing the Challenges of African Swine Fever..........$5,558,788 ç Vote 15—Enhancing Accountability and Oversight of the Canada Border Services Agency..........$500,000 ç Vote 20—Enhancing the Integrity of Canada's Borders and Asylum System..........$106,290,000 ç Vote 25—Helping Travellers Visit Canada..........$12,935,000 ç Vote 30—Modernizing Canada's Border Operations..........$135,000,000 ç Vote 35—Protecting People from Unscrupulous Immigration Consultants..........$1,550,000

(Votes 1, 5, 10, 15, 20, 25, 30 and 35 agreed to on division) CANADIAN SECURITY INTELLIGENCE SERVICE ç Vote 1—Program expenditures..........$535,592,804 ç Vote 5—Enhancing the Integrity of Canada's Borders and Asylum System..........$2,020,000 ç Vote 10—Helping Travellers Visit Canada..........$890,000 ç Vote 15—Protecting Canada’s National Security..........$3,236,746 ç Vote 20—Protecting the Rights and Freedoms of Canadians..........$9,200,000 ç Vote 25—Renewing Canada's Middle East Strategy..........$8,300,000

(Votes 1, 5, 10, 15, 20 and 25 agreed to on division) CIVILIAN REVIEW AND COMPLAINTS COMMISSION FOR THE ROYAL CANADIAN MOUNTED POLICE ç Vote 1—Program expenditures..........$9,700,400 ç Vote 5—Enhancing Accountability and Oversight of the Canada Border Services Agency..........$420,000

(Votes 1 and 5 agreed to on division) CORRECTIONAL SERVICE OF CANADA ç Vote 1—Operating expenditures, grants and contributions..........$2,062,950,977 ç Vote 5—Capital expenditures..........$187,808,684 ç Vote 10—Support for the Correctional Service of Canada..........$95,005,372

(Votes 1, 5 and 10 agreed to on division) DEPARTMENT OF PUBLIC SAFETY AND EMERGENCY PREPAREDNESS ç Vote 1—Operating expenditures..........$130,135,974 ç Vote 5—Grants and contributions..........$597,655,353 ç Vote 10—Ensuring Better Disaster Management Preparation and Response..........$158,465,000 ç Vote 15—Protecting Canada's Critical Infrastructure from Cyber Threats..........$1,773,000 ç Vote 20—Protecting Canada’s National Security..........$1,993,464 ç Vote 25—Protecting Children from Sexual Exploitation Online..........$4,443,100 ç Vote 30—Protecting Community Gathering Places from Hate Motivated Crimes..........$2,000,000 ç Vote 35—Strengthening Canada's Anti-Money Laundering and Anti-Terrorist Financing Regime..........$3,282,450

(Votes 1, 5, 10, 15, 20, 25, 30 and 35 agreed to on division) OFFICE OF THE CORRECTIONAL INVESTIGATOR OF CANADA ç Vote 1—Program expenditures..........$4,735,703

(Vote 1 agreed to on division) PAROLE BOARD OF CANADA ç Vote 1—Program expenditures..........$41,777,398

(Vote 1 agreed to on division) ROYAL CANADIAN MOUNTED POLICE ç Vote 1—Operating expenditures..........$2,436,011,187 ç Vote 5—Capital expenditures..........$248,693,417 ç Vote 10—Grants and contributions..........$286,473,483 ç Vote 15—Delivering Better Service for Air Travellers..........$3,300,000 ç Vote 20—Enhancing the Integrity of Canada's Borders and Asylum System..........$18,440,000 ç Vote 25—Protecting Canada’s National Security..........$992,280 ç Vote 30—Strengthening Canada's Anti-Money Laundering and Anti-Terrorist Financing Regime..........$4,100,000 ç Vote 35—Support for the Royal Canadian Mounted Police..........$96,192,357

(Votes 1, 5, 10, 15, 20, 25, 30 and 35 agreed to on division) ROYAL CANADIAN MOUNTED POLICE EXTERNAL REVIEW COMMITTEE ç Vote 1—Program expenditures..........$3,076,946

(Vote 1 agreed to on division) SECRETARIAT OF THE NATIONAL SECURITY AND INTELLIGENCE COMMITTEE OF PARLIAMENTARIANS ç Vote 1—Program expenditures..........$3,271,323

(Vote 1 agreed to on division) SECURITY INTELLIGENCE REVIEW COMMITTEE ç Vote 1—Program expenditures..........$4,629,028

(Vote 1 agreed to on division)

The Chair: Shall the chair report the votes on the 2019-20 main estimates, less the amounts voted in interim estimates, to the House?

Some hon. members: Agreed.

The Chair: The meeting is adjourned.

Comité permanent de la sécurité publique et nationale

(1530)

[Traduction]

Le président (L'hon. John McKay (Scarborough—Guildwood, Lib.)):

Je déclare la séance ouverte.

Je veux remercier le ministre Goodale de sa présence. Il est ici pour parler du Budget principal des dépenses.

Avant qu'il ne commence, j'aimerais mentionner que c'est peut-être la dernière fois que le ministre comparaîtra devant le Comité. Au nom du Comité, je tiens à le remercier, non seulement de sa présence ici, mais de sa volonté pour ce qui est de coopérer avec le Comité et d'examiner tous les amendements qu'il lui a présentés, ainsi que de sa volonté d'accepter un pourcentage assez élevé d'entre eux.

Monsieur le ministre, je vous remercie de votre coopération et de votre relation avec le Comité.

Cela dit...

M. David de Burgh Graham (Laurentides—Labelle, Lib.):

Vous voulez dire dans la présente législature, n'est-ce pas?

Le président:

Pardon?

M. Graham: Vous voulez dire dans la présente législature, n'est-ce pas?

Le président: Oui, dans la présente législature. Nous n'allons pas revenir aux jours de Laurier ou de quoi que ce soit de cette nature.

M. Graham: Ce n'est pas la toute dernière fois.

Le président:

Non, merci.

Monsieur le ministre, allez-y.

L'hon. Ralph Goodale (ministre de la Sécurité publique et de la Protection civile):

Monsieur le président, merci de vos très aimables paroles. Je vous en suis très reconnaissant, et je suis heureux de revenir encore une fois au Comité, cette fois-ci, bien sûr, pour présenter le Budget principal des dépenses 2019-2020 pour le portefeuille de la Sécurité publique.

Pour m'aider à expliquer tous ces chiffres plus en détail et répondre à vos questions aujourd'hui, je suis heureux d'être accompagné de Gina Wilson, la nouvelle sous-ministre de Sécurité publique Canada. Je crois que c'est sa première comparution devant le Comité. Bien sûr, elle n'est pas étrangère au ministère de la Sécurité publique, mais elle a été au cours des dernières années sous-ministre des Femmes et de l'Égalité des genres, un ministère dont elle a présidé la création.

Aux côtés de la sous-ministre aujourd'hui, nous accueillons Brian Brennan, sous-commissaire de la GRC; David Vigneault, directeur du Service canadien du renseignement de sécurité; John Ossowski, président de l'Agence des services frontaliers du Canada; Anne Kelly, commissaire du Service correctionnel du Canada; et Anik Lapointe, dirigeante principale des finances de la Commission des libérations conditionnelles du Canada.

La priorité absolue de tout gouvernement, monsieur le président, est d'assurer la sécurité des citoyens, et je suis très fier de l'immense travail qui est réalisé par ces représentants et les employés qui travaillent sous leur gouverne afin de servir les Canadiens et de les protéger contre toutes sortes de menaces publiques. La nature et la gravité de ces menaces continuent d'évoluer et de changer au fil du temps, et, en tant que gouvernement, nous sommes déterminés à appuyer les femmes et les hommes qualifiés qui travaillent d'arrache-pied afin de nous protéger en leur fournissant les ressources dont ils ont besoin pour pouvoir intervenir. Le budget des dépenses est bien sûr le principal véhicule qui permet de le faire.

Le Budget principal des dépenses 2019-2020 reflète l'engagement d'assurer la sécurité des Canadiens tout en protégeant leurs droits et leurs libertés. Vous remarquerez que, à l'échelle du portefeuille, les autorisations totales demandées cette année entraîneraient une augmentation nette de 256,1 millions de dollars pour le présent exercice, ou 2,7 % de plus que le budget principal de l'an dernier. Bien sûr, certains des chiffres augmentent, et d'autres diminuent, mais le résultat net est une augmentation de 2,7 %.

Un élément clé est un investissement de 135 millions de dollars au cours de l'exercice 2019-2020 pour assurer la durabilité et la modernisation des opérations frontalières du Canada. Le deuxième est 42 millions de dollars pour Sécurité publique Canada, la GRC et l'ASFC, afin qu'elles puissent prendre des mesures contre les armes et les gangs. Le ministre Blair parlera plus en détail du travail qui est réalisé dans le cadre de ces initiatives lorsqu'il comparaîtra devant le Comité.

Pour ma part, aujourd'hui, je vais simplement résumer plusieurs autres mesures de financement qui touchent mon ministère, Sécurité publique Canada, et tous les organismes connexes.

Le ministère prévoit une diminution des dépenses nettes de 246,8 millions de dollars au cours de l'exercice, soit 21,2 % de moins que l'an dernier. C'est attribuable à une diminution de 410,7 millions de dollars dans les niveaux de financement qui ont expiré l'an dernier dans le cadre des Accords d'aide financière en cas de catastrophe. Il y a un autre poste que je présenterai plus tard où le chiffre augmente pour le prochain exercice. Nous devons compenser ces deux postes afin de respecter le flux de trésorerie. Cette baisse assez importante du financement pour le ministère lui-même, 21,2 %, est en grande partie attribuable au changement des AAFCC, pour lesquels le niveau de financement a expiré en 2018-2019.

Nous avons aussi vu une diminution de quelque 79 millions de dollars liée à la présidence par le Canada du G7 en 2018.

Ces diminutions sont partiellement compensées par un certain nombre d'augmentations au chapitre du financement, y compris une subvention de 25 millions de dollars attribuée à Avalanche Canada pour soutenir ses efforts de sensibilisation, de sécurité et de sauvetage; 14,9 millions de dollars pour des projets d'infrastructure liés à la sécurité dans les collectivités autochtones; 10,1 millions de dollars de financement supplémentaire pour le Programme de services de police des Premières Nations; et 3,3 millions de dollars pour réagir aux blessures de stress post-traumatique qui touchent notre personnel qualifié de la Sécurité publique.

(1535)



Le Budget principal des dépenses reflète aussi des mesures annoncées il y a quelques semaines dans le budget de 2019. Pour Sécurité publique Canada, c'est-à-dire le ministère, ces mesures renferment 158,5 millions de dollars pour veiller à une meilleure préparation et intervention pour la gestion des urgences et des catastrophes naturelles au Canada, y compris dans les collectivités autochtones, dont 155 millions de dollars pour compenser en partie cette réduction dans les AAFCC que je viens de mentionner.

On prévoit aussi 4,4 millions de dollars pour lutter contre les crimes vraiment haineux et grandissants de l'exploitation sexuelle en ligne des enfants.

Il y a une somme de 2 millions de dollars pour le programme d'infrastructure, afin de continuer d'aider les collectivités à risque de crimes haineux à améliorer leur infrastructure de sécurité.

On prévoit 2 millions de dollars pour soutenir les efforts visant à évaluer les menaces pour la sécurité nationale fondées sur l'économie et à intervenir en conséquence, et 1,8 million de dollars pour soutenir un nouveau cadre de cybersécurité pour protéger les infrastructures essentielles du Canada, notamment dans le secteur des finances, de l'énergie, des télécommunications et du transport.

Comme vous le savez, dans le budget fédéral de 2019, nous avons également annoncé 65 millions de dollars comme investissement de capitaux ponctuel dans le système de sauvetage aérien STARS afin d'acquérir de nouveaux hélicoptères d'urgence. Cet investissement important ne figure pas dans le Budget principal des dépenses 2019-2020, puisqu'il a été comptabilisé dans l'exercice 2018-2019, c'est-à-dire avant le 31 mars.

Je vais maintenant passer au Budget principal des dépenses 2019-2020 pour les autres organisations du portefeuille de la Sécurité publique, qui ne sont pas le ministère lui-même.

Je vais commencer par l'ASFC, qui sollicite pour le présent exercice une augmentation nette totale de 316,9 millions de dollars. C'est 17,5 % de plus que le budget des dépenses 2018-2019. En plus de ce poste important concernant la durabilité et la modernisation des opérations frontalières dont j'ai déjà parlé, quelques autres augmentations notables comprennent 10,7 millions de dollars pour soutenir les activités liées au Plan des niveaux d'immigration qui a été annoncé pour les trois années 2018 à 2020. Ces activités comptent notamment le contrôle de sécurité, la vérification de l'identité, le traitement des résidents permanents lorsqu'ils arrivent à la frontière et ainsi de suite — toutes les responsabilités de l'ASFC.

Il y a un poste qui prévoit 10,3 millions de dollars pour l'Initiative de modernisation des opérations postales de l'ASFC; il est d'une importance capitale. On prévoit 7,2 millions de dollars pour élargir les sites d'examen sécuritaires, accroître la capacité en matière de renseignement et d'évaluation du risque et renforcer le programme des chiens de détection afin de donner à nos agents les outils dont ils ont besoin pour lutter contre la crise des opioïdes qui continue de sévir au Canada.

Le budget renferme aussi environ 100 millions de dollars en rémunération et régimes d'avantages sociaux des employés liés aux conventions collectives.

Les investissements du budget de 2019 qui ont une incidence sur le Budget principal des dépenses de l'ASFC cette année comprennent un total de 381,8 millions de dollars sur 5 ans pour accroître l'intégrité des frontières et du système d'octroi de l'asile. Même si mon collègue, le ministre Blair, fournira plus de détails sur cette mesure, l'ASFC recevra 106,3 millions de dollars de ce financement au cours du présent exercice.

Le budget de 2019 prévoit aussi 12,9 millions de dollars pour faire en sorte que les agents d'immigration et les agents frontaliers détiennent les ressources nécessaires pour traiter un nombre croissant de demandes de visas canadiens de visiteur et de permis de travail et d'études.

On prévoit 5,6 millions de dollars pour accroître le nombre de chiens de détection déployés dans l'ensemble du pays, afin de protéger les producteurs de porcs et les transformateurs de viande contre les graves menaces économiques posées par la peste porcine africaine.

De plus, il y a 1,5 million de dollars pour protéger les personnes contre les consultants en immigration sans scrupule, en améliorant la surveillance et en renforçant les mesures de conformité et d'application de la loi.

Je souligne également que le gouvernement a annoncé dans le cadre du budget son intention d'introduire la législation nécessaire pour élargir le rôle de la Commission civile d'examen et de traitement des plaintes de la GRC, de manière à ce qu'elle serve d'organisme d'examen indépendant pour l'ASFC. Cette législation proposée, le projet de loi C-98, a été présentée à la Chambre le mois dernier.

(1540)



Je vais maintenant passer à la GRC. Son budget pour 2019-2020 reflète une augmentation de 9,2 millions de dollars par rapport aux niveaux de financement de l'an dernier. Les principaux facteurs qui contribuent à ce changement comprennent des augmentations de 32,8 millions de dollars pour indemniser les membres blessés dans l'exécution de leurs fonctions, 26,6 millions de dollars pour l'initiative visant à assurer la sécurité et la prospérité à l'ère numérique et 10,4 millions de dollars pour des services de toxicologie judiciaire dans le cadre du nouveau régime concernant la conduite avec facultés affaiblies par la drogue.

Le Budget principal des dépenses pour la GRC reflète aussi 123 millions de dollars supplémentaires liés au budget de 2019, y compris 96,2 millions de dollars pour renforcer les opérations policières et globales de la GRC, et 3,3 millions de dollars pour que l'on puisse s'assurer que les voyageurs aériens et les travailleurs des aéroports font l'objet d'un contrôle efficace sur place. Les augmentations du financement pour la GRC sont contrebalancées par certaines diminutions dans le Budget principal de dépenses 2019-2020, y compris 132 millions de dollars liés à la présidence par le Canada du G7 en 2018 et 51,7 millions de dollars liés à l'élimination progressive de projets d'infrastructure.

Je vais maintenant passer au Service correctionnel du Canada. Il sollicite une augmentation de 136 millions de dollars, ou 5,6 %, par rapport au budget de l'an dernier. Les deux principaux facteurs qui contribuent au changement sont une augmentation de 32,5 millions de dollars dans le programme de prise en charge et garde, dont la plus grande partie, 27,6 millions de dollars, vise la rémunération des employés, et 95 millions de dollars annoncés dans le budget de 2019 pour soutenir les activités de détention du SCC.

La Commission des libérations conditionnelles du Canada prévoit une diminution d'environ 700 000 $ dans le Budget principal des dépenses ou 1,6 % de moins que le montant demandé l'an dernier. Et c'est attribuable à un financement ponctuel reçu l'an dernier pour appuyer les rajustements salariaux négociés. Bien sûr, le budget des dépenses renferme également des renseignements au sujet de Bureau de l'enquêteur correctionnel, du SCRS et d'autres organismes qui font partie de mon portefeuille. Je vais simplement mentionner que c'est un portefeuille très chargé, et que les gens qui travaillent au sein de Sécurité publique Canada et de tous les organismes connexes assument d'énormes responsabilités publiques dans l'intérêt de la sécurité publique. Ils mettent toujours la sécurité publique au premier plan tout en s'assurant que les droits et les libertés des Canadiens sont correctement protégés.

Cela dit, monsieur le président, mes collègues et moi serons heureux d'essayer de répondre à vos questions.

(1545)

Le président:

Merci, monsieur le ministre.

Monsieur Picard, allez-y, pour sept minutes. [Français]

M. Michel Picard (Montarville, Lib.):

Merci, monsieur le président.

Monsieur le ministre, mesdames et messieurs, je vous souhaite la bienvenue et je vous remercie de vous prêter encore une fois à cet exercice.

D'entrée de jeu, je vais aborder mon sujet favori: la criminalité financière. Si je combine les crédits de la GRC et du ministère de la Sécurité publique et de la Protection civile du Canada, le total fait un peu plus de sept millions de dollars en investissements... [Traduction]

L'hon. Ralph Goodale:

Je ne reçois aucune interprétation.

M. Michel Picard:

Examinons l'aspect du budget des dépenses qui porte sur le blanchiment d'argent. Le montant combiné pour Sécurité publique et la GRC est d'environ 7 millions de dollars de plus.

Quel type d'amélioration recherchons-nous? S'agit-il seulement du Groupe de lutte contre le blanchiment d'argent ou bien aussi du secteur de GI/TI et d'autres unités qui travaillent en étroite collaboration avec le secteur des crimes financiers ou du financement du terrorisme?

L'hon. Ralph Goodale:

Permettez-moi de demander au sous-commissaire Brennan de répondre.

M. Michel Picard:

Merci.

L'hon. Ralph Goodale:

Incidemment, il vient tout juste d'arriver en poste, au cours des derniers mois, mais il s'habituera à l'expérience très plaisante des audiences des comités à la Chambre des communes.

Sous-commissaire Brian Brennan (Services de police contractuels et autochtones, Gendarmerie royale du Canada):

Merci, monsieur le ministre et monsieur le président.

L'augmentation du financement servirait à tous ces secteurs. Je ne suis pas en mesure de parler précisément des chiffres, de l'endroit où l'argent sera exactement affecté, mais cet investissement vise à accroître notre capacité d'enquête et à soutenir les systèmes nécessaires par rapport à ces types d'enquêtes très particulières.

L'hon. Ralph Goodale:

Si je peux ajouter quelque chose, monsieur Picard, le Budget des dépenses montre 4,1 millions de dollars qui s'en vont directement à la GRC pour rehausser la capacité des services de police fédérale. Environ 819 000 $ sont attribués à Finances Canada pour soutenir son travail lié au blanchiment d'argent. Au total, 3,6 millions de dollars sont destinés à CANAFE pour renforcer sa capacité opérationnelle. On prévoit 3,28 millions de dollars à l'intention du ministère de la Sécurité publique pour la création de l'Équipe d'action, de coordination et d'application de la loi pour la lutte contre le blanchiment d'argent, dans un effort pour réunir avec plus de cohésion tous ces divers filons, de sorte que tout le monde fonctionne exactement de la même manière avec la plus grande efficacité et coopération inter-agences possible.

M. Michel Picard:

Merci, monsieur.

Par rapport au SCRS et à la Stratégie du Canada au Moyen-Orient, qu'avons-nous à changer dans notre stratégie? Qu'est-ce qui ne fonctionne pas ou qui doit être changé?

De plus, par rapport aux récents événements ici et près de nous, le Moyen-Orient ne semble pas être la seule source des menaces que nous recevons, donc pourquoi nous concentrons-nous sur cette région?

L'hon. Ralph Goodale:

Allez-y, monsieur Vigneault.

M. David Vigneault (directeur, Service canadien du renseignement de sécurité):

Merci, monsieur le ministre.

Concrètement, nous nous efforçons de soutenir l'approche pangouvernementale à l'égard des activités au Moyen-Orient, et des activités militaires et diplomatiques en Syrie et en Irak. L'argent que vous voyez ici dans le Budget principal des dépenses représente les affectations particulières pour le SCRS afin de soutenir ces activités. Nous procédons à la collecte du renseignement dans la région et ici, au Canada, pour soutenir cette activité.

De plus, par rapport à votre question, le Budget s'est concentré sur le Moyen-Orient, mais comme vous l'avez signalé, monsieur Picard, nous sommes évidemment préoccupés par les activités et le terrorisme dans le monde entier, pas seulement au Moyen-Orient.

(1550)

M. Michel Picard:

Merci.

L'hon. Ralph Goodale:

Monsieur Picard, puis-je ajouter juste une petite anecdote?

J'ai eu l'occasion précédemment de discuter avec la personne qui était alors secrétaire à la Défense des États-Unis concernant le changement qui a été apporté au déploiement du Canada au Moyen-Orient dans le cadre de la coalition internationale contre Daech. J'ai remarqué l'augmentation très importante de l'investissement que nous réalisons relativement aux activités du renseignement. Le secrétaire des États-Unis s'est dit très en faveur du travail effectué par les Canadiens dans cette zone particulière, particulièrement les activités du renseignement, qu'il a désignées comme étant de première classe et très utiles pour tous les membres de cette coalition afin qu'ils puissent composer efficacement avec les menaces que présente Daech.

M. Michel Picard:

C'est ma première expérience et mon premier mandat, et je crois savoir que nous devons justifier les postes où nous dépensons de l'argent. Comme prochaine question, j'aimerais savoir pourquoi nous ne dépensons pas un montant d'argent précis sur un sujet précis, et nous justifierions donc des dépenses accrues... Pour ce qui est de l'infrastructure relative aux cybermenaces, je vois que nous avons prévu plus de 1,7 million de dollars. Mon inquiétude, ce n'est pas que nous ayons de l'argent pour les cybermenaces; c'est que nous n'en ayons pas ailleurs.

D'après nos études sur les institutions démocratiques, l'éthique et l'information publique ici, sur les cybermenaces et les crimes financiers, ce sujet était partout. Les gens prennent peur lorsqu'ils entendent parler de ce que nous apprenons chaque jour au sujet de cette menace qui comporte plusieurs facettes. Je ne vois rien dans le budget à propos de ce sujet précisément, donc pourriez-vous profiter de l'occasion pour donner des explications?

L'hon. Ralph Goodale:

Je serai heureux de le faire, monsieur Picard, car il est fort possible que des gens examinent ce chiffre de 1,8 million de dollars et se demandent comment cela couvre le domaine. Eh bien, ça ne le fait pas. C'est un petit aperçu d'une partie des dépenses que nous consacrons à toute la cause de la cybersécurité.

Dans nos deux ou trois derniers budgets, nous avons inclus une série d'investissements. Bien sûr, ils sont reportés dans le cadre du processus du Budget des dépenses, mais vous devez en fait examiner les sections du budget qui brossent le portrait le plus complet.

Dans divers ministères, nous investissons, dans le cadre du budget de l'an dernier, 750 millions de dollars pour renforcer la cybersécurité au Canada, dont une partie permet de créer le nouveau Centre pour la cybersécurité, et une partie crée la nouvelle Unité de coordination de la lutte contre la cybercriminalité au sein de la GRC. Il y a toute une série d'investissements pour renforcer notre approche en matière de cybercriminalité et de cybersécurité.

Dans le dernier budget, l'investissement principal était de 145 millions de dollars, dont cet investissement constitue la première très petite tranche, pour soutenir la sécurité de nos cybersystèmes essentiels. Nous avons recensé quatre domaines en particulier: les finances, les télécommunications...

Rappelez-moi ce qu'ils sont. Je veux m'assurer que j'ai bien les quatre cybersystèmes essentiels...

Le président:

Nous pouvons y revenir. M. Picard a largement dépassé le temps.

L'hon. Ralph Goodale:

J'essaie de réciter le discours sur le budget.

Il y a quatre domaines particuliers dans lesquels nous investirons pour soutenir une nouvelle législation qui exigera certaines normes à l'égard de ces secteurs essentiels et créera les mécanismes d'application de la loi pour que l'on s'assure que ces normes sont respectées. Il est d'une importance capitale, monsieur Picard, que nos cybersystèmes essentiels se protègent et emploient toutes les procédures nécessaires pour rester sécuritaires. Nous travaillons à créer le cadre législatif pour nous assurer que ça se passe, avec le bon type de mécanismes d'application de la loi qui l'appuient et le financement, dont la somme de 1,8 million de dollars ne représente que la toute première petite tranche. Nous nous assurerons que ces systèmes sont bel et bien sécuritaires et sûrs et que nous possédons les bons mécanismes d'application de la loi pour appliquer les exigences.

(1555)

Le président:

Merci, ministre Goodale, de cette réponse détaillée.

Monsieur Paul-Hus, allez-y, pour sept minutes. [Français]

M. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, PCC):

Merci, monsieur le président.

Monsieur le ministre, mesdames et messieurs, bonjour.

Monsieur le ministre, j'ai une question qui touche plusieurs de vos agences, en lien avec l'information diffusée par les médias du Québec, particulièrement TVA, concernant les cartels mexicains de la drogue qui brassent des affaires au Canada. Ce matin, j'ai rencontré Son Excellence l'ambassadeur du Mexique au Canada, M. Camacho , et nous avons discuté de la situation.

Je sais que l'on vous a déjà interrogé à ce sujet pendant la période des questions orales et que vous avez répondu que cette information était fausse. Je voudrais donc savoir ce que vous savez et ce qui est vraiment fait au Canada pour y contrer les cartels mexicains. Le Canada fait affaire avec le Mexique, qui est l'un de ses plus grands partenaires et un ami. Ce n'est pas le Mexique qui est visé ici, mais plutôt les gens qui arrivent au Canada avec un passeport mexicain pour travailler pour les cartels mexicains de la drogue. C'est à ces gens que nous voulons nous attaquer. Que fait-on pour les contrer? [Traduction]

L'hon. Ralph Goodale:

Je vous remercie de poser la question, monsieur Paul-Hus. Il est important d'obtenir des renseignements exacts dans le domaine public. Les chiffres que vous avez mentionnés au sujet de certains médias ont laissé l'ASFC perplexe, car elle n'a pas été en mesure de vérifier d'où provenaient ces calculs. M. Ossowski pourrait vouloir se prononcer à ce sujet, car au cours des derniers jours, il a demandé à ses représentants de l'ASFC d'éplucher les dossiers pour voir d'où provenaient ces calculs, et on ne peut simplement pas les vérifier.

Ce que je peux vous dire, c'est que l'ASFC a déterminé que le nombre de cas d'interdiction de territoire pour tous les types de criminalité touchant les ressortissants mexicains durant les 18 derniers mois, de janvier 2018 jusqu'à aujourd'hui, s'élève à 238. Sur ces 238 personnes, seulement 27 ont été déclarées interdites de territoire en raison de liens avec une organisation criminelle connue, dont trois concernaient des liens suspects avec des cartels.

Les chiffres réels sont considérablement plus bas que ceux qui ont été mentionnés dans les médias. Toutes ces 27 personnes qui ont été déclarées interdites de territoire en raison de liens avec la criminalité organisée ont été renvoyées du Canada. Elles ne se trouvent plus au pays. [Français]

M. Pierre Paul-Hus:

Merci de votre réponse, monsieur le ministre.

Il reste qu'un individu a été clairement identifié. Comment se fait-il que cette personne, reconnue comme un criminel par le Mexique, ait pu franchir notre frontière? N'y a-t-il pas d'échange d'information entre les deux pays sur toute personne arrivant au Canada? Le fait que cette personne est reconnue comme un criminel par le Mexique n'est-il pas inscrit dans une banque de données? Comment cela fonctionne-t-il avec l'ASFC? [Traduction]

L'hon. Ralph Goodale:

Toutes les vérifications appropriées pour ce qui est de l'identité, des dossiers, des questions d'immigration liées aux antécédents et de la criminalité ont été soigneusement effectuées par l'ASFC à la frontière.

Monsieur Ossowski, pouvez-vous parler de la personne précise à laquelle M. Paul-Hus fait allusion?

M. John Ossowski (président, Agence des services frontaliers du Canada):

Merci.

Je dirais juste que, dans le premier cas, je crois qu'il est important de comprendre les niveaux de sécurité. Nous travaillons dans des aéroports et auprès de représentants mexicains au Mexique, d'abord pour empêcher des gens de monter à bord de vols vers le Canada s'ils ne détiennent pas la documentation appropriée ou s'il y a des préoccupations en matière de fausses déclarations ou de criminalité. Cela dit, si ces gens arrivent et que des préoccupations sont soulevées, nos agents sont très bien formés pour composer avec celles-ci dès leur arrivée. Les personnes pourraient être autorisées à partir à ce moment-là, si elles restent à l'aéroport jusqu'au prochain vol, puis retournent chez elles. Si elles arrivent et que nous soupçonnons que nous devons faire un certain travail, nous vérifierons la possibilité de toute criminalité durant l'inspection secondaire.

Durant cette même période de référence, je peux dire que nous avons repéré 18 personnes qui avaient utilisé de faux titres de voyage et avons été en mesure de les empêcher d'entrer. Il y a des niveaux de sécurité.

Pour ce qui est de cette personne particulière, elle a été renvoyée du pays.

(1600)

[Français]

M. Pierre Paul-Hus:

Je comprends que vous pouvez avoir cette information d'avance puisque je sais qu'il y a des agents au Mexique et des ententes avec ce pays. Il y a des milliers de Mexicains qui viennent au Canada. N'y a-t-il pas de mécanismes informatiques adéquats dans les systèmes de l'ASFC? Les données des passeports n'y sont-elles pas disponibles, surtout dans le cas de criminels reconnus? N'y a-t-il pas d'échanges d'information sur ces criminels, un peu comme Interpol? [Traduction]

M. John Ossowski:

Je crois qu'il est important de comprendre les différences. Pour ce qui est du Mexique, les visas ne sont pas nécessaires pour pouvoir venir au Canada. Nous avons levé l'obligation relative au visa il y a quelques années. Les Mexicains voyagent maintenant grâce à ce qui s'appelle le programme d'autorisation de voyage électronique. C'est allégé sur le plan de la criminalité.

Comme j'ai dit, s'ils arrivent et que l'on cerne quelques préoccupations ou indicateurs, nous procédons à ces vérifications criminelles au point d'entrée dès leur arrivée. [Français]

M. Pierre Paul-Hus:

Merci.

Monsieur le ministre, le 10 mai, un camion-citerne est entré en collision avec un avion à l'aéroport Pearson. Le Globe and Mail nous a appris que le véhicule avait tenté à trois reprises d'emboutir l'avion. La police de Peel mène l'enquête, mais la situation est très suspecte et il pourrait s'agir d'un attentat délibéré. Avez-vous plus d'information là-dessus? [Traduction]

L'hon. Ralph Goodale:

Il n'y a aucun renseignement que je suis en mesure de fournir en ce moment, monsieur Paul-Hus, relativement à cet incident particulier. Toutefois, je m'engage à voir s'il y a d'autres détails que je pourrai vous communiquer, en tant que collègue à la Chambre des communes. Je vais faire enquête et déterminer quel type de renseignements peuvent être diffusés dans le domaine public.

Le président:

Merci, monsieur Paul-Hus et monsieur le ministre.

Monsieur Dubé, allez-y, pour sept minutes, s'il vous plaît. [Français]

M. Matthew Dubé (Beloeil—Chambly, NPD):

Merci, monsieur le président.

Je remercie tous les témoins de leur présence aujourd'hui.

Monsieur le ministre, nous avons accueilli M. David McGuinty lorsqu'il est venu nous présenter le premier rapport annuel du Comité des parlementaires sur la sécurité nationale et le renseignement. J'oublie l'endroit précis du rapport et je vous prie de me le pardonner, mais il y était indiqué qu'on ne pouvait pas dévoiler les montants consacrés à la sécurité nationale.

Pourtant, le rapport fournissait ces montants et leur ventilation pour l'Australie. Quand j'ai soulevé cette contradiction avec M. McGuinty, il m'a confirmé que les membres du Comité avaient posé la question aux fonctionnaires qui faisaient la présentation, mais s'étaient fait répondre qu'il s'agissait d'une question de sécurité nationale et que l'on ne pouvait donc pas divulguer cette information.

Je me demandais si vous pouviez clarifier la raison pour laquelle l'Australie, une alliée et membre du Groupe des cinq, estime que ses dépenses peuvent être rendues publiques, mais pas le Canada. [Traduction]

L'hon. Ralph Goodale:

Monsieur Dubé, notre préoccupation tient à la fourniture de renseignements dans le domaine public qui pourrait en fait révéler des détails opérationnels sensibles et très critiques concernant la GRC, le SCRS ou l'ASFC d'une façon qui pourrait compromettre leur capacité d'assurer la sécurité des Canadiens.

L'information peut être communiquée dans le contexte du Comité des parlementaires sur la sécurité nationale et le renseignement. Elle serait également accessible au nouvel Office de surveillance des activités en matière de sécurité nationale et de renseignement, qui sera créé en vertu du projet de loi C-59. Ce sont des environnements classifiés pour lesquels les députés autour de la table possèdent le niveau d'autorisation approprié. C'est plus difficile de communiquer cette information ici. [Français]

M. Matthew Dubé:

Je comprends que c'est classifié et que cela impose certaines limites. Je ne veux pas trop m'acharner là-dessus, parce que j'ai des questions à poser sur d'autres sujets. Cependant, comme je l'ai évoqué, les Australiens rendent cette information publique, ce dont le rapport fait état.

M. McGuinty nous a confié que le Comité des parlementaires sur la sécurité nationale et le renseignement n'avait pas reçu de réponse adéquate à ce sujet. Pourquoi cette différence entre le Canada et l'Australie? Je comprends les mécanismes qui s'appliquent, mais il semblerait que votre logique va à l'encontre de celle des Australiens.

(1605)

[Traduction]

L'hon. Ralph Goodale:

Loin de moi l'idée de critiquer les Australiens, mais nous avons notre propre logique canadienne, et notre obligation ici consiste à protéger la sécurité publique et la sécurité nationale des Canadiens.

Monsieur Dubé, j'aimerais simplement encourager M. McGuinty et le Comité des parlementaires sur la sécurité nationale et le renseignement à suivre avec attention cette question auprès des divers organismes de sécurité, ce qu'ils ont le pouvoir de faire en vertu de la législation, pour obtenir l'information dont ils estiment avoir besoin. J'encouragerais les organismes à présenter...

M. Matthew Dubé:

Monsieur le ministre, je vais devoir vous interrompre, car mon temps est limité et que c'est probablement le seul tour où je pourrai vous poser des questions.

J'aimerais juste dire que je crois c'est une chose importante à soulever, parce que, au chapitre des dépenses, tous les parlementaires ont un rôle particulier à jouer, au-delà du seul Comité, pour ce qui est de l'autorisation, qui peut concerner davantage les détails opérationnels. L'argent est une affaire complètement différente, comme M. Picard l'a dit dans ses questions concernant le rôle que même nous pouvons jouer en tant que personnes présentes au Comité.

Sur ce, j'aimerais passer à l'ASFC et à la CCETP. Nous savons que le projet de loi C-98 est déposé à la Chambre. Je me demande si vous pourriez clarifier les choses. Au total, 500 000 $ sont destinés à l'ASFC, et 420 000 $ à la CCETP. J'ai deux questions à ce sujet.

D'abord, est-ce là tout l'argent qui découlera du mécanisme associé au projet de loi C-98 ou y a-t-il plus d'argent qui suivra la mise en œuvre de ces mesures? Ensuite, qu'est-ce qui explique cet écart? Si c'est 500 000 $ pour l'ASFC, fait-elle le travail d'examen de surveillance à l'interne, ou ce travail sera-t-il renvoyé à la CCETP une fois que le projet de loi C-98 sera adopté?

L'hon. Ralph Goodale:

Encore une fois, les chiffres qui figurent dans ce Budget des dépenses sont l'aperçu initial, une tranche de un an, du début d'un processus. C'est un processus très important. Alors que, comme vous le savez, la CCETP se concentrait au préalable totalement sur la GRC, nous allons maintenant élargir l'organisme. Il continuera sa fonction d'examen relativement à la GRC, mais il assumera aussi la responsabilité de la fonction d'examen pour l'ASFC.

L'attente est la suivante: pour toute plainte du public concernant le comportement d'un agent ou une situation particulière qui se présente à la frontière ou quelque autre sujet comme la gestion de la détention, par exemple, une plainte pourrait être déposée auprès de cette nouvelle entité élargie, et elle aurait la compétence totale pour enquêter sur cette plainte du public.

M. Matthew Dubé:

Eh bien, avec tout le respect que je vous dois, mieux vaut tard que jamais, et j'espère certainement qu'on l'adoptera avant que le Parlement n'ajourne.

L'hon. Ralph Goodale:

Moi aussi, monsieur Dubé.

M. Matthew Dubé:

Ma dernière question concerne le crédit 15, qui porte sur les « menaces pour la sécurité nationale fondées sur l'économie » dans le cadre du mandat du SCRS. Qu'est-ce qu'une menace pour la sécurité nationale fondée sur l'économie dans le contexte de ce que vous êtes autorisé à nous dire ici aujourd'hui?

L'hon. Ralph Goodale:

Eh bien, je pourrais vous donner mon explication en des termes simples.

Monsieur Vigneault, aimeriez-vous fournir la définition officielle?

M. David Vigneault:

Oui. Merci, monsieur le ministre.[Français]

Merci, monsieur Dubé.[Traduction]

Essentiellement, c'est lié aux investissements étrangers globaux dans le pays, lorsque nous examinons les entreprises étatiques différentes d'un pays différent, les diverses entités, qui essaient d'investir dans de nouvelles installations ici, au Canada.

C'est la capacité du service de contribuer aux efforts de la communauté de la sécurité nationale afin d'évaluer si ces transactions présentent une dimension liée à la sécurité nationale. Parfois, c'est en raison de la propriété, et parfois, de la nature de la technologie qui pourrait être acquise. C'est notre capacité globale d'enquêter et de produire la bonne analyse pour soutenir la prise de décisions de Sécurité publique, d'autres organismes et, au bout du compte, du Cabinet, en vertu de la Loi sur Investissement Canada.

Le président:

Merci, monsieur Dubé.

Monsieur Spengemann, s'il vous plaît, pour sept minutes.

M. Sven Spengemann (Mississauga—Lakeshore, Lib.):

Merci, monsieur le président.

Monsieur Goodale, nous arrivons à la fin de la législature. J'aimerais juste prendre un moment pour vous remercier, ainsi que votre équipe de conseillers, au nom des gens de Mississauga—Lakeshore, la circonscription que je représente, de votre travail, et par votre entremise, les hommes et les femmes, les membres de notre fonction publique, qui font ce travail incroyablement important de sécurité publique et de sécurité nationale, jour après jour.

Il y a quelques jours, j'ai eu l'occasion de rencontrer un groupe d'élèves incroyables de 7e et 8e années à l'école Olive Grove, une école islamique dans ma circonscription. Cette rencontre faisait partie de la Journée du représentant du Canada organisée par CIVIX, qui est une journée pour faire venir des représentants élus en classe.

Il y a eu une excellente discussion. Un des points que nous avons abordés était les crimes violents, et particulièrement la violence par les armes à feu. Je sais que le ministre Blair sera avec nous plus tard. Nous avons sondé les élèves pour savoir quelles questions étaient importantes, et quand il s'agissait de la violence commise par les armes à feu et les crimes violents, presque chaque main s'est levée parmi les élèves de 7e et de 8e  années.

Nous avons un engagement de 2 millions de dollars à l'égard d'un programme visant à protéger les lieux de rassemblement communautaire contre les crimes motivés par la haine, mais aussi le Centre canadien d'engagement communautaire et de prévention de la violence. Que faisons-nous en ce moment pour nous attaquer aux causes profondes des crimes violents et pour nous assurer qu'il y a un degré de sécurité pour les élèves de 7e et 8e années qui appartiennent à une école confessionnelle, pour qu'ils se sentent en sécurité quand ils étudient dans leur collectivité et leur centre d'apprentissage?

(1610)

L'hon. Ralph Goodale:

C'est une question très importante, monsieur Spengemann, et il y a plusieurs réponses à cette question.

Merci d'avoir souligné le bon travail du Centre d'engagement communautaire du Canada au sein de mon ministère. Son objectif global est de coordonner et de soutenir les activités à l'échelon communautaire partout au pays; certaines sont dirigées par les municipalités, les gouvernements provinciaux ou des organisations universitaires, et d'autres par des services de police qui tendent la main à la collectivité afin de contrer ce processus insidieux de radicalisation menant à la violence.

Une partie de leur travail repose purement sur la recherche; une autre, sur la prestation de programmes; d'autres parties consistent à aider les groupes qui fournissent les messages contraires à des gens qui se dirigent dans une trajectoire négative vers l'extrémisme et la violence. Le centre canadien est opérationnel depuis deux ans et demi, et il a fait un travail très important.

Le programme particulier auquel vous faites référence, je crois, est différent. C'est le Programme de financement des projets d'infrastructure de sécurité qui, quand nous sommes arrivés au pouvoir il y a trois ans et demi, était financé à hauteur d'environ un million de dollars par année, si je ne m'abuse. C'était une bonne initiative, mais sa portée était assez limitée. Nous avons quadruplé les fonds, et ils s'élèvent maintenant à 4 millions de dollars par année. Nous avons élargi les critères par rapport à ce que le programme peut en fait soutenir.

Par exemple, un des récents changements est de permettre qu'une partie du financement du Programme de financement des projets d'infrastructure de sécurité serve à la formation dans des écoles, des lieux de culte ou des centres communautaires, où cette formation peut en fait vous aider à savoir quoi faire en cas d'incident. C'est comme un exercice d'incendie à l'école. Comment réagissez-vous, disons, devant un tireur actif ou un incident de violence?

Dans le cas de la synagogue Tree of Life à Pittsburgh, l'automne dernier, on a découvert qu'une formation préalable avait vraiment servi à changer les choses dans cette situation. Puisqu'ils avaient reçu une formation appropriée, des gens sur les lieux savaient exactement comment réagir devant une situation de tireur actif. Les gens de cette synagogue sont d'avis que la formation a réellement servi à sauver des vies.

Nous avons modifié les conditions du Programme de financement des projets d'infrastructure de sécurité afin de pouvoir payer, en plus de la télévision à circuit fermé, de meilleures portes, des barrières et d'autres mesures de protection qui entrent dans la conception d'un immeuble, et la rénovation de l'immeuble lui-même pour le rendre aussi efficace que possible afin d'assurer la sécurité des gens.

M. Sven Spengemann:

Merci.

Je vais maintenant passer à un autre sujet pour vous amener dans le domaine cybernétique. Je crois que 9,2 millions de dollars servent à la protection des droits et des libertés des Canadiens. Une préoccupation qui est soulevée concerne la cyberintimidation, particulièrement celle dirigée contre les jeunes et les gens LGBTQ2+, mais aussi d'autres communautés vulnérables.

Pouvez-vous dire au Comité ce que fait le ministère au sujet de l'intimidation en ligne, précisément?

L'hon. Ralph Goodale:

C'est une initiative qui réunit non seulement mon ministère, mais d'autres ministères au sein du gouvernement du Canada. L'objectif global est d'abord de rehausser le degré de sensibilisation par rapport à une partie des activités insidieuses qui ont lieu en ligne. Ce pourrait être de l'intimidation ou de l'exploitation sexuelle des enfants. L'une entraîne souvent l'autre. Ce pourrait être le trafic de personnes ou l'extrémisme violent. Dans un autre cadre, il pourrait s'agir d'attaques contre nos institutions démocratiques. Il y a toute une gamme de préjudices sociaux qui sont perpétrés sur Internet. Notre objectif consiste à élever le degré de sensibilisation publique, de sorte que les gens comprennent et connaissent mieux la littératie numérique, afin qu'ils sachent ce dont ils sont victimes en ligne et puissent établir une distinction entre une activité légitime et une activité illégitime.

Comme je l'ai dit plus tôt, nous avons aussi créé de nouveaux systèmes de cybersécurité — le premier au sein du Centre de la sécurité des télécommunications, et l'autre à la GRC — ce qui les rend, pour ce qui est de l'unité policière, plus accessibles au public, grâce à un mécanisme de signalement à guichet unique. Les gens savent où ils peuvent signaler des cybercrimes et des incidents sur Internet qui doivent être portés à l'attention des agents publics.

C'est un problème vraiment universel, qui nous occupe littéralement chaque minute. Nous devons mobiliser tous les Canadiens dans cet effort pour comprendre leur vulnérabilité en ligne, puis rendre rapidement accessibles les mécanismes d'intervention à tous les ordres de gouvernement. C'est ce que nous essayons de faire.

(1615)

Le président:

Merci, monsieur Spengemann...

L'hon. Ralph Goodale:

Pour répondre à un dernier petit point, monsieur le président, les systèmes d'infrastructures essentielles auxquels je faisais allusion plus tôt sont les finances, les télécommunications, l'énergie et le transport.

Le président:

Merci.

Je suis sûr que M. Motz est heureux de le savoir.

M. Glen Motz (Medicine Hat—Cardston—Warner, PCC):

En effet. Merci.

Le président: Vous avez cinq minutes, monsieur Motz.

M. Motz: Merci, monsieur le président.

Merci, monsieur le ministre, à vous et à votre équipe, d'être ici.

Monsieur le ministre, on a entendu beaucoup de rumeurs récemment par rapport au fait que votre gouvernement songe à interdire certains types d'armes à feu, peut-être pas plus tard que cette semaine. Je vais vous poser une question très simple et claire: envisagez-vous d'adopter un décret pour interdire certaines armes à feu, oui ou non?

L'hon. Ralph Goodale:

Le premier ministre...

M. Glen Motz:

Oui ou non.

L'hon. Ralph Goodale:

... a invité le ministre Blair pour examiner cette question, et il rendra compte de ses recommandations sous peu. Aucune décision finale n'a encore été prise. Il sera en mesure de vous fournir une description exacte de ses délibérations lorsqu'il comparaîtra.

M. Glen Motz:

Monsieur le ministre, je sais que, généralement, votre parti a tendance à traiter les propriétaires d'armes à feu canadiens respectueux de la loi comme des citoyens de seconde classe...

L'hon. Ralph Goodale:

Non, ce n'est pas vrai.

M. Glen Motz:

... mais je veux dire clairement que l'industrie des armes à feu au Canada produit annuellement des centaines de millions de dollars de ventes et qu'elle est responsable de milliers d'emplois. Il y a des conséquences réelles aux tentatives de renforcer votre flanc gauche durant une année électorale, mais avec fort peu de réalisations jusqu'à maintenant dans votre gouvernement.

Encore une fois, oui ou non, prévoyez-vous interdire les armes à feu au pays?

L'hon. Ralph Goodale:

Monsieur Motz, vous savez très bien que c'est un sujet stratégique précis sur lequel le premier ministre a demandé au ministre Blair de se pencher et de rendre des comptes. Il a mené des consultations élargies, probablement les plus grandes de l'histoire canadienne. Il présentera ses recommandations sous peu.

M. Glen Motz:

Très bien. Donc, nous attendons toujours.

Je vais passer à mon autre question. Nous savons que la majorité des homicides liés aux armes à feu dans notre pays ne sont pas commis par les détenteurs de permis d'arme valides. Au cours des 15 dernières années environ, ce pourcentage a été extrêmement faible. Le fait de cibler une population qui respecte la loi dès le départ, avec le projet de loi C-71, plutôt de s'en prendre aux gangs et aux problèmes des armes à feu que nous connaissons au pays... votre gouvernement a affaibli les sanctions prévues pour les gangs et l'affiliation à des gangs et a complexifié les choses pour les actuels propriétaires d'armes à feu respectueux de la loi. Comment conciliez-vous cela?

L'hon. Ralph Goodale:

Eh bien, nous avons investi 327 millions de dollars dans une stratégie qui se consacre directement à la lutte aux armes à feu et aux gangs. De ce total, 214 millions de dollars serviront aux provinces et aux collectivités, afin qu'elles puissent soutenir leurs stratégies locales de lutte contre les gangs. Environ 50 millions de dollars seront destinés à l'ASFC, pour contribuer à l'interception des armes illégales qui arrivent par la frontière, et environ 35 millions de dollars à la GRC, pour appuyer ses efforts de lutte contre le trafic illégal d'armes à feu.

Il y a tout un ensemble de...

(1620)

M. Glen Motz:

En 2017, vous avez promis 500 millions de dollars aux services de police pour lutter contre les gangs et les armes à feu, puis c'était 327 millions de dollars. Je me demande quelle partie de cet argent a réellement été donnée aux provinces pour qu'elles puissent composer avec leurs problèmes de gangs et d'armes.

L'hon. Ralph Goodale:

Les accords avec les provinces sont sur le point d'être conclus.

Dans ma province, la Saskatchewan, l'accord est conclu, et le ministre provincial et moi en avons fait l'annonce ensemble. Il y a eu des annonces dans plusieurs provinces et territoires du pays. Les choses avancent.

Notre engagement, c'était d'atteindre le niveau de 100 millions de dollars par année de façon permanente, et nous respecterons cette cible. Les 327 millions de dollars dont j'ai parlé étaient au début de cet engagement, pour aider tous les autres ordres de gouvernement à être aussi efficaces que possible dans leur gestion du problème des armes illégales et des gangs. Vous pouvez probablement ajouter une troisième composante à tout ça, les drogues, parce qu'elles sont habituellement présentes, elles aussi.

Les armes, les gangs et les drogues, c'est ce à quoi l'argent servira, de pair avec des modifications de la loi pour améliorer les vérifications des antécédents, exiger une vérification des permis et normaliser les pratiques exemplaires en matière de tenue de dossiers.

Le président:

Il vous reste un peu moins d'une minute.

M. Glen Motz:

Merci, monsieur le président.

À titre informatif, nous n'allons pas entreprendre un débat sur le projet de loi C-71, parce que ce n'est pas exactement vers ça qu'on s'enligne.

Votre collègue, M. Blair, a dit qu'il n'y a aucune raison pour quiconque d'être propriétaire de ce qui est en réalité un fusil de chasse moderne, parce que ce sont des armes conçues pour blesser les gens. Cette déclaration est non seulement offensante, mais incroyablement erronée et mal avisée. En outre, elle vise délibérément à tromper les Canadiens.

J'aimerais savoir quelle est votre réponse à cette affirmation, monsieur, pour les hommes et les femmes de notre équipe olympique canadienne de tir, par exemple, qui représentent le Canada à Tokyo, lorsqu'ils entendent une telle déclaration formulée par un ministre du gouvernement.

Le président:

Vous allez devoir garder votre réponse pour plus tard.

Votre temps est expiré, monsieur Motz. Je suis sûr que vous aurez l'occasion de demander directement à M. Blair ce qu'il a voulu dire en formulant cette déclaration.

Passons maintenant à Mme Sahota.

Mme Ruby Sahota (Brampton-Nord, Lib.):

Merci, monsieur le ministre, d'être là aujourd'hui et de l'avoir été toutes les autres fois où vous avez comparu devant le Comité. Vos réponses sont toujours intéressantes.

Vous avez parlé dans votre déclaration du financement futur pour les mesures d'application de la loi touchant les consultants en immigration sans scrupules. Je sais que cela relève non seulement de votre ministère, mais aussi de Citoyenneté et Immigration.

Pouvez-vous nous fournir un peu plus de renseignements sur ce à quoi il faut s'attendre et sur la façon dont les mesures d'application de la loi seront mises en œuvre?

L'hon. Ralph Goodale:

Permettez-moi de demander à M. Ossowski de fournir des renseignements détaillés à ce sujet.

M. John Ossowski:

Merci.

Nous obtenons environ 200 pistes par année, et cela mène à environ 50 enquêtes. Les fonds supplémentaires que nous allons recevoir nous aideront à composer avec certains des cas plus complexes tout en renforçant de façon générale notre capacité de mener de telles enquêtes et, nous l'espérons, de mettre fin au problème.

Mme Ruby Sahota:

Pouvez-vous nous en dire plus sur les pistes?

Les clients de ces consultants appellent-ils l'Agence des services frontaliers du Canada, l'ASFC pour les dénoncer?

M. John Ossowski:

Ce peut être une diversité de sources qui nous informent. Parfois, c'est notre propre analyse découlant de notre travail auprès de la Commission de l'immigration et du statut de réfugiés, si les responsables de la Commission estiment que quelque chose est suspect. Il peut y avoir un certain nombre de façons différentes pour nous de découvrir qu'une personne doit faire l'objet d'une enquête.

Mme Ruby Sahota:

Quel genre de gestes ou de mesures pouvez-vous prendre contre ces personnes?

M. John Ossowski:

Au bout du compte, elles peuvent faire face à des accusations criminelles.

Mme Ruby Sahota:

Cela relèverait de votre compétence, que...

M. John Ossowski:

Si on parle d'une infraction criminelle, alors tout dépend de la question de savoir si nous avons travaillé avec la GRC. Tout dépend de la nature du résultat de l'enquête.

Mme Ruby Sahota:

D'accord.

Cette augmentation est-elle une première ou est-ce le montant régulier qui est habituellement attribué?

M. John Ossowski:

Non. C'est une augmentation de 10 millions de dollars sur cinq ans, donc on parle d'environ de 2 millions de dollars, si je me rappelle bien la structure de tout ça. C'est tout simplement, comme je l'ai dit, pour accroître notre capacité, parce que nous commençons à rencontrer un peu plus de ce type de dossiers et, comme je l'ai dit, certains de ces cas sont complexes et font intervenir plusieurs clients, et nous voulons passer en revue toute cette information et mieux concentrer nos efforts.

(1625)

Mme Ruby Sahota:

D'accord.

Récemment, monsieur le ministre, nous avons beaucoup entendu parler aux nouvelles des inondations en Ontario, au Québec et au Nouveau-Brunswick. Quelle part de votre budget a été dépensée pour atténuer les répercussions des inondations ou composer avec leurs conséquences?

L'hon. Ralph Goodale:

En fait, nous pouvons vous fournir un état des paiements liés aux accords d'aide financière en cas de catastrophe, les Accords d'aide financière en cas de catastrophe, les AAFC, des dernières années. C'est vraiment instructif. Je serai heureux de fournir l'information au Comité, parce qu'on peut voir que les pertes couvertes par les AAFC au cours des six dernières années — principalement pour des inondations et des feux de forêt — sont plus élevées que l'ensemble des dépenses du programme au cours des années précédentes, remontant jusqu'en 1970.

Mme Ruby Sahota: Wow.

L'hon. Ralph Goodale : Il est évident qu'il se passe quelque chose du côté climatique et vu l'incidence des feux de forêt et des inondations au cours des dernières années. Le rythme s'accélère de façon marquée.

Mme Ruby Sahota:

Il y en a eu plus au cours des six dernières années que depuis 1970?

L'hon. Ralph Goodale:

Oui.

Mme Ruby Sahota:

Les critères ont-ils changé quant aux conditions d'admissibilité au financement gouvernemental ou est-ce principalement en raison des changements climatiques et du fait que de tels événements se produisent plus souvent?

L'hon. Ralph Goodale:

Chaque année, on assiste à un plus grand nombre d'incidents, qui ont tendance à être plus graves et plus dispendieux. Les critères sont essentiellement les mêmes. En fait, il y a quelques années, le gouvernement précédent a rajusté la formule de financement afin que les provinces paient une plus grande part avant que la contribution fédérale entre en jeu, et cela aurait tendance à réduire le montant dépensé par le gouvernement fédéral en raison du léger rajustement de la formule de partage des coûts. Et malgré tout, le montant des paiements fédéraux est plus élevé parce que les pertes sont plus importantes.

Vous n'avez qu'à penser aux événements spectaculaires, comme l'inondation près de High River, en Alberta, il y a quelques années. Je crois qu'il s'est agi de l'inondation la plus onéreuse de l'histoire canadienne. Fort McMurray dans le Nord de l'Alberta a été le théâtre du pire incendie de l'histoire canadienne. Deux années très dispendieuses en Colombie-Britannique ont suivi.

Nous constatons aussi de graves problèmes ce printemps, en raison des inondations survenues il y a quelques semaines au Manitoba, en Ontario, au Québec et au Nouveau-Brunswick, et, maintenant, au cours de la dernière semaine, environ, on est aux prises avec des feux de forêt sur les territoires de la Première Nation de Pikangikum dans le Nord-Ouest de l'Ontario et aussi dans le Nord de l'Alberta. Je crois qu'environ 11 000 personnes ont maintenant été évacuées dans le Nord de l'Alberta, et toute la collectivité de Pikangikum est en train d'être évacuée.

C'est un problème très grave. Les changements climatiques ont des conséquences, et ces conséquences sont de plus en plus graves.

Le président:

Nous devons nous arrêter ici.

Nous approchons de la fin, mais je crois que M. Eglinski peut avoir deux ou trois minutes pour poser une question, s'il le désire.

L'hon. Ralph Goodale:

J'espère que c'est au sujet de Grande Cache.

M. Jim Eglinski (Yellowhead, PCC):

Vous n'aurez pas cette chance cette fois-ci...

Merci à tous les témoins et félicitations, monsieur Brennan, de votre récente promotion.

L'hon. Ralph Goodale:

Ce sont d'anciens collègues.

Des voix: Ha, ha!

M. Jim Eglinski:

Monsieur le ministre, comme vous le savez, nous avons produit un rapport sur la sécurité publique portant sur la criminalité en région rurale. Mes collègues de l'Alberta et moi avons réalisé un important processus de consultation à l'échelle de la province. Les gens sont très préoccupés, non seulement en Alberta, mais aussi en Saskatchewan. Je crois savoir que certains maires vous ont fait part des pénuries de membres de la GRC. La criminalité a augmenté d'environ 30 % dans les régions rurales du Canada comparativement aux zones urbaines.

Ce qui me trouble beaucoup, c'est que je viens de regarder le plan 2018-2019 de la GRC, qui fait état de la progression de vos effectifs au cours des cinq dernières années, jusqu'à l'exercice 2019-2020. En fait, le programme d'application de la loi demande une réduction du nombre d'agents de police de 1 366 à 1 319. Il s'agit ici uniquement de la main-d'œuvre. Vous augmentez l'effectif général de la force de 1 033 agents, et vous ajoutez 460 membres du personnel administratif. Vos augmentations sont de seulement 0,6 %, 0,1 %, 0,2 % et 0,2 % au cours des prochaines années. Le taux d'attrition sera 10 fois plus élevé que ça.

De quelle façon allez-vous fournir des services de police? De quelle façon vous pouvez dire aux gens des régions rurales du Canada, que ce soit en Saskatchewan, au Manitoba, en Colombie-Britannique ou en Alberta, d'où viendront les services de police? Allez-vous examiner votre contrat afin d'essayer de renforcer ces chiffres? Les chiffres ici révèlent que vous n'avez pas la main-d'œuvre nécessaire.

(1630)

Le président:

Vous avez environ 10 secondes.

L'hon. Ralph Goodale:

Je vais demander à mon sous-commissaire de répondre à cette question aussi.

Monsieur Eglinski, je tiens tout simplement à souligner que nous avons triplé le nombre de nouvelles recrues qui sortent de l'École de la GRC à la Division Dépôt, à Regina. Il y en a maintenant plus de 1 100, comparativement à un nombre bien moins élevé avant. De plus, si je me souviens bien, l'année passée, environ 135 nouvelles personnes sont allées en Saskatchewan, ce qui constitue une augmentation importante. Cette année, on parle d'environ 90 nouveaux agents qui iront dans cette région précise.

Une partie de la réponse à votre question, c'est que nous renforçons la capacité de formation à Dépôt pour produire des agents de police plus rapidement. Comme vous le savez, nous ne pouvons pas le faire du jour au lendemain. Nous voulons envoyer là-bas des agents qui sont pleinement formés et qualifiés pour faire le travail et protéger les Canadiens. C'est du sérieux, et nous accélérons la formation des recrues.

Les commandants en Alberta et en Saskatchewan ont aussi réalisé des initiatives au cours des deux ou trois dernières années pour déployer des agents en s'appuyant davantage sur le renseignement criminel afin que les agents soient affectés de façon plus stratégique que c'était peut-être le cas avant.

Je souligne que le procureur général de la Saskatchewan et le commandant de l'Alberta ont souligné que, au cours de la dernière année, il semble en fait y avoir eu une amélioration des statistiques liées à la criminalité.

M. Jim Eglinski:

J'aimerais poser une question rapidement, si vous le permettez.

Le président:

Vous pouvez poser une question.

M. Jim Eglinski:

En ce qui a trait aux besoins en matière de recrutement, trouvez-vous de nouvelles recrues?

Le président:

Je suis très heureux de vous avoir donné ces 10 secondes qui, comme le veut la tradition de nos procédures parlementaires, se sont transformées en deux ou trois minutes.

M. Jim Eglinski:

C'est pour ça que je vous aime, mon bon monsieur.

Le président:

M. Eglinski a réussi à glisser une question au tout dernier moment.

Pouvez-vous répondre rapidement, monsieur Brennan?

S.-comm. Brian Brennan:

Nous atteignons les chiffres en matière de recrutement, de façon à nous assurer de former 40 agents par année à Dépôt, et nous continuons d'examiner des façons d'accroître notre capacité de recrutement pour pouvoir le faire pendant une longue période.

L'hon. Ralph Goodale:

À 40 recrues sur 52 semaines par année, on parle de presque un diplômé par semaine à Dépôt.

Le président:

Vous allez devoir vivre avec cette réponse, monsieur Eglinski.

J'ai pris note de la question de Mme Sahota en ce qui a trait à l'augmentation des fonds d'aide en cas de catastrophe. Je crois que ce serait bien pour nous tous si vous pouviez fournir l'information au Comité.

Cela dit, je tiens à vous remercier à nouveau de votre comparution, ici, monsieur le ministre, et je remercie aussi vos collègues. J'imagine que vous partez, mais que vos collègues resteront. Nous en sommes maintenant au ministre Blair.

Cela dit, nous suspendons nos travaux.

(1630)

(1635)

Le président:

Nous reprenons. Je vois que nous avons encore le quorum.

Bienvenue, monsieur le ministre Blair.

Nous accueillons le ministre Blair, mais nous devons aussi traiter du budget des dépenses en tant que tel. Nous avons une autre motion à adopter relativement au projet de loi C-93, et il y a aussi la question des recommandations que nous aimerions régler.

Je propose qu'on se garde 10 minutes à la fin de...

M. David de Burgh Graham:

Et qu'en est-il de mes questions?

Le président:

Je ne sais pas. Ce sera peut-être un problème.

J'encourage mes collègues, les ministres et les témoins à poser des questions et à y répondre rapidement, si possible.

Cela dit, je souhaite la bienvenue au ministre Blair devant le Comité à nouveau.

Nous avons hâte d'entendre votre déclaration. Nous poserons des questions après.

L’hon. Bill Blair (ministre de la Sécurité frontalière et de la Réduction du crime organisé):

Merci, monsieur le président. Je vais essayer de fournir une réponse judicieuse et de respecter votre demande.

Je suis heureux d'avoir de nouveau l'occasion de comparaître devant le Comité pour discuter cette fois-ci du Budget principal des dépenses de 2019-2020. Ces budgets des dépenses comprennent les autorisations pour les mesures qui, bien sûr, ont été annoncées dans le budget de 2019.

J'aimerais profiter de l'occasion pour m'attarder sur certaines des mesures importantes qui relèvent de mon mandat, soit d'assurer la sécurité de notre frontière et de mener des efforts pour réduire le crime organisé. En ce qui concerne ce dernier point, j'ai déjà mentionné au Comité par le passé que la lutte contre la violence liée aux armes à feu et aux gangs est l'une de nos principales priorités. Au cours des dernières années, la violence liée aux armes à feu était en hausse. Il arrive encore que des armes à feu tombent entre les mains de personnes qui les utilisent pour commettre des crimes. Même si je crois que les mesures prévues dans le projet de loi C-71 sont exceptionnelles et contribueront beaucoup à renverser cette tendance, je crois aussi que nous pouvons toujours en faire plus.

Nous avons envoyé, plus tôt ce mois-ci, un rapport décrivant ce que nous avons entendu dans le cadre des consultations exhaustives que nous avons menées à l'échelle du pays sur cette question. En attendant, le financement obtenu dans le cadre du budget de 2019 et du Budget principal des dépenses nous permettra de changer des choses immédiatement.

J'ai mentionné par le passé que l'investissement de 327 millions de dollars sur cinq ans, que le gouvernement a annoncé en 2017, commence déjà à aider à soutenir une diversité d'initiatives visant à réduire les armes à feu et les activités liées aux gangs dans les collectivités partout au Canada. Au cours des quelques derniers mois, j'ai eu le plaisir d'aider les provinces, les territoires et les municipalités à tirer profit des fonds attribués à des initiatives précises dans leurs régions.

Le gouvernement du Canada investit 42 millions de dollars de plus dans l'initiative de lutte contre la violence liée aux armes à feu et aux gangs par l'intermédiaire du budget des dépenses de cette année. Il s'agit d'une initiative horizontale qui est dirigée par Sécurité publique Canada, qui, comme toujours, travaille en partenariat avec l'Agence des services frontaliers du Canada et la Gendarmerie royale du Canada.

En ce qui concerne les services policiers plus précisément, le budget de cet exercice prévoit un financement important, notamment un financement de 508,6 millions de dollars sur cinq ans en vue de soutenir le renforcement des opérations policières de la GRC. De ce montant, 96,2 millions de dollars sont attribués aux activités policières de la GRC à même le budget des dépenses fourni aujourd'hui. Bien sûr, la GRC joue un rôle absolument primordial dans la protection de la sécurité nationale et la réduction de la menace du crime organisé, ainsi que dans le soutien des initiatives de prévention, d'intervention et d'application de la loi à l'échelle canadienne.

L'ASFC soutient la GRC et les autres partenaires de l'application de la loi afin de contrer le crime organisé et l'activité des gangs criminels. Les investissements versés dans le cadre du budget des dépenses et du budget permettront d'obtenir de nouvelles technologies, d'accroître l'équipe de chiens détecteurs, d'obtenir des outils et des cours de formation spécialisés et de renforcer les capacités relatives aux renseignements et à l'évaluation des risques. Tous ces ajouts permettront à l'ASFC de renforcer ses interventions opérationnelles afin qu'elle puisse mieux intercepter les biens illicites à la frontière, comme les armes à feu et les opioïdes. J'ai confiance que les fonds que nous fournissons aideront tous nos partenaires à répondre aux besoins changeants du Canada en matière de sécurité, particulièrement en ce qui concerne les défis liés aux armes à feu et aux gangs.

En ce qui concerne les aspects de mon mandat relatif à la sécurité des frontières, j'ai le plaisir de vous informer que le gouvernement prévoit des investissements importants, tant dans le budget que dans le budget des dépenses, pour mieux gérer la migration irrégulière, la décourager et la prévenir. Le budget de 2019 prévoit un investissement de 1,2 milliard de dollars sur cinq ans à compter de cette année. Ces fonds seront répartis entre Immigration, Réfugiés et Citoyenneté Canada, IRCC, la Commmission de l'immigration et du statut de réfugié, la CISR, l'ASFC, la GRC et le SCRS en vue de mettre en œuvre un plan d'action exhaustif pour la réforme de l'asile et la protection des frontières. Même si IRCC est le ministère responsable du plan d'action, le portefeuille de la Sécurité publique joue un rôle vraiment essentiel dans tout ça.

Comme les membres du Comité le savent, l'ASFC est responsable du traitement des demandes d'asile déposées aux points d'entrée officiels et aux bureaux intérieurs. Le financement approuvé dans le cadre du budget de 2019 permettra à l'ASFC de renforcer ses processus à la frontière, en plus de l'aider à renforcer la capacité du régime des demandes d'asile, d'accélérer le traitement des demandes et de faciliter le renvoi des personnes dont on juge qu'elles n'ont pas besoin de protection au Canada, et ce, de façon plus efficiente et plus rapide. La stratégie, grâce à ce financement, encadrera ces efforts.

Avant de conclure, j'aimerais souligner un dernier point. Récemment, les Canadiens entendent souvent parler du blanchiment d'argent, du financement du terrorisme et de l'évasion fiscale, des choses qui se produisent dans notre pays, et tout ça les préoccupe à juste titre. Le blanchiment d'argent est une menace à la sécurité publique et il brime l'intégrité et la stabilité du secteur financier, ainsi que l'économie elle-même, de façon générale. Le gouvernement n'attendra pas avant de passer à l'action pour protéger la sécurité et la qualité de vie des Canadiens. J'ai le plaisir de noter que, dans le budget de 2019, le gouvernement prévoit verser 24 millions de dollars sur cinq ans à Sécurité publique Canada afin de créer une équipe d'action, de coordination et d'exécution de la loi pour la lutte contre le recyclage des produits de la criminalité, l'Équipe ACE. C'est un projet pilote qui renforcera les initiatives interagences contre le blanchiment d'argent et les crimes financiers.

(1640)



De plus, 68,9 millions de dollars de plus seront investis sur cinq ans et attribués à la GRC pour renforcer les capacités de services policiers fédéraux, notamment dans le cadre des efforts de lutte contre le blanchiment d'argent, et tout ça commencera par un investissement de 4,1 millions de dollars durant le présent exercice.

De plus, 28 millions de dollars sur cinq ans sont investis au sein de l'ASFC pour soutenir un nouveau centre d'expertise. Ce centre permettra de cerner les incidents de fraude commerciale et d'entamer des poursuites. Il servira également à cerner les cas de blanchiment d'argent possibles de nature commerciale, afin que la GRC puisse mener une enquête et entamer des poursuites.

Comme toujours, ce ne sont ici que quelques exemples des travaux importants et cruciaux réalisés au sein du portefeuille de la Sécurité publique et, dans ce cas-ci, par les nombreux ministères qui soutiennent mon mandat et qui s'efforcent de protéger les Canadiens.

Encore une fois, je tiens à remercier les membres du Comité de leur examen du présent budget des dépenses et de leurs efforts continus.

Je vous remercie, monsieur le président, et je serai heureux de répondre aux questions des membres.

Le président:

Merci, monsieur le ministre.

Cela dit, madame Dabrusin, vous avez sept minutes, s'il vous plaît.

Mme Julie Dabrusin (Toronto—Danforth, Lib.):

Merci, monsieur le ministre, d'être là aujourd'hui.

J'ai eu l'occasion de soulever la question déjà. J'aimerais continuer la conversation au sujet des armes à feu et des gangs. Vous en avez parlé dans votre déclaration préliminaire, et j'ai consulté le Budget principal des dépenses pour connaître les travaux qui sont aussi réalisés du côté de la frontière.

Ma première question est la suivante: lorsqu'on se penche sur les problèmes liés aux armes à feu, toutes les conversations que j'ai eues parlaient vraiment de l'offre et de la demande, les deux aspects. Si on commence par réfléchir à l'offre — vous l'avez mentionné rapidement —, mais pouvez-vous nous en dire un peu plus sur ce que fait l'ASFC pour prévenir la contrebande d'armes?

L’hon. Bill Blair:

Oui, merci beaucoup, madame Dabrusin.

Les armes qui se retrouvent au bout du compte entre les mains des criminels et sont utilisées pour commettre des crimes violents dans nos collectivités viennent de différentes sources. Il y a diverses estimations accessibles auprès des multiples services de police et organismes de partout au pays qui cernent la provenance de ces armes illicites. Il est très clair qu'une part importante des armes à feu utilisées par les gangs pour commettre des infractions criminelles dans nos collectivités partout au Canada sont importées illicitement au Canada et traversent les frontières. L'ASFC, bien sûr, a un rôle très important à jouer pour intercepter cet approvisionnement.

J'ai eu l'occasion durant la fin de semaine de me rendre à l'installation de l'ASFC de Point Edward et de la visiter et j'ai aussi eu l'occasion de parler de certaines des choses que les gens font là-bas, grâce aux nouvelles technologies, aux équipes canines et, franchement, au travail de personnes vraiment extraordinaires et dévouées...

(1645)

Mme Julie Dabrusin:

Si vous me permettez de vous interrompre, lorsque vous parlez des équipes canines, vous parlez des chiens?

L’hon. Bill Blair:

Oui, de vrais chiens. J'ai rencontré le chien. Il s'appelle Bones.

Des voix: Ha, ha!

L'hon. Bill Blair: Les gens m'ont montré de quelle façon il avait fouillé un véhicule. C'est vraiment un processus remarquable. Ce n'est pas de la haute technologie, mais ça fonctionne; ça fonctionne très bien même.

Les gens ont aussi pu me parler de certaines des grandes réussites qu'ils ont obtenues, y compris, par exemple, la saisie d'une arme d'assaut très puissante durant la fin de semaine du 24 mai en plus d'un certain nombre de chargeurs à grande capacité et de munitions. Il se fait de l'excellent travail le long de nos frontières.

Je peux aussi vous dire que les membres de l'ASFC et du milieu de l'application de la loi reconnaissent que, pour éliminer l'approvisionnement d'armes qui traversent la frontière des États-Unis... Les États-Unis sont essentiellement le plus important arsenal d'armes de poing du monde. Il y a beaucoup d'armes à feu là-bas. Les criminels savent que, s'ils peuvent faire passer ces armes à la frontière, ils peuvent les vendre beaucoup plus cher qu'aux États-Unis, parce qu'ils ne sont pas faciles d'accès au Canada. C'est un crime motivé par le profit.

Les services de police et l'ASFC comprennent qu'on ne peut pas tout simplement intercepter l'approvisionnement à la frontière, alors on déploie des efforts extraordinaires. Nous investissons dans la GRC et dans les services de police municipaux et provinciaux partout au Canada afin qu'ils travaillent de façon intégrée avec les équipes d'application de la loi à la frontière et qu'ils réalisent des enquêtes sur le crime organisé afin de cerner les personnes et les organisations criminelles qui sont responsables de l'achat de ces armes aux États-Unis, qui les font entrer clandestinement au Canada par la frontière et qui les vendent ensuite à des criminels au pays.

Nous avons vu des réussites extraordinaires découlant de tels partenariats aussi, mais le travail se poursuit et est en cours. Nous faisons de grands investissements dans le présent budget pour renforcer la capacité de l'ASFC et des organisations d'application de la loi de mener de telles enquêtes pour améliorer la qualité des renseignements recueillis et la façon dont les données permettent de mener des enquêtes réussies et de poursuivre avec succès les personnes responsables.

Mme Julie Dabrusin:

Merci.

Toujours au sujet de l'approvisionnement — j'espère que nous aurons quelques minutes pour parler de la demande — vous avez eu une étude. Cela faisait partie de votre lettre de mandat. On vous a demandé d'étudier une possible interdiction des armes de poing et des armes d'assaut. Si je ne m'abuse, vous avez produit un « rapport sur ce que vous avez entendu ». Pouvez-vous nous dire quelles seront les prochaines étapes?

L’hon. Bill Blair:

Nous avons cerné un certain nombre de façons dont les armes se retrouvent entre les mains des criminels. Comme je l'ai déjà mentionné, une portion de ces armes — certains estiment que c'est 50 %, et d'autres, jusqu'à 70 % — sont en fait passées en contrebande à la frontière. Nous savons aussi qu'un certain nombre de ces armes à feu qui seront par la suite utilisées pour commettre des infractions criminelles au Canada ont été achetées ici même.

Essentiellement, cela se produit d'un certain nombre de façons assez bien connues. En ce qui a trait à la première façon, il y a eu un grand nombre de vols importants d'armes à feu chez des détaillants d'armes à feu ou des Canadiens qui possèdent des armes à feu. Ces armes sont par la suite vendues dans la rue à des organisations criminelles et utilisées pour commettre des actes criminels partout au pays. L'une des choses que j'ai entendues, et nous en avons beaucoup discuté, c'était la façon dont on pourrait renforcer l'entreposage sécuritaire des armes à feu pour prévenir de tels vols, pour faire en sorte qu'il soit plus difficile pour les criminels de voler ces armes à feu et, qu'elles se retrouvent par la suite dans la rue.

Il y a aussi un certain nombre de cas où on a constaté que des armes à feu avaient été achetées légalement au pays, mais qui ont ensuite été détournées vers le marché criminel par des personnes qui avaient l'intention de profiter de la revente des armes en question. C'est un processus qu'on appelle parfois l'achat par personnes interposées. Essentiellement, il s'agit d'une personne qui a le droit juridique d'acheter une arme à feu, qui essaie d'éliminer toute trace de son origine en retirant le numéro de série, puis qui revend l'arme à quelqu'un, dans la rue, à prix fort.

Dans le cadre de conversations partout au pays — particulièrement auprès des responsables de l'application de la loi —, nous avons constaté l'importance d'améliorer la traçabilité des armes à feu qui sont utilisées dans le cadre des infractions criminelles afin que nous puissions cerner l'origine de la vente et mieux connaître et tenir responsables — et, par le fait même, dissuader davantage — les personnes qui s'adonnent à une telle activité criminelle. Il y a un certain nombre d'autres mesures dont nous avons aussi entendu parler au sujet de l'interception de l'approvisionnement.

J'ai aussi entendu un certain nombre de personnes qui se disaient préoccupées par le fait que divers types d'armes, franchement, constituent un risque important, et des mesures supplémentaires devraient être envisagées afin que de telles armes soient moins accessibles aux personnes pouvant les utiliser pour causer des préjudices à autrui.

(1650)

Le président:

Vous n'avez pas encore terminé, mais je suis sûr que M. Graham vous remerciera si nous finissons avant sept minutes.

Il vous reste 40 secondes.

Mme Julie Dabrusin:

Oui. Je vous remercie.

En ce qui concerne la demande, rapidement, nous avons assisté à une annonce à Toronto en décembre concernant notamment la façon dont nous aidons les jeunes et les collectivités touchées.

Pouvez-vous m'en parler un peu, s'il vous plaît?

L’hon. Bill Blair:

Madame Dabrusin, mes remarques précédentes portaient en grande partie sur l'interdiction de la fourniture d'armes à feu qui se retrouvent dans les mains de criminels. Cependant, notre gouvernement reconnaît qu'il faut également réduire la demande pour ces armes à feu. Nous investissons donc beaucoup dans les collectivités et les enfants. Nous travaillons particulièrement avec les municipalités, mais je me suis rendu dans chaque province, et nous fournissons des ressources à chaque province et territoire afin de lui permettre d'investir dans ses collectivités et les organismes communautaires qui font un travail extraordinaire auprès des jeunes pour les aider à faire de meilleurs choix, des choix plus sûrs et plus responsables socialement, pour éviter qu'ils s'associent à des gangs.

Nous soutenons également un certain nombre d'initiatives, où l'on travaille auprès de jeunes qui ont déjà fait partie de gangs en vue de les aider à quitter le style de vie des gangs et à éviter de se livrer à des activités criminelles violentes qui causent tellement de traumatismes dans nos collectivités d'un bout à l'autre du pays.

Il n'y a pas une seule réponse. Franchement, cela nécessite des investissements très importants et une approche plus large...

Le président:

Je pense que nous allons devoir laisser tomber la réponse.

L’hon. Bill Blair:

J'aurai peut-être l'occasion de revenir sur certaines des choses que nous faisons qui ont des effets réels.

Merci, monsieur le président.

Le président:

Le talent pour étirer les secondes en minutes est tout à fait extraordinaire aujourd'hui.

L’hon. Bill Blair:

Merci, monsieur.

Le président:

Monsieur Paul-Hus, vous avez sept minutes, s'il vous plaît. [Français]

M. Pierre Paul-Hus:

Merci, monsieur le président.

Monsieur le ministre, je veux parler des passages illégaux à la frontière.

Le vérificateur général a présenté un rapport très accablant sur les demandes d'asile. Vous avez dit que le système était très efficace, mais on a confirmé qu'il était très surchargé. La collaboration entre les principales agences pose des difficultés et il faudra de quatre à cinq ans uniquement pour revenir à la normale.

Regrettez-vous de nous avoir dit en comité que tout allait bien et que c'était extraordinaire? Regrettez-vous d'avoir donné des informations inexactes? [Traduction]

L’hon. Bill Blair:

Bien sûr, je vous dis la vérité, monsieur Paul-Hus.

Je tenais à souligner le travail exceptionnel de l'ASFC et de la GRC, de la police, des provinces et des municipalités, partout au pays. Compte tenu des ressources et du soutien dont elles disposent, je pense qu'elles font un travail extraordinaire.

Nous reconnaissons qu'il reste encore beaucoup à faire. C'est précisément la raison pour laquelle nous effectuons de nouveaux investissements importants et renforçons leur capacité de mener ces enquêtes très complexes. À titre d'exemple, nous reconnaissons qu'il est important que tous les organismes et ministères chargés de l'application de la loi collaborent davantage. C'est l'une des raisons pour lesquelles nous créons l'équipe d'action, de coordination et d'exécution de la loi pour la lutte contre le recyclage des produits de la criminalité. [Français]

M. Pierre Paul-Hus:

À l'époque, vous nous avez dit que tout allait bien, mais le vérificateur général nous avait dit que c'était faux. Au fond, vous confirmez que l'information que vous avez donnée à ce moment-là était mauvaise. [Traduction]

L’hon. Bill Blair:

Pouvez-vous préciser à quel rapport du vérificateur général vous faites référence, monsieur? [Français]

M. Pierre Paul-Hus:

Je parle plutôt du rapport du directeur parlementaire du budget, qui confirmait qu'il y avait des problèmes associés aux coûts de 1,1 milliard de dollars pour la gestion des demandeurs d'asile. Ce rapport a été publié il y a quelques mois. Savez-vous de quoi je parle? [Traduction]

L’hon. Bill Blair:

Je suis désolé, je parlais des armes à feu et du recyclage des produits de la criminalité. Si vous parlez de demandeurs d'asile, l'une des choses relevées, je crois, dans ce rapport est le travail effectué dans le cadre de la vérification de sécurité par l'ASFC.

M. Pierre Paul-Hus:

Ma question, monsieur, est assez simple.

Lors de votre comparution devant le Comité, il y a quelques mois, nous avons posé une question à ce sujet, et vous avez dit que tout allait bien. Or, le vérificateur général a dit que cela posait de nombreux problèmes. Je voulais simplement savoir si vous êtes prêt à présenter des excuses au Comité, car vous avez dit quelque chose qui était erroné à ce moment-là.

C'était ma question, mais j'ai perdu trop de temps à cet égard. Je vais donc passer à ma prochaine question, monsieur.

L’hon. Bill Blair:

Voulez-vous une réponse à cette question?

Monsieur, je serai heureux de tenter d'y répondre.

M. Pierre Paul-Hus:

J'ai perdu assez de temps, monsieur. Je vais poser une autre question, d'accord?

L’hon. Bill Blair:

S'il y a d'autres questions pour lesquelles vous ne voulez pas de réponse, dites-le-moi.

(1655)

M. Pierre Paul-Hus:

Ça va parce que vous comprenez ma question.

Vos notes d'allocution y font référence. Dans le budget, vous parlez d'un investissement de 1,2 milliard de dollars sur cinq ans, mais s'agit-il du même montant que celui mentionné par le vérificateur général, soit 1,1 milliard de dollars sur trois ans?

S'agit-il du même argent?

L’hon. Bill Blair:

Je pense que le vérificateur général a conclu son rapport et ses prévisions sur ce qui était requis au printemps dernier, en 2018, et depuis lors, notre gouvernement... Tout d'abord, le budget de 2018 a consenti de nouveaux investissements importants dans la CISR et l'ASFC, et bien sûr, dans le budget que nous venons de vous présenter aujourd'hui, soit 1,18 milliard de dollars...

À titre d'exemple, nous augmentons la capacité de la CISR par rapport à l'époque où le vérificateur général a présenté son rapport. La Commission avait alors la capacité de tenir environ 26 000 audiences par année. Avec ces nouveaux investissements, ce nombre atteindra environ 50 000 d'ici la fin de l'année prochaine, ce qui répond tout à fait à l'insuffisance constatée en raison d'un sous-effectif et d'un sous-financement antérieurs. Nous avons effectué ces investissements dans les budgets de 2018 et 2019.

M. Pierre Paul-Hus:

D'accord, vous faites beaucoup de détours.

Votre titre est ministre de la Sécurité frontalière et de la Réduction du crime organisé.

À propos de la réduction du crime organisé, vous êtes censé parler des cartels mexicains, mais aussi des cartels de la drogue. Or, pourquoi le cabinet du ministre Goodale répond-il toujours aux questions des médias et non pas votre cabinet?

L’hon. Bill Blair:

Tout d'abord, il est ministre de la Sécurité publique et...

M. Pierre Paul-Hus:

Mais vous êtes le ministre de la Sécurité frontalière et de la Réduction du crime organisé. Est-ce exact?

L’hon. Bill Blair:

J'ai écouté très attentivement la réponse du ministre Goodale et même sa réponse un peu plus tôt aujourd'hui, et j'ai exactement les mêmes renseignements que ceux qu'il a fournis au Comité.

C'est un résultat direct de l'information fournie par nos organismes. Je crois qu'il a confirmé que l'ASFC avait déterminé que le nombre de cas d'interdiction de territoire était de 238 pour la période en question et il a également mentionné que nous n'avons pas été en mesure d'établir de données probantes selon lesquelles...

M. Pierre Paul-Hus:

Je ne veux pas sa réponse, monsieur le ministre, je veux votre...

L’hon. Bill Blair:

... en ce qui concerne le nombre que vous avez mentionné à la Chambre, 400 ressortissants au Canada, nous n'avons pas été en mesure de trouver des données probantes pour appuyer la véracité de cette affirmation.

M. Pierre Paul-Hus:

Je vais passer à ma prochaine question.

La semaine dernière, le vice-président américain Pence est venu rencontrer le premier ministre. Pensez-vous qu'ils ont soulevé la question de l'Entente sur les tiers pays sûrs? L'ont-ils soulevée?

L’hon. Bill Blair:

Je crois que le sujet a été abordé...

M. Pierre Paul-Hus:

Avez-vous une réponse à nous donner ou pensez-vous que nous allons changer l'Entente sur les tiers pays sûrs?

L’hon. Bill Blair:

Il y a des discussions. J'ai participé à des discussions avec des responsables américains ainsi qu'avec nos fonctionnaires d'IRCC et de l'ASFC. Je sais que le sujet a été abordé à différents niveaux de discussion et je pense que l'on admet ou que l'on reconnaît qu'il s'agit d'une entente qui peut être modernisée et améliorée dans l'intérêt des deux pays, et ces discussions se poursuivent.

M. Pierre Paul-Hus:

Par « modernisée », voulez-vous dire comme nous l'avions suggéré l'année dernière?

L’hon. Bill Blair:

Si je me souviens bien, vous avez suggéré de modifier unilatéralement une entente bilatérale, et ce n'est pas la façon de faire. Nous avions commencé à discuter avec nos partenaires de traité, les États-Unis, de nombreux aspects de cette entente, car nous croyons qu'il est possible de l'améliorer et de l'élargir. Ces discussions sont en cours.

Il n'est ni possible ni opportun de modifier unilatéralement une entente bilatérale.

M. Pierre Paul-Hus:

Nous n'avons pas dit cela. Je sais que nous ne dirons jamais cela. Nous avons dit que nous devions...

L’hon. Bill Blair:

Pour que tout soit bien clair, vous avez dit que vous alliez la changer, et nous avons dit non, que nous engagerions des discussions avec notre partenaire sur la manière de l'améliorer.

M. Pierre Paul-Hus:

Bien sûr que nous avons...

Je n'ai plus de questions.

Le président:

Merci, monsieur Paul-Hus.

Monsieur Dubé, vous avez sept minutes, s'il vous plaît. [Français]

M. Matthew Dubé:

Merci, monsieur le président.

Monsieur le ministre, je vous remercie d'être parmi nous.

Je vais vous poser une question sur vos responsabilités concernant la frontière et la question des migrants. Il y a eu de longues réponses. Je vais me permettre de faire un long préambule et revenir sur le passé, pour que vous compreniez le contexte de ma question. Si mes collègues n'ont pas vu le reportage de Radio-Canada, je les inviterais à le regarder.

En 2011, si je ne m'abuse, un programme a été mis en place par le gouvernement précédent à la suite de deux incidents où des bateaux étaient arrivés au Canada avec à leur bord des demandeurs d'asile tamouls. Ce programme existe toujours et les dépenses qu'on y consacre ont augmenté. Plus de 18 millions de dollars sont consacrés à ce programme. Des gens du SCRS, de la GRC et même du CST interagissent à l'étranger avec des personnages peu reluisants, dans des pays où il pourrait y avoir du trafic de migrants vers le Canada. On conviendra que ce sont des endroits où les droits de la personne posent problème.

Voici ce que j'aimerais savoir. Comment pouvez-vous réconcilier l'approche du gouvernement, qui consiste à faire preuve de compassion à l'égard de personnes dans cette situation, et le fait que des agences agissent à l'étranger pour de l'interdiction? Des gens sont détenus dans des pays où il risque d'y avoir des violations des droits de la personne.

Si vous n'êtes pas en mesure de répondre, je sais que les personnes qui vous accompagnent aujourd'hui pourraient le faire. Dans le reportage de Radio-Canada, ni la GRC ni le SCRS n’était en mesure ou n'avait la volonté de répondre.

Je vous laisse le soin de répondre à ma question. Je suis désolé pour la longue mise en contexte, mais c'était important pour mes collègues.

(1700)

[Traduction]

L’hon. Bill Blair:

Merci beaucoup, monsieur Dubé.

Si je comprends bien votre question — et j'inviterai naturellement les fonctionnaires à ajouter toute l'information qui pourrait vous aider —, d'après mon expérience, il y a malheureusement des personnes... Celles qui cherchent un refuge et celles qui fuient la guerre et la persécution sont dans une situation très vulnérable. Bien souvent, ces personnes sont soumises à l'exploitation de ceux qui voudraient en tirer profit. Nous avons donc également la responsabilité de veiller à maintenir l'intégrité de notre système d'octroi de l'asile et de nos frontières. L'ASFC, la GRC et d'autres personnes qui travaillent ensemble ont une responsabilité, et nous travaillons à l'échelle internationale... Franchement, nous sommes très préoccupés, et nous avons pris un certain nombre de mesures afin de nous occuper de ceux qui exploiteraient les personnes vulnérables.

M. Matthew Dubé:

Certes, je ne suis pas en désaccord avec cette description des gens qui veulent profiter des personnes en situation de vulnérabilité. Le problème dans ce reportage, que je soulève ici, c'est que le gouvernement du Canada a un programme et investit des millions de dollars — 1 million de dollars pour le SCRS et 9 millions de dollars pour la GRC, si je me souviens bien, mais je pourrais me tromper — afin que ces organismes exercent leurs activités à l'étranger pour s'occuper de ces individus sans scrupules dans des régions où vous traitez avec des régimes tout aussi peu scrupuleux, voire plus dénués de tout scrupule, dans ces pays.

Une personne du Cabinet du premier ministre, ou du moins qui conseille le premier ministre sur ce programme, s'est rendue dans ces endroits pour remercier ces régimes au nom du Canada.

À quel coût assurons-nous l'intégrité de la frontière? En d'autres termes, nous avons non seulement la responsabilité de préserver l'intégrité de la frontière et de combattre ces individus sans scrupules, mais aussi de veiller, pardonnez l'expression, à ne pas nous acoquiner avec des individus passablement problématiques à l'étranger, si je puis dire en toute diplomatie, comme l'indique le rapport, que j'inviterais encore une fois mes collègues à lire et que je serais ravi de fournir aux membres du Comité qui ne l'ont pas vu.

L’hon. Bill Blair:

Oui, monsieur. Je me contenterai de reconnaître, car je ne suis pas au courant... et, chers collègues, si l'un de vous a l'information, je souhaiterais qu'il intervienne... Nous traitons du crime organisé transnational, y compris l'exploitation de personnes vulnérables, dans la traite de personnes, et avec ceux qui seraient impliqués dans l'exploitation des personnes qui fuient la persécution. Nos fonctionnaires fédéraux et nos organismes de sécurité doivent étendre leur travail au-delà de nos frontières afin... Le travail le plus efficace pour prévenir les problèmes et les crimes au Canada consiste notamment à les empêcher d'arriver à nos frontières en premier lieu. Ils sont à l'œuvre dans des endroits très difficiles du monde, mais nous nous attendons à ce qu'ils continuent à faire respecter les lois et les normes canadiennes. [Français]

M. Matthew Dubé:

Il me reste peu de temps.

Messieurs Vigneault ou Brennan, voulez-vous parler de la perspective de votre organisme?

M. David Vigneault:

Oui. Merci, monsieur Dubé.[Traduction]

Merci, monsieur le ministre.

J'ajouterai simplement, monsieur Dubé, que le programme dont vous avez parlé est en place depuis plusieurs années maintenant, comme l'a mentionné le ministre et comme vous y avez fait référence dans votre préambule, afin d'empêcher les trafiquants de faire entrer des personnes au Canada de façon irrégulière. La raison de notre engagement est de protéger l'intégrité du système au Canada et de veiller à ce que les criminels... à prendre en considération les préoccupations relatives à la sécurité nationale ou à nous assurer que les personnes ne soient pas victimes de ces processus.

Notre travail à l'étranger est régi par notre loi et par des directives ministérielles. Je ne peux pas entrer dans tous les détails opérationnels, mais je peux dire que, lorsque nous échangeons de l'information avec des entités étrangères, nous obéissons à des directives ministérielles afin de nous assurer que ces renseignements ne mènent pas à une violation des droits de la personne ou à de mauvais traitements. Je sais ce que les médias ont déclaré à ce sujet, mais je peux dire que ces programmes font l'objet d'un examen et que tous les organismes concernés sont couverts par cette directive ministérielle. Il y a donc une autre perspective à cette histoire.

(1705)

Le président:

Merci, monsieur Dubé.

Madame Sahota, vous disposez de sept minutes; allez-y.

Mme Ruby Sahota:

Merci.

Monsieur Blair, merci d'être parmi nous aujourd'hui.

Je veux commencer par les accords dont vous parliez plus tôt avec les différentes provinces concernant le financement au titre des gangs et des armes à feu. Pouvez-vous m'expliquer un peu à combien s'élève le financement consenti par le gouvernement fédéral, en particulier au gouvernement Doug Ford en Ontario?

L’hon. Bill Blair:

Environ 214 millions de dollars ont été réservés par rapport aux armes à feu et aux gangs pour l'ensemble du pays. Cela s'ajoute aux 89 millions de dollars alloués à l'ASFC et à la GRC. Sur les 214 millions de dollars, 65 millions sont alloués à la province de l'Ontario. Des discussions sont en cours avec la province de l'Ontario sur la façon dont cet argent lui sera versé et sur ce qu'elle en fera. J'ai récemment annoncé conjointement avec la ministre de la Sécurité communautaire et la procureure générale de l'Ontario que la province a accepté 11 millions de dollars au cours des deux premières années de ce programme. Je ne sais pas encore si la province a annoncé comment elle prévoit affecter cette somme, mais il s'agit d'une allocation de fonds totalisant 65 millions de dollars sur cinq ans. Jusqu'à présent, la province de l'Ontario a reçu 11 millions de dollars à ce titre.

Mme Ruby Sahota:

Pourquoi ne s'agit-il que de 11 millions de dollars à ce moment-ci? Qui a fait ce choix, et comment cette décision a-t-elle été prise?

L’hon. Bill Blair:

Cela fait partie des discussions en cours entre nous. C'est le montant pour lequel la province était prête à désigner diverses initiatives. L'argent reste disponible pour être alloué à la province de l'Ontario lorsqu'elle sera prête à l'utiliser. Jusqu'ici, au cours des deux premières années du programme, la province a indiqué être prête à entreprendre des initiatives pour un montant de 11 millions de dollars.

Mme Ruby Sahota:

Êtes-vous en train de me dire que 65 millions de dollars sont disponibles pour l'Ontario? Je sais que mes homologues de la Ville de Brampton manifestent un vif intérêt pour la réduction de la criminalité dans la ville. Cependant, les responsables n'ont accepté que 11 millions de dollars sur les 65 millions de dollars offerts.

L’hon. Bill Blair:

Pour être juste, ce sont des discussions en cours entre notre gouvernement et toutes les provinces. Nous avons calculé des allocations de fonds pour chacune des provinces, et c'est ce qui a été établi jusqu'à présent. Cet argent est destiné aux services de police municipaux et autochtones des provinces et des territoires, mais il est alloué de manière appropriée et nécessaire par l'entremise des gouvernements provinciaux. J'encouragerais simplement toutes les municipalités à discuter avec leur gouvernement provincial respectif quant à la façon dont elles pourraient avoir accès aux fonds provenant du gouvernement fédéral par l'intermédiaire des gouvernements provinciaux.

Mme Ruby Sahota:

Y a-t-il un moyen de verser l'argent directement aux administrations municipales? Je sais que ma ville, Brampton, a très hâte de pouvoir accéder à une partie de ces fonds afin de pouvoir résoudre certains des problèmes auxquels elle est confrontée. Est-ce que le seul moyen d'avoir accès à cet argent est de passer par la province?

L’hon. Bill Blair:

Je pense qu'il nous incombe de faire de notre mieux pour collaborer avec nos partenaires provinciaux dans l'ensemble du pays. Je vous dirai que, selon mon expérience dans d'autres administrations, l'expérience a été très positive. Je demeure optimiste quant à ces allocations en Ontario. J'ai moi-même un intérêt marqué pour cet endroit. Je connais les municipalités et les services de police concernés. Encore une fois, avec ces décisions, je pense que la manière appropriée...

Les services de police sont administrés et supervisés par les gouvernements provinciaux du Canada. Nous travaillons avec les ministres de la Sécurité communautaire, les ministres de la Sécurité publique et les procureurs généraux partout au pays, dans chacune des provinces et chacun des territoires. Nous avons certainement fait de notre mieux. Il existe d'autres possibilités de financement disponible directement, en particulier pour les organismes communautaires. Outre les fonds que j'ai déjà mentionnés, plusieurs annonces importantes ont été faites en Ontario, dans le cadre desquelles nous soutenons des organismes communautaires, diverses initiatives de prévention du crime et d'autres types d'investissements dans les collectivités.

(1710)

Mme Ruby Sahota:

Lorsque vous comparez l'offre de 65 millions de dollars aux montants alloués précédemment, est-ce plus ou moins que ce que le gouvernement du Canada a fourni aux provinces ou à l'Ontario en particulier?

L’hon. Bill Blair:

Je ne suis pas au courant d'un financement de cette ampleur qui aurait été octroyé auparavant. J'ai participé, à différents titres, au traitement des questions liées aux armes à feu et aux gangs. En règle générale, nos relations étaient uniquement avec le gouvernement provincial. En fait, des fonds ont été dégagés en 2008 pour ce que l'on appelle le Fonds de recrutement de policiers, mais ce fonds a été supprimé en 2013.

Mme Ruby Sahota:

Ce type de financement est-il le premier du genre que le gouvernement fédéral verse aux provinces?

L’hon. Bill Blair:

L'année dernière, le ministre de la Sécurité publique et notre gouvernement ont consenti un investissement important dans les initiatives relatives aux armes à feu et aux gangs. De plus, après discussion avec les provinces et les services de police municipaux et autochtones, on a également reconnu et admis qu'il y avait un travail important à accomplir. Lorsque nous avons commencé à investir, nous nous sommes assurés que de l'argent serait acheminé par l'entremise des provinces à ces services de police municipaux et autochtones, ainsi qu'à nos autorités fédérales à la GRC, à l'ASFC et à d'autres organismes, parce que la question des armes à feu et des gangs est une véritable préoccupation partout au pays. Nous avons constaté une augmentation significative de la violence liée aux armes à feu et des meurtres commis avec une arme à feu au pays. La situation est en grande partie directement liée à la drogue et aux activités de gangs; nous faisons donc des investissements importants afin de soutenir ces efforts.

Mme Ruby Sahota:

D'après mon expérience ces dernières années, en portant attention et en suivant la situation — parce que les problèmes ont désormais tendance à venir aux oreilles des députés —, j'ai constaté que, avec les conditions météorologiques qui s'améliorent et l'arrivée de l'été, il y a généralement une augmentation des activités criminelles à Brampton.

Existe-t-il une approche différente... ou des allocations de fonds différentes sont-elles inscrites au budget pour certains mois? Pouvez-vous parler de votre expérience passée pour expliquer ce qu'il en est?

L’hon. Bill Blair:

Ces décisions opérationnelles concernant la répartition des ressources et l'utilisation de ces nouvelles ressources relèvent en réalité de la responsabilité des services de police et de leurs dirigeants, sous la direction de leur conseil et de leur municipalité. Elles sont prises en grande partie en collaboration avec les autorités provinciales.

Il existe également des partenariats très importants dans l'ensemble du pays parmi les organismes d'application de la loi. Par exemple, la GRC mène plusieurs initiatives importantes dans le cadre de ce que nous appelons l'équipe intégrée multidisciplinaire. À titre d'exemple, nous avons les équipes intégrées de la sécurité nationale et d'autres équipes auxquelles participent tous les services de police. Je devrais mentionner, parce qu'elles sont tout à fait pertinentes dans mon mandat, les équipes intégrées de la police des frontières, qui sont généralement dirigées par un organisme fédéral, mais auxquelles participent également d'autres services de police. Ces types d'initiatives sont soutenues grâce au financement que nous versons.

Le président:

Merci, madame Sahota.

Monsieur Motz, vous avez cinq minutes.

M. Glen Motz:

Merci, monsieur le président.

Merci aux témoins d'être ici.

Monsieur le ministre, la semaine dernière, vous avez dit que les fusils d'assaut étaient des armes militaires « conçues pour chasser les gens ». Je ne sais pas ce que vous appelez un fusil d'assaut, mais je suppose que vous parlez de fusils automatiques, d'armes à feu automatiques, et vous savez que ces armes à feu sont interdites au pays depuis 1976. Pourriez-vous nous dire exactement de quelles armes à feu vous parlez dans cette déclaration?

L’hon. Bill Blair:

Nous avons eu plusieurs discussions. Comme je l'ai dit, j'ai parcouru le pays, monsieur Motz.

M. Glen Motz:

À quelles armes à feu faites-vous allusion précisément dans cette déclaration?

L’hon. Bill Blair:

Ce sont des armes à feu conçues à des fins militaires, des armes à feu qui...

M. Glen Motz:

Je ne sais pas ce que cela signifie. Avec cette déclaration, vous faites allusion, en réalité, aux fusils de chasse modernes, aux fusils de sport modernes. Le fait même que vous ayez fait cette déclaration... Je trouve cela extrêmement choquant. Je trouve votre déclaration malencontreuse. J'estime que c'est être mal informé, et vous induisez la population canadienne en erreur. Encore une fois, de quelles armes à feu parlez-vous spécifiquement?

Le président:

Monsieur Motz, laissez M. Blair répondre.

L’hon. Bill Blair:

Je suis désolé que vous ayez été offensé, mais je pensais à...

M. Glen Motz:

Les propriétaires d'armes à feu titulaires d'un permis canadien sont choqués par cette déclaration.

Le président:

Monsieur Motz, laissez M. Blair répondre à la question.

L’hon. Bill Blair:

Je pensais à l'arme à feu utilisée pour tuer trois membres de la GRC à Moncton. C'était une arme à feu conçue pour un usage militaire. Elle a été créée et utilisée par l'armée. Il s'agissait d'une arme utilisée par cet individu pour chasser trois policiers.

M. Glen Motz:

Qu'est-ce que c'était? Quel était le fusil? Quelle était l'arme à feu?

L’hon. Bill Blair:

Je crois que c'était un M14. Je pensais aussi aux armes utilisées pour tuer les deux agents à Fredericton et deux simples citoyens. Je pensais aussi à l'arme utilisée pour tuer 14 femmes à l'École Polytechnique...

M. Glen Motz:

Vous avez parlé de l'AR-15...

L’hon. Bill Blair:

... et l'arme utilisée pour tuer des fidèles dans la mosquée de Québec.

C'étaient toutes des armes qui n'étaient pas conçues comme des armes de chasse. Elles ont été conçues pour des soldats, des soldats qui...

(1715)

M. Glen Motz:

Monsieur le ministre, vous avez expressément nommé l'AR-15. Vous l'avez nommé. Savez-vous si l'AR-15 a déjà été utilisé dans un crime commis au Canada?

L’hon. Bill Blair:

L'AR-15... Encore une fois, j'ai mentionné certaines des autres... L'AR-15 est l'arme numéro un utilisée...

M. Glen Motz:

... une fusillade au volant en 2004, et personne n'a été blessé.

Mme Julie Dabrusin:

J'invoque le Règlement, monsieur le président. Nous n'obtenons tout simplement pas les réponses à ces questions.

M. Glen Motz:

Il doit répondre à la question. Il n'a pas à tourner autour du pot.

L’hon. Bill Blair:

L'AR-15 est l'arme qui a été utilisée pour tuer tout un groupe de jeunes enfants à Sandy Hook. Elle a également été utilisée pour assassiner 50 personnes à Christchurch...

M. Glen Motz:

Nous parlons du Canada, monsieur le ministre.

Le président:

Monsieur Motz, si vous voulez poser votre question, posez-la, puis laissez le ministre terminer sa réponse. Ensuite, vous pouvez poser une autre question.

M. Glen Motz:

Monsieur le ministre, pouvez-vous décrire la différence entre un AR-15, actuellement restreint au pays, et le WK180-C?

Le président:

D'accord, il y a une question précise. Donnez une réponse précise, si vous le pouvez, je vous prie.

L’hon. Bill Blair:

Franchement, je ne me considère pas comme un expert dans la classification de ces armes à feu, même si je connais les deux. Je ne sais pas si l'un des autres témoins a l'expertise pour les définir. Comme vous le savez, le classement est maintenant déterminé par la GRC.

Le président:

D'accord, nous avons maintenant une réponse précise à une question précise.

La deuxième question spécifique.

M. Glen Motz:

Permettez-moi de répondre à la question pour vous. Il s'agit pratiquement de la même arme à feu. Les deux armes tirent des balles de calibre .223. Elles ont les mêmes mécanismes opérationnels. La seule différence est... et je suis heureux que vous ayez mentionné l'idée des classifications. Le public canadien veut que les armes à feu soient classées en fonction de ce qu'elles peuvent faire, et non de ce à quoi elles ressemblent, et ce défi est permanent. Le projet de loi C-71 en est un excellent exemple. Nous avons besoin de faits pour guider ces décisions, non pas d'information superficielle, monsieur le ministre.

Le président:

C'est un commentaire, pas une question.

M. Glen Motz:

C'est le cas.

Alors, est-il vrai...

Le président:

Excusez-moi, monsieur Motz.

Le ministre souhaite-t-il réagir au commentaire de M. Motz?

L’hon. Bill Blair:

Non.

Le président:

Non.

Monsieur Motz, posez votre question.

M. Glen Motz:

Certaines rumeurs circulent ces derniers temps selon lesquelles votre gouvernement prévoit interdire les armes à feu, allant de l'interdiction d'armes à feu spécifiques à l'interdiction des armes à feu semi-automatiques, en passant par les armes de poing.

Répondez simplement par oui ou par non: un décret en conseil interdira-t-il certaines catégories d'armes à feu?

L’hon. Bill Blair:

Monsieur Motz, je ne réagis normalement pas aux rumeurs. Ce que nous sommes...

M. Glen Motz:

Ce n'est pas une rumeur. Je pose une question directe.

L’hon. Bill Blair:

Si je peux me permettre...

M. Glen Motz:

Un décret est-il...

Le président:

Monsieur Motz, vous avez posé une question précise. Cela vous a pris une demi-minute pour le faire. Je devrais allouer un temps similaire au ministre Blair pour qu'il réponde à votre question.

L’hon. Bill Blair:

Nous examinons toutes les mesures qui, à notre avis, pourraient contribuer à assurer la sécurité des Canadiens, et nous examinons la bonne façon d'appliquer ces mesures.

M. Glen Motz:

Aucun décret n'est donc prévu. Avez-vous un plan différent pour interdire les armes à feu, comme vous l'avez indiqué?

Le président:

D'accord, c'est la fin de cette question.

Répondez brièvement à M. Motz, qui aura épuisé ses cinq minutes.

L’hon. Bill Blair:

J'ai un plan pour examiner tous les moyens par lesquels nous pouvons assurer la sécurité des Canadiens.

M. Glen Motz:

Vous continuez à éluder la question.

Le président:

Merci, monsieur Motz.

Monsieur Graham, la parole est à vous.

M. David de Burgh Graham:

Merci.

Monsieur le ministre, comme vous le savez, je suis un Canadien du milieu rural qui possède des armes à feu dans la maison et qui les utilise de temps en temps. La dernière fois que j'ai utilisé un AR-15, c'était il y a à peine un mois; je tiens donc à mettre les choses en perspective.

Que faites-vous pour protéger les utilisateurs légitimes d'armes à feu à l'avenir?

L’hon. Bill Blair:

Je veux aussi être très clair. Le gouvernement m'a confié le mandat d'examiner toutes les mesures susceptibles d'assurer la sécurité des personnes avec une mise en garde spécifique très importante. Il s'agissait d'une reconnaissance et d'une admission du fait que la très grande majorité des propriétaires d'arme à feu du pays sont respectueux des lois et responsables en cette matière. Ils achètent leurs armes à feu légalement. Ils les entreposent en toute sécurité. Ils les utilisent de manière responsable et en disposent conformément à la loi.

La possession d'arme à feu au pays est un privilège qui repose sur la volonté des gens et l'acceptation de nos lois et règlements en ce qui concerne les armes à feu. D'après mon expérience, les Canadiens, en très grande majorité, sont exceptionnellement responsables et respectueux des lois en ce qui concerne leurs armes à feu, et je pense qu'il est extrêmement important que nous respections toujours cela. Ce ne sont pas des gens dangereux, et en particulier les chasseurs, les agriculteurs et les tireurs sportifs font très attention à leurs armes.

Parallèlement, nous avons la responsabilité de veiller à ce que ces armes ne se retrouvent pas entre les mains de personnes qui s'en serviraient pour commettre des crimes violents. D'après mon expérience et mes discussions d'un bout à l'autre du pays, je crois que les propriétaires d'arme à feu responsables se préoccupent également de la sécurité publique et veillent à ce que leurs armes à feu ne se retrouvent pas entre les mains de criminels.

(1720)

M. David de Burgh Graham:

Je comprends.

Me reste-t-il du temps, monsieur le président?

Le président:

Monsieur Graham, vous disposez de cinq minutes complètes, en partie grâce à l'efficacité de...

M. David de Burgh Graham:

Je pensais que vous vouliez qu'il reste 10 minutes à la fin.

J'apprécie vos réponses.

Je voulais poser à M. Tousignant — je crois que vous êtes du SCC — une très brève question avant de revenir à M. Blair.

J'aurais posé cette question au groupe précédent, mais je n'ai eu aucune occasion de le faire. Dans ma circonscription, il y a l'Établissement de La Macaza, qui compte 28 silos à missiles Bomarc. J'aimerais savoir si le SCC peut nous aider à empêcher que ceux-ci soient démolis.

M. Alain Tousignant (sous-commissaire principal, Service correctionnel du Canada):

Il faudrait que je me renseigne avant de vous répondre à ce sujet.

M. David de Burgh Graham:

Ils se trouvent sur le terrain de l'Établissement de La Macaza. C'est pourquoi je vous le demande.

M. Alain Tousignant:

Oui.

L’hon. Bill Blair:

Je n'ai pas de réponse à cela non plus.

M. David de Burgh Graham:

Je tiens simplement à ce que cela soit consigné au compte rendu, car ces silos font partie de notre patrimoine. Je ne veux pas perdre ce patrimoine. Ces silos sont utilisés comme unités de stockage et contiennent de l'amiante; on veut les supprimer. On veut enlever ces silos. Je ne veux pas que cela se produise.

Le président:

Nous voulons donc préserver...

M. David de Burgh Graham:

Préserver les silos à missiles Bomarc. Sauver les silos à missiles.

Le président:

... les silos à missiles. D'accord.

C'est différent.

M. David de Burgh Graham:

Monsieur Blair, je ne sais pas si c'est votre ministère, celui de la Santé ou les deux... mais j'aimerais parler un peu des lois sur la marijuana.

Comme vous le savez, c'est une grande circonscription rurale. De nombreuses exploitations de marijuana à des fins médicales sont en cours de création. Beaucoup de villes se plaignent de ne pas en savoir davantage à leur sujet. J'aimerais savoir quelle est la responsabilité d'un demandeur de licence d'informer la police, les pompiers et les municipalités. Pourriez-vous m'aider à ce sujet?

L’hon. Bill Blair:

Ce sont des règlements qui ne relèvent pas de la Loi sur le cannabis, où quelqu'un obtient une autorisation de cultiver du cannabis, mais doit tout d'abord respecter les règlements de Santé Canada concernant ces installations; il est également assujetti aux règlements municipaux et de zonage, s'ils existent. Je le dis parce que tous les endroits n'ont pas de tels règlements.

Un certain nombre de ces incidents ont entraîné des problèmes liés aux odeurs, à la pollution lumineuse, au bruit et à d'autres complications. Dans ces situations, Santé Canada a un rôle à jouer, et certains règlements s'appliquent spécifiquement aux producteurs autorisés de marijuana à des fins médicales, qui ne sont pas les producteurs autorisés en vertu de la Loi sur le cannabis. Les autorités de réglementation locales ont également un rôle important à jouer, notamment en ce qui concerne l'application des règlements en vue de régler ce genre de problèmes.

Si vous avez dans votre circonscription de telles installations qui posent problème à votre collectivité, je vous encourage à communiquer avec nous, et nous veillerons à ce que Santé Canada, dans la mesure de ses moyens, aide à régler ces problèmes grâce à ses règlements. Dans de nombreux cas, nous pouvons collaborer avec les autorités municipales locales ou régionales afin de donner suite à ces préoccupations.

M. David de Burgh Graham:

Merci beaucoup.

Le président:

Sur ce, je vais mettre fin aux questions.

M. Jim Eglinski:

Attendez, j'ai une très bonne question.

Le président:

Ce serait la première fois depuis longtemps que vous poseriez une bonne question.

L’hon. Bill Blair:

J'aimerais beaucoup répondre à votre bonne question.

Le président:

Vous pouvez poser votre belle question après la séance. Nous devons adopter le budget des dépenses, ce qui est l'objectif de notre réunion aujourd'hui.

Au nom du Comité, je tiens à vous remercier, monsieur le ministre Blair, ainsi que tous vos collaborateurs d'être venus pendant que nous examinons le budget.

Sur ce, je vais suggérer... et c'est aux collègues de décider si nous voulons adopter plus ou moins 30 crédits en même temps, qui seront probablement tous adoptés avec dissidence. Est-ce une façon préférable de procéder ou souhaitez-vous diviser les crédits?

Nous sommes d'accord pour que tout soit fait en même temps. AGENCE DES SERVICES FRONTALIERS DU CANADA ç Crédit 1 — Dépenses de fonctionnement... 1 550 213 856 $ ç Crédit 5 — Dépenses en capital... 124 728 621 $ ç Crédit 10 — Répondre aux défis de la peste porcine africaine... 5 558 788 $ ç Crédit 15 — Renforcer la reddition de comptes et la surveillance de l'Agence des services frontaliers du Canada... 500 000 $ ç Crédit 20 — Accroître l'intégrité des frontières et du système d'octroi de l'asile du Canada... 106 290 000 $ ç Crédit 25 — Aider les voyageurs à visiter le Canada... 12 935 000 $ ç Crédit 30 — Modernisation des opérations frontalières du Canada... 135 000 000 $ ç Crédit 35 — Protéger les personnes contre les consultants en immigration sans scrupules... 1 550 000 $

(Crédits 1, 5, 10, 15, 20, 25, 30 et 35 adoptés avec dissidence) SERVICE CANADIEN DU RENSEIGNEMENT DE SÉCURITÉ ç Crédit 1 — Dépenses du programme... 535 592 804 $ ç Crédit 5 — Accroître l'intégrité des frontières et du système d'octroi de l'asile du Canada... 2 020 000 $ ç Crédit 10 — Aider les voyageurs à visiter le Canada... 890 000 $ ç Crédit 15 — Protéger la sécurité nationale du Canada... 3 236 746 $ ç Crédit 20 — Protection des droits et des libertés des Canadiens... 9 200 000 $ ç Crédit 25 — Renouveler la Stratégie du Canada au Moyen-Orient... 8 300 000 $

(Crédits 1, 5, 10, 15, 20 et 25 adoptés avec dissidence) COMMISSION CIVILE D'EXAMEN ET DE TRAITEMENT DES PLAINTES RELATIVES À LA GENDARMERIE ROYALE DU CANADA ç Crédit 1 — Dépenses du programme... 9 700 400 $ ç Crédit 5 — Renforcer la reddition de comptes et la surveillance de l'Agence des services frontaliers du Canada... 420 000 $

(Crédits 1 et 5 adoptés avec dissidence) SERVICE CORRECTIONNEL DU CANADA ç Crédit 1 — Dépenses de fonctionnement, subventions et contributions... 2 062 950 977 $ ç Crédit 5 — Dépenses en capital... 187 808 684 $ ç Crédit 10 — Soutien au Service correctionnel du Canada

(Crédits 1, 5 et 10 adoptés avec dissidence) MINISTÈRE DE LA SÉCURITÉ PUBLIQUE ET DE LA PROTECTION CIVILE ç Crédit 1 — Dépenses de fonctionnement... 130 135 974 $ ç Crédit 5 — Subventions et contributions... 597 655 353 $ ç Crédit 10 — Veiller à une meilleure préparation et intervention pour la gestion des catastrophes... 158 465 000 $ ç Crédit 15 — Protéger les infrastructures essentielles du Canada contre les cybermenaces... 1 773 000 $ ç Crédit 20 — Protéger la sécurité nationale du Canada... 1 993 464 $ ç Crédit 25 — Protéger les enfants contre l'exploitation sexuelle en ligne... 4 443 100 $ ç Crédit 30 — Protéger les lieux de rassemblement communautaires contre les crimes motivés par la haine... 2 000 000 $ ç Crédit 35 — Renforcer le régime canadien de lutte contre le recyclage des produits de la criminalité et le financement des activités terroristes... 3 282 450 $

(Crédits 1, 5, 10, 15, 20, 25, 30 et 35 adoptés avec dissidence) BUREAU DE L'ENQUÊTEUR CORRECTIONNEL DU CANADA ç Crédit 1 — Dépenses du programme... 4 735 703 $

(Crédit 1 adopté avec dissidence) COMMISSION DES LIBÉRATIONS CONDITIONNELLES DU CANADA ç Crédit 1 — Dépenses du programme... 41 777 398 $

(Crédit 1 adopté avec dissidence) GENDARMERIE ROYALE DU CANADA ç Crédit 1 — Dépenses de fonctionnement... 2 436 011 187 $ ç Crédit 5 — Dépenses en capital... 248 693 417 $ ç Crédit 10 — Subventions et contributions... 286 473 483 $ ç Crédit 15 — Offrir un meilleur service aux passagers du transport aérien... 3 300 000 $ ç Crédit 20 — Accroître l'intégrité des frontières et du système d'octroi de l'asile du Canada... 18 440 000 $ ç Crédit 25 — Protéger la sécurité nationale du Canada... 992 280 $ ç Crédit 30 — Renforcer le régime canadien de lutte contre le recyclage de produits de la criminalité et le financement des activités terroristes... 4 100 000 $ ç Crédit 35 — Soutien pour la Gendarmerie royale du Canada... 96 192 357 $

(Crédits 1, 5, 10, 15, 20, 25, 30 et 35 adoptés avec dissidence) COMITÉ EXTERNE D'EXAMEN DE LA GENDARMERIE ROYALE DU CANADA ç Crédit 1 — Dépenses du programme... 3 076 946 $

(Crédit 1 adopté avec dissidence) SECRÉTARIAT DU COMITÉ DES PARLEMENTAIRES SUR LA SÉCURITÉ NATIONALE ET LE RENSEIGNEMENT ç Crédit 1 — Dépenses du programme... 3 271 323 $

(Crédit 1 adopté avec dissidence) COMITÉ DE SURVEILLANCE DES ACTIVITÉS DU RENSEIGNEMENT DE SÉCURITÉ ç Crédit 1 — Dépenses du programme... 4 629 028 $

(Crédit 1 adopté avec dissidence)

Le président: Est-ce que le président doit faire rapport des crédits du Budget principal des dépenses 2019-2020, moins les montants approuvés dans les prévisions, à la Chambre?

Des députés: D'accord.

Le président: La séance est levée.

Hansard Hansard

committee hansard secu 34724 words - whole entry and permanent link. Posted at 22:44 on June 03, 2019

2019-05-29 SECU 165

Standing Committee on Public Safety and National Security

(1615)

[Translation]

The Vice-Chair (Mr. Matthew Dubé (Beloeil—Chambly, NDP)):

Good afternoon, everyone. We will begin the meeting, now that we finally have enough government and opposition members here.

Before I give the floor to our witness, who will be joining us by videoconference, I would like to take a moment to discuss today's proceedings.

Given the time we have already lost, and the uncertainty about this afternoon's schedule due, in part, to the possibility of further votes following the procedural manoeuvres in the House, I would like to make a suggestion.[English]

What I would suggest is, given the fact that we still do have time in the remaining meetings to accommodate Mr. Amos, and given the uncertainty.... He is a member of Parliament, and he is around these parts more often than not, so it's easier to reaccommodate him. We would hear from the witness, do questioning and then, depending on how time is going, move on from there, and put Mr. Amos' testimony to another day.[Translation]

I would like to hear what committee members think.

Let us start with Mr. Graham.

Mr. David de Burgh Graham (Laurentides—Labelle, Lib.):

Mr. Amos plans to attend the meeting in any case. He has arranged to be replaced in his duties in order to be here.

I suggest that we do all the work we can until there are no further questions. If there is no vote in the House, the PayPal representative could appear for 45 to 60 minutes, depending on the number of questions. Then Mr. Amos could have the time to give his presentation at the end.

The Vice-Chair (Mr. Matthew Dubé):

It is a possibility, but the problem—and this is what concerns me—is that Mr. Amos is sponsoring the motion. We may not have an opportunity to question him if it is nearly 5:30 p.m. or if the bells call us to vote.

The clerk informs me that this would have little effect on our schedule in the next weeks before the end of the session.

That is my personal, very sincere opinion. I am replacing Mr. McKay, but I do not want to impose my point of view. Even so, because of the number of days we have left, we may well not be able to move forward the study that Mr. Amos is asking for in a meaningful way.

I am still open to your suggestion, Mr. Graham.

What do you think, Mr. Paul-Hus?

Mr. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, CPC):

I agree with you, Mr. Chair.

Mr. Johnson from PayPal has been waiting for an hour. Let us hear his presentation and take the time to ask our questions properly. Then we can adjourn.

Mr. Amos can appear at another time.

The Vice-Chair (Mr. Matthew Dubé):

Does anyone object to proceeding in that way?

It seems unnecessary to do otherwise.

Mr. David de Burgh Graham:

It depends when we will be able to come back.

A motion has been unanimously adopted by the House recommending that we undertake this study. I want to ensure that we come to grips with it as quickly as possible. This must not drag on for another month. We have already lost our time today.

That is why I suggest that Mr. Amos introduce his motion. That way, we can move on with the study.

The Vice-Chair (Mr. Matthew Dubé):

Once again, the clerk has informed me that there is no problem with the schedule. I have checked the information. Mr. Graham, that may reassure you about our ability to hear from Mr. Amos at another time. As Mr. Paul-Hus said, we have already kept our witness waiting.

We have an hour and a quarter, but, even if this witness's testimony takes only 45 minutes and Mr. Amos then appears, we still may run out of time or be called to vote. So I prefer to avoid that uncertainty, especially considering the ease with which we can invite an MP to another meeting. With most witnesses, we can rarely do that.

So let us continue the meeting.

(1620)

Mr. David de Burgh Graham:

Okay.

Let us begin; let us not waste any more time. [English]

The Vice-Chair (Mr. Matthew Dubé):

Thank you, colleagues.

I will now move to our witness. I want to thank Mr. Johnson for his patience. The procedural wrangling that goes on in this place does have that impact sometimes. Joining us by video conference, we have Brian Johnson, who is Senior Director for Information Security at PayPal.

You have 10 minutes, Mr. Johnson, for your opening statement. We'll take questions from the members, and we thank you for taking the time this afternoon.

Mr. Brian Johnson (Senior Director, Information Security, PayPal, Inc.):

Thank you very much. Good afternoon, Mr. Chairman and members of the committee.

Again, my name is Brian Johnson and I do serve as the Senior Director of Information Security at PayPal. I appreciate your giving us the opportunity to speak with you today and for making the time in your busy schedule.

I suspect you all know a bit about PayPal generally speaking, but allow me to add a bit of detail.

Founded in 1998, PayPal is a leading technology platform company that enables digital and mobile payments on behalf of more than 277 million consumers and merchants in more than 200 markets worldwide. We offer online and mobile merchant acquiring and money transfer services. PayPal is the most popular digital wallet in Canada.

We are based in San Jose, California, and our Canadian headquarters is in Toronto with offices in Vancouver. PayPal Canada was incorporated in 2006. We have more that 7.1 million customers including more than 250,000 small business customers in Canada.

Fuelled by a fundamental belief that having access to financial services creates opportunity, PayPal is committed to democratizing financial services and empowering people and businesses to join and thrive in the global economy. Our open digital payments platform gives PayPal's 277 million active account holders the confidence to connect and transact in new and powerful ways, whether they are online or on a mobile device. Through a combination of technological innovation and strategic partnerships, PayPal creates better ways to manage and move money, and offers choice and flexibility when sending payments, paying or getting paid.

We believe now is the time to reimagine money and to democratize financial services so that managing and moving money is a right for all citizens, not just the affluent. We believe that every person has a right to participate fully in the global economy. We have an obligation to empower people to exercise this right and improve their financial health. As a fintech pioneer and an established leader, we believe in providing simple, affordable, secure and reliable financial services and digital payments that enable the hopes, dreams and ambitions of millions of people around the world. We have a fundamental commitment to put our customers at the centre of everything we do.

Securing our customers and their data is central to our mission. For financial companies, data security is the main pillar. Through strong partnerships, strategic investments and a tireless commitment to protecting consumers, PayPal has resolved to be an industry leader in cybersecurity capabilities and to help make the Internet safer.

We have in our favour more than 20 years of experience in processing electronic transactions safely. PayPal has one of the most sophisticated fraud prevention engines in the world, which gets smarter with every transaction that goes through our system. With our advanced fraud monitoring technology, we detect and prevent attacks before they happen.

Security is in our DNA, and it's at the epicentre of all that we do at PayPal. We are the number one trusted brand of e-commerce and mobile commerce around the world. People trust PayPal because they know that we don't share customers' financial information with merchants, retailers or online sellers. Our robust security standards ensure that every part of a transaction is safe and secure.

At PayPal we believe we have a responsibility to help protect our users against harm. Privacy has always been one of our main concerns. Our customers trust us with their data. We take that trust very seriously. We collect only the data that's necessary to fulfill services that a customer requests, to improve product experiences and deliver relevant PayPal advertisements and to prevent fraud. We never sell or rent customer information.

It's commonly held among global law enforcement agencies that cybercrime and online methods of fraud are now more common than crimes committed in the offline and physical world. As the committee is certainly aware, over the last five years, the RCMP alone has observed an almost 50% increase in cybercrime reports from Canadians. I applaud the committee for aggressive action and for its support of Canada's national security strategy, by including significant funding for investments in cybersecurity as part of your commitment to safety and security. Building an innovative and adaptive cyber-ecosystem is a crucial step to being able to quickly scale and combat emerging threats to critical infrastructure, government, business and individuals' digital information.

To conclude, I would like to emphasize PayPal's commitment to cybersecurity and our willingness to work together with the Canadian government and industry.

Thank you again for the invitation to discuss these very relevant topics and to represent PayPay's strong position in support of consumer data protection and privacy.

(1625)



I'd be happy to answer any questions you may have.

The Vice-Chair (Mr. Matthew Dubé):

Great. Thank you so much, Mr. Johnson.

We will proceed to our question period. We will begin with Ms. Sahota, please, for seven minutes.

Ms. Ruby Sahota (Brampton North, Lib.):

Thank you, Mr. Johnson, for being here today.

Are there any differences in how you operate in Canada versus the U.S., or are you mainly based out of the U.S. and that's where all the information ends up when Canadians are using your service?

Mr. Brian Johnson:

[Inaudible—Editor] by PayPal customers are stored within U.S. data centres and localized data housing, so localization of data of Canadian customers is also contained within the U.S.-hosted facilities.

Ms. Ruby Sahota:

To clarify, there's no difference in how you operate when it comes to Canadian customers versus the American customers, right?

Mr. Brian Johnson:

Other than localization for currency or for other preferences that are localized, the data and information is stored the same as that of U.S.-based customers.

Ms. Ruby Sahota:

I'm very glad to hear that, because I would figure after operating for two decades—longer than other competitors in this realm have existed—you must have a lot of data stored up. It is good to hear that you don't sell the data that you have received. Thank you for providing us with that information.

However, I have seen that there have been several articles in just this recent month about PayPal. One is about paying hackers—I would assume they are white hat hackers—to try to protect the security of your system. Could I hear a little more about that, and how that's been working? Have you been doing that for a long period? Is this a recent trend, that you're paying hackers to hack your system? What advantages are you getting out of that?

Mr. Brian Johnson:

That's an excellent question, Ms. Sahota.

Our program is called bug bounty, and it's an industry-wide accepted method of using contracted support, basically using the industry of white hat hackers through a managed program. They're vetted so they're not allowed to just go rogue or attack systems without request and without knowledge. They're considered professional security researchers across industry, and many of them are professionals in other areas and use freelance time or side jobs at times to provide what's called bug bounty ethical hacking. It helps us to expose any concerns or vulnerabilities in systems that are not caught with internal tools and to instead catch those through bug bounty programs, which again are commonly used by many companies for the security researcher community to collaborate with us on those vulnerabilities.

Ms. Ruby Sahota:

Do you have contracts with these hackers?

Mr. Brian Johnson:

We contract with a group called Hackerone that provides the vetting process with them, and then through responsible disclosures, those vulnerabilities are reported to us to fix them before they're disclosed publicly, so we can resolve any of those vulnerabilities that they find.

Ms. Ruby Sahota:

If an issue was to occur where somebody was to breach the system or someone's privacy, where would the liability lie? Would it lie with PayPal?

Mr. Brian Johnson:

If there's a system breach, that's an unauthorized activity and it would be treated as malicious and illegitimate access as with any mal-intended attacker. We don't have bug bounty researchers perform attacks or breaches, and as part of the program policy, they're not allowed to access customer data nor to make any manipulation or changes of information. They're allowed to disclose vulnerabilities that are detected in the system and report those to us through the responsible disclosure program.

Ms. Ruby Sahota:

PayPal also uses an app for convenience for customers, correct?

(1630)

Mr. Brian Johnson:

An app for convenience? We do have a mobile app.

Ms. Ruby Sahota:

A mobile app, that's right.

Mr. Brian Johnson:

Correct, we do have mobile apps.

Ms. Ruby Sahota:

I have seen articles also just recently this month of actual accounts of people being defrauded, with up to $9,000 or so being taken out of their bank account, and it has been done because the app can be hacked. As a result, the vulnerability of the app is allowing access into people's bank accounts directly.

We heard from credit card companies that the information is never shared directly. People's bank information does not directly go to the credit card company, but it seems in this case, the bank information is being directly shared with PayPal and then if there's a vulnerability there, the hacker can access all the information.

How are you protecting against that?

Mr. Brian Johnson:

Media reports are not always accurate. To be technically accurate, the access of information within the PayPal account would only be through an authorized account holder or through their loss of credentials and device. If there's a loss of credentials by a consumer—let's say they have malware on their computer and their log-in credentials are stolen or lost through that—the access of their account through a malicious attempt would be caught by our fraud platform or risk systems to detect that. If it's not caught by some vulnerability, the only access into the PayPal account would be to PayPal balance, but not directly into the consumer's bank information. The bank information is stored in our system and not made visible, even after entered into the system by the consumer.

The only method they would have is of trying to extract data by using the PayPal system to process transactions. They might try to attempt fraud, but they wouldn't be able to get their bank account information through the platform.

Ms. Ruby Sahota:

That's interesting. The article warns people to check their bank accounts regularly and look for PayPal transactions that may not have been authorized.

When this occurs, how does the person recover? Do they recover from their bank? Are they able to recover from PayPal?

Mr. Brian Johnson:

We have buyer protection so if there are malicious or unintended transactions on a consumer account, we provide buyer liability and buyer protection for those fraudulent transactions and protect the consumer in that case.

I want to reiterate though that a malicious account access into a PayPal account is unlike a malicious access into any account. If online fraud occurs, we cover liability for the buyer, for the consumer, in that case. Our seller protection has other coverages to sell our merchants. The access to the PayPal account does not mean that the malicious actor necessarily has access to the bank account directly. They don't have access to credentials, nor to the bank account information, but only the linkage that we provide for the bank account as a funding instrument into the PayPal account.

Ms. Ruby Sahota:

Okay.

I used PayPal many years ago, but I stopped using after a while when I continued to get fraudulent emails telling me about certain transactions that were made. I have a final comment; it can lead to being very confusing for the user and, therefore, I steered away from it because I found I was receiving too many fake emails from PayPal.

The Vice-Chair (Mr. Matthew Dubé):

Unfortunately, we're going to have to leave it there.[Translation]

I now give the floor to Mr. Paul-Hus for seven minutes.

Mr. Pierre Paul-Hus:

Thank you, Mr. Chair.

Here is my first question.

Mr. Johnson, you mentioned that PayPal has existed since 1998. You have therefore been in existence since the beginnings of the Internet.

We know that cybersecurity issues have evolved in parallel with the Internet. Is PayPal able to follow that evolution and counter those threats? [English]

Mr. Brian Johnson:

Many of our staff in our information security organization are members of industry alliances that are helping to make the Internet more secure. We are absolutely in the research and development stages of many investments. Email phishing and anti-phishing working groups are other areas as well, as Ms. Sahota mentioned. The investments we make in email security, Internet security and browser security are at the forefront of our investments.

(1635)

[Translation]

Mr. Pierre Paul-Hus:

You also mentioned that people trust PayPal.

What measures have you undertaken to ensure that those who do business with PayPal do so with complete trust? [English]

Mr. Brian Johnson:

As I mentioned, our buyer protection programs provide liability coverage for any fraudulent activities that might happen on a consumer account. We also invest heavily into cybersecurity initiatives and our fraud-risk platforms. We have industry-leading metrics on how low our fraud numbers are in the sense that we protect and prevent a significant amount of fraud, and protect merchants and consumers on our platform at an excellent rate that we're very proud of. [Translation]

Mr. Pierre Paul-Hus:

Excellent.

Among the witnesses who have appeared before our committee for this study, we have had representatives from a number of banks, including the Toronto-Dominion Bank. One of its representatives informed us that cyber attacks against the bank come from a number of different countries.

Can you name the countries attacking PayPal's system? [English]

Mr. Brian Johnson:

Interestingly, foreign countries—you mention nation-state, and it's not information I'm at liberty to share, but related to private attackers or individuals who are online fraudsters who would attempt to attack websites happens on a regular basis. They're not centralized to any particular geographic region. There is, of course, a high distribution of cyber-attacks where their origin or their attribution to the country of origin is often difficult to trace, because a lot of countries participating in their infrastructure are allowing it to be hacked. As an example, attackers may originate from one country and use Internet services from another country to direct their attacks. Criminals use a multi-layered economy, and multiple parties are usually involved from different regions of each attack. [Translation]

Mr. Pierre Paul-Hus:

I understand the difference between an individual's country of origin and the country from which an attack comes, but my question was more about the countries than the individuals. Has PayPal been subject to attacks from states? [English]

Mr. Brian Johnson:

Not in particular. We have no singular concentration of countries that attack us as a company uniquely. [Translation]

Mr. Pierre Paul-Hus:

Okay, perfect.

Your company is based in the United States and deals with many different countries, all of which have different regulations. Given that we are studying this from a Canadian perspective, do Canadian laws and regulations have an effect on PayPal's activities? For example, are our privacy laws too restrictive or not restrictive enough? [English]

Mr. Brian Johnson:

It's an excellent question. The data protection and data privacy implications that Canada is proposing and has outlined as a framework are an excellent support for industry and businesses globally.

To answer the first part of your question about operating globally, we do have staff in many of our regions that have increased regulations. We gave a local presence in many countries, including Europe, with support for GDPR, and in regions in Singapore where we have support for our business in the APAC region. We do have localized staff and support for each of those regions, as well as in other areas in the world that support local regulations. We have a global workforce that encourages participation with local legislators and regulators. We work closely with examiners and regulators when there are data protection and data privacy laws to ensure that we not only support and accommodate those, but help to align with regulations that are evolving and help inform practical applications to those in a context that's suitable for a global economy. [Translation]

Mr. Pierre Paul-Hus:

In your opinion, are there aspects that Canada should improve? You have said that our country has strong laws, but do you still have recommendations for us on the legislative level?

(1640)

[English]

Mr. Brian Johnson:

By the way, on the announcement of the new digital charter, PayPal applauds Minister Bains and the Government of Canada for taking leadership on that important topic of data protection. We believe that this responsibility does help us to protect users against harm and support privacy laws. It's a great first step. It derives some principles. I believe the 10th principle, or the last one on that was to provide accountability and enforcement. More detail around that would be helpful.

Certainly, as Canada has not been the first mover of data privacy law, I think that's actually worked to your advantage because you've been able to learn from other regions and regulators about the right balance of privacy law. But in being specific with companies with respect to the digital privacy and regulations that you're encouraging, there will be a tough balance between the framework that you've provided and those guiding principles that help direct good behaviour and strong accountability. As well, the work with industry and private partnerships will help to build strong legislation that you can support in years to come. [Translation]

The Vice-Chair (Mr. Matthew Dubé):

Thank you very much.

We will now give the floor to Mr. Picard for seven minutes.

Mr. Michel Picard (Montarville, Lib.):

Mr. Chair, usually, you would also have the right to speak for seven minutes.

Under the circumstances, I propose allowing the Chair seven minutes so that he can ask questions on behalf of his party.

The Vice-Chair (Mr. Matthew Dubé):

You are very generous, thank you. [English]

Mr. Michel Picard:

I won't do that again.

Sir, I would like to look at your operation from a money-laundering standpoint. When I buy credit or I put money in my account, my first naive question is where does my money go?

Mr. Brian Johnson:

Where does your money go in a PayPal balance stream?

Mr. Michel Picard:

Yes.

Mr. Brian Johnson:

PayPal balances are backed by a number of U.S. banks, so we support depositing and safe investment and deposit of the account money. The first item was if you use credit. Was that a supporting comment, or what was the line there, before I answer?

Mr. Michel Picard:

When I buy a number of credit...and I put some money in my account for further purchases, my money then ends up in a bank supporting your transaction. Let's say I have $100 of whatever unit, or it might be just dollars, to buy stuff. Do you trace the origin of this transaction and where it comes from, whether credit card, bank account or stuff like that?

Mr. Brian Johnson:

Yes, I'm sorry. I understand your question now, Mr. Picard.

Yes. The origin of the money.... From an anti-money laundering, AML, perspective, we have an anti-money laundering department and a strong division and investment in detecting money-laundering activities. We treat those activities very seriously by tracing the money trail from the point of origin, funding source and the original deposit method, and we support law enforcement efforts in fighting any money-laundering operations or fraud schemes that are detected or reported on the platform.

Mr. Michel Picard:

You are supporting efforts during the investigation, but when you get the money from any credit card, at your level, I guess you accept the transaction as long as there is enough money at the point of origin. That means that if I have, for example, a prepaid credit card, and I want to put money in my balance, I put in mu credit card, you verify the balance, the money is there, you take it, and there's no more investigation, regardless of the origin. Whether this origin is criminal or not, you cannot verify that.

Mr. Brian Johnson:

We actually do validation of the data source or the money source at its origin, and in certain circumstances, prepaid has limits supplied on how much money we will allow to be deposited and what money can be withdrawn within a period of time or spent within certain websites. Our risk and fraud platforms do have very granular rules that detect certain financial instruments that are used based on the risk level. If there is an AML or a money-laundering method that we've written into our fraud patterns for that use case, like prepaid, as an example, we place limits and certain criteria to restrict losses and to minimize risk in that case.

(1645)

Mr. Michel Picard:

Do you have pattern analysis in terms of types of transactions?

Mr. Brian Johnson:

We do. We perform behavioural analysis, and we have some artificial intelligence methods running in our risk platforms that are learning and baselining behaviours and payment patterns across the platform.

Mr. Michel Picard:

Usually when money is in my balance, I cannot withdraw money as is. I have to buy something. Is that the case, or do I have exceptions where I can withdraw some money from my balance?

Mr. Brian Johnson:

We do provide methods of withdrawing money in certain regions of the world, depending on where the money was sourced, of course. It can be withdrawn through different methods. We have a partnership, as an example, with Walmart that allows for cash withdrawals. With Walgreens and with local retailers, we've opened partnerships that allow for deposit and withdrawal of cash in local currency. Through our integration with the Zoom platform, we also allow for global remittance or transfer across borders of different transactions and withdrawal of money through different methods at retailers as well. The money can also be deposited or withdrawn in cash by certain methods.

Mr. Michel Picard:

What is the maximum amount of money I can put in my balance in one transaction?

Mr. Brian Johnson:

I believe it depends on the risk rules. That's not my area of expertise, so I don't know the specifics, but there are limits depending on the age of the account, whether your account has been verified with identification and whether we've verified the account holder's history. There are other methods of raising that limit based on knowledge and know-your-customer indicators on trusting the account holder.

Mr. Michel Picard:

Do you have the obligation to declare to FINTRAC in Canada if there are patterns of transactions or deposits of more than $10,000?

Mr. Brian Johnson:

I'm not certain about that. I'm not in the fraud or AML department, but I know that we do report through FinCEN and other networks in the U.S. that I'm familiar with with respect to certain criteria. I'm not familiar with our reporting through the fraud pattern notification with Canada, though. We can certainly find out.

Mr. Michel Picard:

If I put money in my own account so I can, myself, withdraw my own money without your knowing whether I'm the same person doing the two transactions.... Let's say I take a prepaid card, or my money is in an account in a bank that is the same, under suspicion, because we do have some banks that are under suspicion.

Mr. Brian Johnson:

Sure.

Mr. Michel Picard:

I put money in my PayPal account. Two or three days after that, I withdraw my money. The only information you need to know to do this transaction is whether the account has the right log-in and password to get in, and the same thing to get the money out. There's no possibility to verify whether it's the same person. My colleague and I may work on the same account.

Mr. Brian Johnson:

We do verify device telemetry. We look for information about the device, the computer you're using, based on geolocation, on some other fraud detection patterns, to try to verify the authenticity of the user on the account. The account holder, of course, has to have the credentials to perform that payment or that transaction.

Mr. Michel Picard:

Another area—I don't have much time—is the nature of the attacks where you've been targeted.

What kind of evolution have you seen throughout the years, the level of sophistication of those attacks? What can you say about that?

Mr. Brian Johnson:

Generally speaking, the cyber-attack footprint has become much more complex and advanced. Cybercriminals have become much more of an economy unto themselves, and have layered their tools, their data, their methods of attack in a very sophisticated way, and in a very coordinated way in many cases.

Criminals are creating tools, and both executing and renting access to those tools. Distributed denial-of-service attacks, or DDoS attacks, have become much more significant and advanced over the years. The cyber-landscape in threats and emerging trends in that area have definitely become more complex, and have increased in scale dramatically in recent years.

Mr. Michel Picard:

Thank you.

The Vice-Chair (Mr. Matthew Dubé):

Colleagues, as you can see, we have bells. We require unanimous consent to continue. If we choose to do so, we must also decide for how much longer we will continue. I'm looking for guidance, based on the number of questions you may or may not have.

Mr. Graham.

Mr. David de Burgh Graham:

I say we go until the bells flash three times, which should give us five minutes to get upstairs.

The Vice-Chair (Mr. Matthew Dubé):

You're proposing that we go for 20 minutes?

Mr. David de Burgh Graham:

Twenty-two more minutes, yes.

An hon. member: Is that enough time?

Mr. David de Burgh Graham: It's five minutes to go up two floors in this building.

The Vice-Chair (Mr. Matthew Dubé):

Can we agree on two final five-minute rounds for each of the parties at the table right now? Is that okay?

Some hon. members: Agreed.

An hon. member: Do you want [Inaudible—Editor], Mr. Chair ?

The Chair: I'm good on my end, but I appreciate the generosity with the speaking time from your side.

Mr. Eglinski, please, for five minutes.

(1650)

Mr. Jim Eglinski (Yellowhead, CPC):

I'd like to thank the witness for being here.

Brian, I want to follow through with what Mr. Picard was stating.

You stated earlier in your evidence that the money put into the PayPal accounts goes into the United States. Is that true for all countries where you do transactions?

Mr. Brian Johnson:

I'm not certain on that, Mr. Eglinski.

I'd have to verify with our product team on where the money is deposited in back-end sources based on locale.

Mr. Jim Eglinski:

Let's deal with the Canadian customers.

Do all the funds from which we do transactions with you go into the United States, or is some of it done here in Canada?

Mr. Brian Johnson:

I'm sorry. I'm not sure which products have storage of data and balances in which accounts, so I can't answer that with clarity.

Mr. Jim Eglinski:

All right.

Is there a regulatory body in the United States that requires you to report breaches in your program? As you mentioned to Mr. Picard earlier, you have a program that will kick out if a transaction is made and a second transaction is withdrawn from a different locale.

Is that requirement for you? Do you report those to certain security agencies within the United States or Canada?

Mr. Brian Johnson:

We have a number of obligations to notify and notification obligations based on regulators across the globe. Again, those are regionally managed at the state level within the U.S., and at the regional level within each of the regulators.

We're governed by the CSSF in Europe, which is overseeing our European banking licence, and the MAS, which is the Monetary Authority of Singapore. We're governed in a number of other jurisdictions where we operate money remitter and payment service provider licences that we do in the United States and Canada.

Those obligations to notify vary based on the condition, but we do notify regulators of occurrences on whether they cross the threshold of notification for any data breach situation, or for any money-laundering operation or fraud scheme that we may detect on the platform. Those are notified through regulators as required.

Mr. Jim Eglinski:

Are you a member of the Canadian Cyber Threat Exchange?

Mr. Brian Johnson:

No, sir, we're not. We've discussed with the group, and our threat intelligence team has met with them before, but we're not currently members of the group.

Mr. Jim Eglinski:

Is there a reason for that?

Mr. Brian Johnson:

I believe there were other channels that superceded that—threat exchange platforms that are not specifically regional. The CCTX actually subscribes to some of the threat feeds that we're already members of. There are a number of threat exchanges that I believe they already exchange data through. We're not opposed to it, there just wasn't a need, as we've discussed with them, for any unique data exchange.

Mr. Jim Eglinski:

Okay, thank you.

I've been a member of PayPal, I think since about 2000, and have used it quite often over the years.

Mr. Brian Johnson:

Thank you for your business.

Mr. Jim Eglinski:

How much of my personal information, or other users', goes through your service? Where is that information stored? Is it all stored in the United States, or is it stored in individual countries?

Mr. Brian Johnson:

It's all stored in the United States. Personal information is all encrypted. We have extremely high-level encryption technologies at all levels of our infrastructure and technology stack. Personally identifiable information is not shared. Again, we don't sell or rent that data out to anyone, for marketing or any other purpose. It is housed and stays on PayPal's systems in the United States, in our data centres.

Mr. Jim Eglinski:

Have you been hacked?

Mr. Brian Johnson:

Have we been hacked? The direct answer is that we have not been breached. If you're asking if we've been breached in the sense of a customer-notifiable data breach event from PayPal, no. Properties, as you may be aware, of other adjacent companies that we've acquired over the years have reported cyber-incidents. We've had some vulnerabilities, and what would be classified as “hacks” noted in different products as an interface, but none of those have led to a massive breach, or a data loss at the extreme level that would require any notification.

Mr. Jim Eglinski:

You mentioned that all the data is stored in the United States. Is it stored in only one facility, or do you have a backup-type system?

(1655)

Mr. Brian Johnson:

We have multiple backups, yes. We're geographically distributed across high-availability data centre zones, so that we maintain resilience and disaster recovery capabilities across the platform.

Mr. Jim Eglinski:

Okay. Thank you. [Translation]

The Vice-Chair (Mr. Matthew Dubé):

Thank you, Mr. Eglinski.

We will now give the floor to Mr. Graham for the last five minutes. [English]

Mr. David de Burgh Graham:

I have a more lighthearted question to start with.

Do you know that at the bottom of the screen, it says, “SCF Superman”?

Mr. Brian Johnson:

Yes, it does. That's my conference room.

Voices: Oh, oh!

Mr. David de Burgh Graham:

Okay. I'm just wondering, because that's televised, so everyone is going to see that.

Mr. Brian Johnson:

Yes. That's a joke, so you're just fine.

Mr. David de Burgh Graham:

You mentioned that you don't trade data. Is there no interaction of any data, besides transaction data, between PayPal and any other company, for any reason? Would that be correct?

Mr. Brian Johnson:

We don't sell or rent data. There are certain fraud detection and other methods that we use. There are certainly integrations with merchants where we require certain data types. We don't sell or rent our customer data. The customer data footprint is not exchanged with third parties for marketing purposes, unless it's opted in on the PayPal platform by our customers.

Mr. David de Burgh Graham:

What data, besides transaction history data, does PayPal collect from its own customers, for some marketing purposes?

Mr. Brian Johnson:

I'm sorry, Mr. Graham, I'm not in the marketing department, so I'm not sure which data elements the marketing department uses. Again, we don't rent or sell that data outside of the platform. I'm not sure what we use onside of the platform, and into our platform, from a marketing perspective. Do you mean if they source other data, in other words, or data that's collected from PayPal customers?

Mr. David de Burgh Graham:

I'm just trying to get to the bottom of it. Mr. Picard and I just came out of three days of the grand committee on privacy, and we've discussed the avatars companies create, and this type of thing, so it's obviously top of mind for us and I'm trying to understand the level of information PayPal has on its users. Is it just: This person has sent this much money, and that's all we know about him, or is there a great deal more information retained by PayPal about their users?

Mr. Brian Johnson:

Certainly from a financial perspective, and in regard to some of the prior questions around any money-laundering detection and fraud prevention, we need to collect more data around transaction details, usage of the platform and device information, to comply with local law enforcement and regulators that require us to maintain knowledge of customers.

From a know-your-customer, KYC, perspective, the transaction history and the usage of certain customer computers and devices are bits of information we use to detect fraud. Those are, again, not used for marketing purposes. We wouldn't market you because you have connected a certain device type to us, if, for example, we use that for fraud prevention. Again, to my knowledge, that's not information we would have in our marketing team's purview, to expand on or share outside of that function.

Mr. David de Burgh Graham:

A couple of years ago, there was a lot of ink spilled over a class action lawsuit against PayPal for accepting donations to charities that weren't members of PayPal, and it was eventually referred to binding arbitration. By any chance, do you know the status of that suit?

Mr. Brian Johnson:

I don't. I recall reading about it, but I don't recall the status of that suit.

Mr. David de Burgh Graham:

Then it wouldn't be in your purview to discuss why PayPal would accept donations for clients they don't have.

Mr. Brian Johnson:

I'm not in that space; I'm in the cybersecurity space.

As I understood, though, it was one of those situations where, as we accept for charities, whether we validate that the charity is a valid one was a concern in that case. I don't recall if it was outside that scope, because it wasn't in my purview.

Mr. David de Burgh Graham:

In the time I have left, can you give us a bit of a taste of the evolution of PayPal cybersecurity?

You've been around since 1998, and an awful lot has changed in that time. Do you have some key moments that you'd like to tell us about?

Mr. Brian Johnson:

Certainly.

PayPal was part of eBay until just five years ago, and at that point, eBay had encountered some cyber-events. We were part of a program that learned from those. We've emerged into the leading digital payments platform that has evolved into a global leader in this space.

We've certainly invested a lot in knowing the industry partners and working with government and working with public and law enforcement agencies to make sure that we understand the climate of each of the regions that we do business in. We've invested quite a bit in our fraud platforms to understand more about what types of criminals are trying to defraud customers. Of course, we've remained true to protecting customers data and standing behind them with our buyer protection program and safe practices in protecting consumers in all those situations.

Mr. David de Burgh Graham:

Thank you for having come, because I know a lot of other companies in this sector haven't come to visit us. I really appreciate people taking the time to come and discuss these issues with us.

(1700)

Mr. Brian Johnson:

Thanks for inviting us.

The Vice-Chair (Mr. Matthew Dubé):

Thank you, and I will echo those sentiments.

Mr. Johnson, thank you very much, not only for your time but also for your patience, as we were a bit delayed in getting started.[Translation]

Thank you very much, colleagues.

Given the time and the fact that we have to go to vote, it serves no purpose for us to come back later. So I thank you for indulging me as Mr. McKay's temporary replacement, and add that our meeting is adjourned.

The meeting is adjourned.

Comité permanent de la sécurité publique et nationale

(1615)

[Français]

Le vice-président (M. Matthew Dubé (Beloeil—Chambly, NPD)):

Bonjour à tous. Nous allons commencer la réunion, maintenant que nous avons enfin des représentants et du gouvernement et de l'opposition.

Avant de passer la parole à notre témoin, qui va se joindre à nous par vidéoconférence, je voulais prendre un moment pour discuter du déroulement de la séance.

Compte tenu du fait que nous avons perdu du temps ainsi que de l'incertitude relative à l'horaire de cet après-midi en raison, notamment, de la possibilité qu'il y ait d'autres votes suivant les tractations procédurales à la Chambre, j'aimerais faire une suggestion.[Traduction]

Ce que je suggère, compte tenu du fait que nous avons encore du temps pour accommoder M. Amos au cours des séances restantes, et compte tenu de l'incertitude... Il est député et il se trouve souvent ici, alors il est plus facile de reporter son témoignage. Nous pourrions entendre le témoin, le questionner, puis, selon le temps qu'il nous reste, passer à autre chose et reporter le témoignage de M. Amos à un autre jour.[Français]

J'aimerais avoir l'avis des membres du Comité.

Nous allons commencer par M. Graham.

M. David de Burgh Graham (Laurentides—Labelle, Lib.):

M. Amos a l'intention de venir à la réunion de toute façon. Il s'est organisé pour se faire remplacer dans ses fonctions afin d'y être.

Je suggère que nous fassions tout le travail qu'il nous est possible de faire jusqu'à ce qu'il n'y ait plus de questions. S'il n'y a pas de vote à la Chambre, nous pourrions recevoir le représentant de PayPal pendant une période de 45 à 60 minutes, en fonction du nombre de questions, puis nous donnerions le temps à M. Amos de faire sa présentation à la fin.

Le vice-président (M. Matthew Dubé):

C'est une possibilité, mais le problème — et c'est ce qui me préoccupe —, c'est que M. Amos est le parrain de la motion. Il est possible que nous n'ayons aucune occasion de l'interroger s'il est près de 17 h 30 ou si les cloches sonnent pour nous appeler à aller voter.

Le greffier m'informe que cela aurait peu de conséquences sur notre horaire au cours des prochaines semaines jusqu'à la fin de la session.

Très sincèrement, c'est mon opinion personnelle. Je remplace M. McKay, mais je ne veux pas imposer mon point de vue. N'empêche que nous risquons de ne pas pouvoir faire avancer de façon substantielle l'étude demandée dans la motion de M. Amos, en raison du nombre de jours qui nous restent.

Je suis tout de même ouvert à votre suggestion, monsieur Graham.

Monsieur Paul-Hus, qu'en pensez-vous?

M. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, PCC):

Je suis d'accord avec vous, monsieur le président.

Écoutons la présentation de M. Johnson, de PayPal, qui attend depuis une heure. Donnons-nous du temps pour poser correctement nos questions et mettons fin ensuite à la séance.

Nous pourrons accueillir M. Amos une autre fois.

Le vice-président (M. Matthew Dubé):

Avez-vous des objections importantes à ce que nous procédions de cette façon?

Je ne crois pas qu'il soit nécessaire de faire autrement.

M. David de Burgh Graham:

Cela dépend du moment où nous serons en mesure d'y revenir.

Une motion a été adoptée à l'unanimité à la Chambre nous recommandant de faire cette étude. Je veux m'assurer que nous allons nous pencher là-dessus le plus vite possible. Il ne faudrait pas que cela traîne pendant un autre mois. Nous avons déjà a perdu la journée d'aujourd'hui.

C'est pourquoi je suggère que M. Amos fasse la présentation de sa motion. Comme cela, nous nous engagerions dans l'étude.

Le vice-président (M. Matthew Dubé):

Encore une fois, le greffier m'a informé du fait qu'il n'y avait aucun problème en ce qui a trait à l'horaire. J'ai validé l'information. Cela peut suffire à vous rassurer, monsieur Graham, en ce qui concerne notre capacité d'accueillir M. Amos à un autre moment. Comme l'a dit M. Paul-Hus, nous avons déjà fait attendre le témoin.

Nous disposons d'une heure et quart, mais, même si le témoignage de ce témoin ne prend que 45 minutes et que M. Amos comparaît par la suite, il est possible que nous manquions de temps ou que nous soyons appelés à aller voter. Je préfère donc ne pas vivre avec cette incertitude, surtout considérant la facilité avec laquelle nous pouvons inviter un député à une autre séance. Cela est rarement possible dans le cas d'autres témoins.

Nous allons donc poursuivre la séance.

(1620)

M. David de Burgh Graham:

D'accord.

Commençons, ne perdons pas plus de temps. [Traduction]

Le vice-président (M. Matthew Dubé):

Merci, chers collègues.

Je cède maintenant la parole à notre témoin. Je tiens à remercier M. Johnson de sa patience. Les querelles de procédures qui ont lieu à la Chambre ont parfois cet effet. Nous accueillons par vidéoconférence M. Brian Johnson, directeur principal de la sécurité de l'information à PayPal.

Monsieur Johnson, vous avez 10 minutes pour votre déclaration liminaire. Nous passerons ensuite aux questions des députés. Nous vous remercions d'avoir pris le temps d'être avec nous cet après-midi.

M. Brian Johnson (directeur principal, Sécurité de l'information, PayPal, Inc.):

Merci beaucoup. Bonjour, monsieur le président, et mesdames et messieurs les membres du Comité.

Encore une fois, je m'appelle Brian Johnson et je suis directeur principal de la sécurité de l'information à PayPal. Je vous suis reconnaissant de nous donner l'occasion de vous parler aujourd'hui et de prendre le temps malgré votre horaire chargé.

Je soupçonne que vous connaissez tous un peu PayPal en général, mais permettez-moi d'ajouter quelques détails.

Fondée en 1998, PayPal est une société de premier plan dans le domaine des plateformes technologiques qui facilitent les paiements numériques et mobiles pour le compte de plus de 277 millions de consommateurs et de commerçants dans plus de 200 marchés dans le monde. Nous offrons des services d'acquisition et de transfert d'argent en ligne et mobile pour les commerçants. PayPal est le portefeuille numérique le plus populaire au Canada.

Nous sommes basés à San Jose, en Californie, et notre siège social canadien est à Toronto, avec des bureaux à Vancouver. PayPal Canada a été incorporée en 2006. Nous comptons plus de 7,1 millions de clients, dont plus de 250 000 petites entreprises au Canada.

Animée par la conviction fondamentale que l'accès aux services financiers crée des possibilités, PayPal s'engage à démocratiser les services financiers et à donner aux personnes et aux entreprises les moyens de s'intégrer et de prospérer dans l'économie mondiale. Notre plateforme ouverte de paiements numériques donne aux 277 millions de titulaires de comptes actifs de PayPal la confiance nécessaire pour se connecter et effectuer des transactions d'une manière nouvelle et puissante, qu'ils soient en ligne ou sur un appareil mobile. Grâce à une combinaison d'innovations technologiques et de partenariats stratégiques, PayPal crée de meilleures façons de gérer et de transférer de l'argent et offre choix et flexibilité lors de l'envoi de paiements, de paiement ou d'encaissement.

Nous croyons que le moment est venu de réimaginer l'argent et de démocratiser les services financiers afin que la gestion et le transfert d'argent soient un droit pour tous les citoyens, pas seulement pour les riches. Nous croyons que chaque personne a le droit de participer pleinement à l'économie mondiale. Nous avons l'obligation de donner aux gens les moyens d'exercer ce droit et d'améliorer leur santé financière. En tant que pionnier de la technologie financière et chef de file établi, nous croyons en la fourniture de services financiers et de paiements numériques simples, abordables, sûrs et fiables qui permettent à des millions de personnes dans le monde de réaliser leurs espoirs, leurs rêves et leurs ambitions. Nous avons l'engagement fondamental de placer nos clients au centre de tout ce que nous faisons.

Sécuriser nos clients et leurs données sont au cœur de notre mission. Pour les sociétés financières, la sécurité des données est le pilier principal. Grâce à des partenariats solides, des investissements stratégiques et un engagement inlassable à protéger les consommateurs, PayPal s'est promis d'être un chef de file de l'industrie en matière de cybersécurité et de contribuer à rendre Internet plus sûr.

Nous avons en notre faveur plus de 20 ans d'expérience dans le traitement sécurisé des transactions électroniques. PayPal possède l'un des moteurs de prévention de la fraude les plus sophistiqués au monde, qui devient plus intelligent à chaque transaction qui passe par notre système. Grâce à notre technologie avancée de surveillance de la fraude, nous détectons et prévenons les attaques avant qu'elles ne se produisent.

La sécurité est dans notre ADN, et c'est l'épicentre de tout ce que nous faisons à PayPal. Nous sommes la première marque de confiance en matière de commerce électronique et de commerce mobile dans le monde. Les gens font confiance à PayPal parce qu'ils savent que nous ne communiquons pas les informations financières des clients aux commerçants, aux détaillants ou aux vendeurs en ligne. Nos normes de sécurité rigoureuses garantissent que chaque partie d'une transaction est sûre et sécurisée.

À PayPal, nous croyons que nous avons la responsabilité d'aider à protéger nos utilisateurs contre les méfaits. La protection de la vie privée a toujours été l'une de nos principales préoccupations. Nos clients nous confient leurs données. Nous prenons cette confiance très au sérieux. Nous ne recueillons que les données nécessaires à l'exécution des services demandés par un client, à l'amélioration de l'expérience des produits et à la diffusion de publicité PayPal pertinente et à la prévention de la fraude. Nous ne vendons ni ne louons jamais d'information sur nos clients.

Il est communément admis par les organismes mondiaux d'application de la loi que la cybercriminalité et les méthodes de fraude en ligne sont maintenant plus courantes que les crimes commis dans le monde physique et hors ligne. Comme le Comité le sait certainement, au cours des cinq dernières années, la GRC à elle seule a observé une augmentation de près de 50 % des signalements de cybercriminalité par les Canadiens. Je félicite le Comité d'avoir pris des mesures énergiques et d'avoir appuyé la stratégie de sécurité nationale du Canada, en prévoyant des fonds importants pour investir dans la cybersécurité dans le cadre de votre engagement à l'égard de la sûreté et la sécurité. La création d'un cyberécosystème novateur et adaptatif est une étape cruciale pour être en mesure d'évaluer et de combattre rapidement les nouvelles menaces qui pèsent sur les infrastructures essentielles, le gouvernement, les entreprises et l'information numérique des particuliers.

En conclusion, j'aimerais souligner l'engagement de PayPal à l'égard de la cybersécurité et notre volonté de collaborer avec le gouvernement et l'industrie canadienne.

Merci encore de m'avoir invité à discuter de ces sujets très pertinents et de présenter la position ferme de PayPal en faveur de la protection des données et de la vie privée des consommateurs.

(1625)



Je serai heureux de répondre à vos questions.

Le vice-président (M. Matthew Dubé):

Super. Merci beaucoup, monsieur Johnson.

Nous allons passer aux questions. Nous allons commencer par Mme Sahota. Vous avez sept minutes.

Mme Ruby Sahota (Brampton-Nord, Lib.):

Merci, monsieur Johnson, d'être parmi nous aujourd'hui.

Y a-t-il des différences dans votre façon de fonctionner au Canada par rapport aux États-Unis, ou êtes-vous principalement basé aux États-Unis et c'est là que toute l'information se retrouve lorsque les Canadiens utilisent votre service?

M. Brian Johnson:

[Inaudible] les clients de PayPal sont stockés dans des centres de données américains et dans des centres d'hébergement de données localisés, de sorte que les données des clients canadiens sont également localisées dans les installations hébergées aux États-Unis.

Mme Ruby Sahota:

Pour plus de précision, il n'y a pas de différence dans la façon dont vous fonctionnez quand il s'agit de clients canadiens par rapport aux clients américains, n'est-ce pas?

M. Brian Johnson:

Outre la localisation pour la devise ou d'autres préférences localisées, les données et les informations sont stockées de la même manière que celles des clients basés aux États-Unis.

Mme Ruby Sahota:

Je suis très heureuse d'entendre cela, parce que je me disais qu'après deux décennies d'exploitation — plus longtemps que d'autres concurrents dans ce domaine — vous devez avoir beaucoup de données en mémoire. Il est bon d'entendre que vous ne vendez pas les données que vous avez reçues. Merci de nous avoir fourni cette information.

Toutefois, j'ai vu qu'il y a eu plusieurs articles sur PayPal au cours des derniers mois. L'un portait sur les pirates informatiques — je suppose qu'il s'agit de pirates éthiques — payés pour essayer de protéger la sécurité de votre système. Pourrais-je en savoir un peu plus à ce sujet, et comment cela fonctionne-t-il? Faites-vous cela depuis longtemps? Le paiement de pirates pour pirater votre système est-il une tendance récente? Quels avantages en tirez-vous?

M. Brian Johnson:

C'est une excellente question, madame Sahota.

Notre programme s'appelle Bug Bounty, et c'est une méthode acceptée à l'échelle de l'industrie qui consiste à utiliser des contractuels, essentiellement des chapeaux blancs dans le cadre d'un programme géré. Les chapeaux blancs sont contrôlés pour éviter qu'ils agissent de façon indésirable ou qu'ils attaquent des systèmes sans que la demande n'ait été faite et sans que les responsables ne soient mis au courant. Ces personnes sont considérées comme des chercheurs professionnels en sécurité dans toute l'industrie, et bon nombre d'entre eux sont spécialisés dans d'autres domaines et utilisent leur temps libre pour travailler à la pige ou à des emplois secondaires pour fournir ce qu'on appelle le piratage éthique de la chasse aux bogues. Cela nous aide à exposer des problèmes ou des vulnérabilités dans les systèmes qui ne sont pas détectés par des outils internes mais qui sont recensés grâce aux programmes de chasse aux bogues, qui, encore une fois, sont couramment utilisés par de nombreuses entreprises pour que la communauté des chercheurs en sécurité puisse collaborer avec nous sur ces vulnérabilités.

Mme Ruby Sahota:

Avez-vous des contrats avec ces pirates?

M. Brian Johnson:

Nous établissons des contrats avec un groupe qui s'appelle Hackerone, lequel offre un service de filtrage et, grâce à la divulgation responsable, les vulnérabilités nous sont signalées afin que nous puissions y remédier avant qu'elles ne soient rendues publiques, ainsi nous réglons les vulnérabilités qu'ils nous présentent.

Mme Ruby Sahota:

Advenant que quelqu'un viole le système ou la vie privée de quelqu'un, qui serait responsable? Est-ce que PayPal en assumerait la responsabilité?

M. Brian Johnson:

S'il y avait une brèche dans le système, cela dénoterait une activité non autorisée et serait traitée comme un accès malveillant et illégitime comme pour tout autre cas de piratage mal intentionné. Nous ne demandons pas aux chapeaux blancs qui font la chasse aux bogues de mener des attaques ou des violations de système, et dans le cadre de notre politique, ils n'ont pas le droit d'accéder aux données des clients ni de faire des manipulations ou d'apporter des changements à l'information. Ces chercheurs peuvent divulguer les vulnérabilités qu'ils détectent dans le système et nous en faire rapport grâce au programme de divulgation responsable.

Mme Ruby Sahota:

PayPal utilise également une application pour faciliter la tâche des clients, est-ce exact?

(1630)

M. Brian Johnson:

Une application pour des raisons de commodité? Nous avons en fait une application mobile.

Mme Ruby Sahota:

Une application mobile, oui c'est exact.

M. Brian Johnson:

Effectivement, nous offrons des applications mobiles.

Mme Ruby Sahota:

J'ai également vu des articles tout récemment, ce mois-ci, à propos de gens dont les comptes en banque avaient fait l'objet de fraudes allant jusqu'à 9 000 $, et cela s'est produit parce que les applications peuvent être piratées. Par conséquent, la vulnérabilité de l'application permet aux pirates d'accéder directement aux comptes de banque des clients.

Des compagnies de cartes de crédit nous ont dit que cette information n'est jamais divulguée directement. Les renseignements bancaires ne sont jamais directement divulgués aux compagnies de cartes de crédit, mais il semblerait que, dans ce cas-ci, l'information bancaire est communiquée directement à PayPal, de sorte que s'il y a une vulnérabilité dans le système, les pirates peuvent accéder à toute l'information.

Que faites-vous pour vous protéger contre ces violations?

M. Brian Johnson:

Les articles médiatiques ne sont pas toujours exacts. Pour être techniquement exact, l'accès à l'information des comptes PayPal ne peut se faire que par l'entremise d'un détenteur de compte autorisé ou lorsque les gens perdent leurs pièces d'identité ou leur appareil. Si un client perd ses pièces d'identité — disons qu'un maliciel se trouve sur leur ordinateur et que leurs identifiants de connexion sont volés ou perdus — l'accès à leur compte lors d'une tentative de piratage serait intercepté par notre plateforme antifraude ou notre système de détection des risques. Si une vulnérabilité quelconque ne permet pas de déceler la fraude, le seul accès dans le compte PayPal pourrait se faire par le solde PayPal, mais le pirate n'aurait pas directement accès à l'information bancaire du client. L'information bancaire est stockée dans nos systèmes et n'est pas rendue visible, même après avoir été entrée dans le système par le client.

Tout ce que le pirate pourrait faire, c'est d'essayer d'extraire des données en utilisant le système PayPal pour procéder à des transactions. Le pirate pourrait essayer de commettre des fraudes, mais il ne serait pas en mesure d'obtenir de l'information sur un compte de banque par l'entremise de cette plateforme.

Mme Ruby Sahota:

C'est intéressant. L'article conseille aux gens de vérifier régulièrement leurs comptes bancaires et d'examiner les transactions PayPal pour déceler celles qui n'auraient pas été autorisées.

Lorsque cela se produit, vers qui peut se tourner le client? Doit-il demander d'être remboursé auprès de sa banque? Ou bien est-il remboursé par PayPal?

M. Brian Johnson:

Nous offrons de la protection aux acheteurs de sorte que s'il y a des transactions malveillantes ou non voulues à partir du compte d'un consommateur, nous offrons une protection à l'acheteur en matière de responsabilité pour les transactions frauduleuses de manière à protéger le consommateur.

J'aimerais toutefois rappeler qu'un accès malveillant à un compte PayPal est tout à fait différent d'un accès malveillant dans un autre compte. Si une fraude en ligne a lieu, nous assumons la responsabilité pour l'acheteur, pour le consommateur, dans ce cas. La protection que nous offrons au vendeur comprend d'autres types de couvertures pour les marchands qui vendent en passant par nous. Le fait d'avoir accès au compte PayPal ne signifie pas que le pirate aura nécessairement accès directement au compte de banque. Les pirates n'ont pas accès aux identifiants ni à l'information du compte bancaire, ils ont uniquement accès aux liens que nous fournissons pour le compte de banque à titre d'instrument de financement pour le compte PayPal.

Mme Ruby Sahota:

Très bien.

Je me suis servie de PayPal il y a de nombreuses années, mais j'ai arrêté de m'en servir après un moment, car je recevais continuellement des courriels frauduleux m'avisant de certaines transactions qui auraient été faites. J'ai une dernière observation; ces courriels peuvent prêter à confusion pour l'utilisateur. C'est pour cette raison que j'ai cessé d'utiliser le service, parce que je trouvais que je recevais trop de courriels frauduleux soi-disant en provenance de PayPayl.

Le vice-président (M. Matthew Dubé):

Malheureusement, nous allons devoir nous arrêter là.[Français]

Nous cédons la parole à M. Paul-Hus pour sept minutes.

M. Pierre Paul-Hus:

Merci, monsieur le président.

Voici ma première question.

Monsieur Johnson, vous avez mentionné que PayPal était une organisation qui existait depuis 1998. Vous êtes donc présents depuis les débuts d'Internet.

On sait que les problèmes de cybersécurité sont venus avec l'évolution d'Internet. L'entreprise PayPal est-elle en mesure de suivre cette évolution et de s'ajuster afin de contrer les menaces? [Traduction]

M. Brian Johnson:

Un grand nombre de nos employés qui s'occupent de la sécurité de l'information sont membres d'alliances sectorielles qui travaillent sur le renforcement de la sécurité Internet. Nous procédons à de nombreux investissements et nous en sommes à l'étape de la recherche et du développement. Le hameçonnage et l'anti-hameçonnage sont d'autres domaines de travail également, comme l'a dit Mme Sahota. Certains de nos plus importants investissements se font dans le domaine de la sécurité des courriels, la sécurité d'Internet et la sécurité des fureteurs.

(1635)

[Français]

M. Pierre Paul-Hus:

Vous avez également mentionné que les gens faisaient confiance à PayPal.

Quels moyens prenez-vous pour faire en sorte que les gens qui font affaire avec PayPal lui fassent pleinement confiance? [Traduction]

M. Brian Johnson:

Comme je l'ai dit, nos programmes de protection du consommateur incluent une protection contre toute fraude impliquant un compte client. Nous investissons aussi énormément dans des initiatives de cybersécurité et nos plateformes antifraude et de détection des risques. Nous avons des indicateurs de premier plan dans l'industrie qui montrent que notre taux de fraude est très faible, c'est-à-dire que nous offrons une bonne protection et évitons un grand nombre de fraudes, et notre indice de protection des marchands et des consommateurs utilisant notre plateforme est très élevé, ce dont nous sommes très fiers. [Français]

M. Pierre Paul-Hus:

Excellent.

Parmi les témoins que nous avons rencontrés lors de notre étude, il y a eu les représentants de différentes banques, dont la Banque Toronto-Dominion. L'un de ses représentants nous a dit que la banque subissait des cyberattaques provenant de différents pays.

Êtes-vous en mesure de nommer les pays qui attaquent le système de PayPal? [Traduction]

M. Brian Johnson:

Je ne suis pas en mesure de divulguer d'information sur les pays étrangers — vous avez parlé de nations-États —, mais les attaques par des particuliers en ligne contre des sites Web sont très fréquentes. Ces fraudeurs ne sont pas concentrés dans une région géographique particulière. Bien entendu, une forte proportion des cyberattaques sont difficiles à attribuer à un pays en particulier, puisque l'origine de ces cyberattaques est difficile à retracer. En effet, un grand nombre de pays participant à l'infrastructure permettent qu'elle soit piratée. Par exemple, le pirate peut se trouver dans un pays, mais utiliser les services Internet d'un autre pays pour mener son attaque. Les criminels exploitent une économie à multiples niveaux, et diverses parties y sont impliquées dans diverses régions. [Français]

M. Pierre Paul-Hus:

Je comprends la nuance entre le pays d'origine d'un individu et le pays à partir duquel provient une attaque, mais ma question visait plus l'État que l'individu. Est-ce que PayPal subit des attaques provenant d'États? [Traduction]

M. Brian Johnson:

Pas particulièrement. Nous ne connaissons pas de concentration de pays qui nous attaquent comme entreprise uniquement. [Français]

M. Pierre Paul-Hus:

D'accord, c'est parfait.

Votre entreprise se trouve aux États-Unis et elle fait affaire dans plusieurs pays qui ont chacun une réglementation différente. Puisque nous étudions la perspective canadienne, est-ce que la réglementation ou les lois canadiennes ont une incidence sur les activités de PayPal? Est-ce que nos lois sont trop ou pas assez restrictives en matière de protection de la vie privée, par exemple? [Traduction]

M. Brian Johnson:

C'est une excellente question. Les effets sur la protection des données et la protection des renseignements personnels de ce que le Canada propose et qu'il a défini comme cadre constituent un excellent soutien pour l'industrie et les entreprises du monde entier.

Pour répondre à la première partie de votre question au sujet de nos activités à l'échelle mondiale, nous avons du personnel dans bon nombre de régions qui ont resserré la réglementation. Nous sommes présents dans de nombreux pays, y compris en Europe, où nous avons du personnel de soutien pour le Règlement général sur la protection des données, et dans la région de Singapour, où nous avons du personnel de soutien pour nos activités dans la région Asie-Pacifique. Nous disposons de personnel et d'un soutien local pour chacune de ces régions, ainsi que dans d'autres régions du monde pour ce qui concerne la réglementation locale. Nous avons une main-d'œuvre mondiale, nous avons des effectifs partout dans le monde qui encouragent la participation avec les législateurs et les organismes de réglementation locaux. Nous travaillons en étroite collaboration avec les examinateurs et les organismes de réglementation lorsqu'il existe des lois sur la protection des données et la protection des renseignements personnels, afin de nous assurer non seulement de les appliquer et de nous y adapter, mais aussi de bien nous conformer aux règlements qui évoluent et de guider leurs applications pratiques dans un contexte qui convient à une économie mondiale. [Français]

M. Pierre Paul-Hus:

Selon vous, est-ce qu'il y a des éléments que le Canada devrait améliorer? Vous avez dit que notre pays avait des lois fortes, mais avez-vous quand même des recommandations à nous faire sur le plan législatif?

(1640)

[Traduction]

M. Brian Johnson:

Soit dit en passant, à propos de l'annonce de la nouvelle charte numérique, PayPal tient à féliciter le ministre Bains et le gouvernement du Canada d'avoir pris les devants dans ce dossier important qu'est la protection des données. Nous croyons que cette responsabilité nous aide à protéger les utilisateurs contre les menaces ou préjudices et à soutenir les lois sur la protection de la vie privée. C'est un bon premier pas. Cela repose sur certains principes. Je crois que le 10e principe, ou tout du moins le dernier, était celui de la reddition de comptes et de l'application de la loi. Il serait utile d'avoir plus de détails à ce sujet.

Le Canada a bénéficié du fait de ne pas avoir été le premier pays à adopter une loi sur la protection des renseignements personnels et il a pu ainsi apprendre des autres régions et organismes de réglementation et voir qu'il existe un juste équilibre en matière de protection des renseignements personnels. Mais en ce qui concerne précisément la protection des renseignements numériques et les règlements que vous encouragez les entreprises à adopter, il faudra établir un équilibre délicat entre le cadre que vous avez élaboré et les principes directeurs qui aideront à orienter la bonne conduite et un bon régime de reddition de comptes. De plus, il faut travailler avec l'industrie et des partenaires privés pour pouvoir élaborer des lois solides que vous pourrez appuyer dans les années à venir. [Français]

Le vice-président (M. Matthew Dubé):

Merci beaucoup.

Nous passons maintenant la parole à M. Picard pour sept minutes.

M. Michel Picard (Montarville, Lib.):

Monsieur le président, normalement, vous auriez vous aussi droit à un temps de parole de sept minutes.

Dans les circonstances, je propose d'allouer sept minutes au président pour qu'il puisse poser ses questions au nom de son parti.

Le vice-président (M. Matthew Dubé):

Vous êtes très généreux, merci. [Traduction]

M. Michel Picard:

Je ne le ferai plus.

Monsieur, j'aimerais examiner vos activités du point de vue du blanchiment d'argent. Lorsque j'achète des crédits ou que je mets de l'argent dans mon compte, ma première question naïve est: où va mon argent?

M. Brian Johnson:

Où va votre argent dans le système de soldes PayPal?

M. Michel Picard:

Oui.

M. Brian Johnson:

Les soldes PayPal sont garantis par un certain nombre de banques américaines, de sorte que nous permettons le dépôt et le placement en toute sécurité, ainsi que le dépôt de l'argent dans le compte. Le premier élément concernait l'utilisation des crédits. Est-ce que c'était un commentaire d'appui, ou quelle était votre idée avant que je vous réponde?

M. Michel Picard:

Lorsque j'achète un certain nombre de crédits... et que je mets de l'argent dans mon compte pour d'autres achats, mon argent se retrouve dans une banque qui garantit votre transaction. Admettons que j'ai 100 $ dans n'importe quelle devise, ou cela pourrait être simplement des dollars, et que je veuille acheter quelque chose. Retracez-vous l'origine de la transaction pour voir d'où elle vient, s'il s'agit d'une carte de crédit, d'un compte bancaire ou d'une autre chose de ce genre?

M. Brian Johnson:

Oui, je suis désolé. Je comprends maintenant votre question, monsieur Picard.

Oui. L'origine de l'argent... Du point de vue de la lutte contre le blanchiment d'argent, nous avons un service de lutte contre le blanchiment d'argent et nous avons beaucoup investi dans la détection de ce genre d'activité. Nous prenons cela très au sérieux et retraçons tout le circuit que suit l'argent, depuis son origine, sa source de financement ainsi que la méthode de dépôt originale, et nous appuyons les efforts des forces de l'ordre dans la lutte contre toute opération de blanchiment d'argent ou de fraude qui serait détectée ou déclarée sur la plateforme.

M. Michel Picard:

Vous appuyez les efforts déployés pendant l'enquête, mais lorsque vous obtenez l'argent de quelque carte de crédit que ce soit, à votre niveau, je suppose que vous acceptez la transaction tant qu'il y a suffisamment d'argent à la source. Cela signifie que si j'ai, par exemple, une carte de crédit prépayée, et que je veux mettre de l'argent dans mon solde, j'utilise ma carte de crédit, vous vérifiez le solde, l'argent est là, vous le prenez, et il n'y a plus d'enquête, peu importe son origine. Que cette origine soit criminelle ou non, vous ne pouvez pas le vérifier.

M. Brian Johnson:

Nous validons effectivement la source de données ou la source de l'argent à son origine, et dans certaines circonstances, les cartes prépayées ont des limites quant au montant d'argent que nous autorisons à déposer, au montant d'argent qui peut être retiré dans une période de temps donné ou encore au montant qui peut être dépensé sur certains sites Web. Les plateformes antifraude et de détection des risques sont assorties de règles très granulaires qui détectent certains instruments financiers utilisés en fonction du niveau de risque. S'il existe une méthode de lutte contre le blanchiment d'argent ou une méthode de blanchiment d'argent que nous avons inscrite dans nos modèles de fraude pour ce cas d'utilisation, comme le prépayé, par exemple, nous imposons des limites et certains critères pour limiter les pertes et minimiser les risques dans ce cas-là.

(1645)

M. Michel Picard:

Avez-vous une analyse de modèles pour les types de transactions?

M. Brian Johnson:

Oui. Nous effectuons des analyses comportementales et nous disposons de certaines méthodes d'intelligence artificielle qui sont intégrées à nos plateformes de détection des risques. Il s'agit d'un modèle d'apprentissage et de comparaison de comportement et des habitudes de paiement à l'échelle de la plateforme.

M. Michel Picard:

Habituellement, lorsque j'ai de l'argent dans mon compte, je ne peux pas retirer de l'argent tel quel. Je dois acheter quelque chose. Est-ce le cas, ou y a-t-il des exceptions qui me permettent de retirer de l'argent de mon solde?

M. Brian Johnson:

Nous offrons des méthodes de retrait d'argent dans certaines régions du monde, selon l'endroit d'où vient l'argent, bien entendu. Il peut être retiré de différentes façons. Nous avons un partenariat, par exemple, avec Walmart qui permet le retrait d'argent comptant. Avec Walgreens et les détaillants locaux, nous avons établi des partenariats qui permettent le dépôt et le retrait d'espèces en monnaie locale. Grâce à notre intégration à la plateforme Zoom, nous permettons également le transfert international de fonds ou le transfert transfrontalier de différentes transactions et le retrait d'argent chez les détaillants, et ce, de différentes façons. L'argent peut également être déposé ou retiré en espèces au moyen de certaines méthodes.

M. Michel Picard:

Quel est le montant maximal d'argent qui peut être déposé dans mon solde en une seule transaction?

M. Brian Johnson:

Je crois que cela dépend des règles de risque. Ce n'est pas mon domaine d'expertise, donc je ne connais pas tous les détails, mais il y a des limites selon l'ancienneté du compte, et d'autres limites, à savoir si votre compte a été vérifié avec identification et si nous avons vérifié l'historique du titulaire du compte. Il existe d'autres méthodes qui nous permettent d'augmenter cette limite. Nous nous fondons sur les indicateurs de savoir et de connaissance du client qui nous permettent d'établir un lien de confiance avec le titulaire de compte.

M. Michel Picard:

Avez-vous l'obligation de déclarer au CANAFE au Canada s'il y a des transactions ou des dépôts de plus de 10 000 $?

M. Brian Johnson:

Je n'en suis pas certain. Je ne travaille pas dans le domaine de la fraude ou de la lutte contre le blanchiment d'argent, mais je sais que nous faisons rapport concernant certains critères par l'intermédiaire du FinCEN et d'autres réseaux aux États-Unis, des réseaux que je connais. Toutefois, je ne connais pas notre façon de signaler les fraudes au Canada. Je peux certainement me renseigner à ce sujet.

M. Michel Picard:

Si je mets de l'argent dans mon propre compte pour que je puisse moi-même retirer mon argent, vous ne pouvez pas savoir si je suis la même personne qui effectue les deux transactions... Si, par exemple, je prends une carte prépayée, ou que mon argent est dans un compte de banque, toujours à la même banque, et que cette banque est soupçonnée, puisque c'est le cas pour certaines banques.

M. Brian Johnson:

D'accord.

M. Michel Picard:

Je mets de l'argent sur mon compte PayPal. Deux ou trois jours plus tard, je retire mon argent. La seule chose que vous devez savoir pour effectuer cette transaction est si le compte a été ouvert avec le bon nom d'utilisateur et le bon mot de passe, idem pour le retrait d'argent. Il n'y a donc rien qui vous permette de vérifier si c'est la même personne qui effectue les deux transactions. Mon collègue et moi pourrions utiliser le même compte.

M. Brian Johnson:

Nous vérifions la télémétrie de l'appareil. Nous recueillons des renseignements sur l'appareil, l'ordinateur que vous utilisez. Nous appuyons sur la géolocalisation et sur d'autres modèles de détection des fraudes pour tenter de vérifier l'authenticité de l'utilisation du compte. Le titulaire du compte, bien sûr, doit avoir le justificatif d'identité nécessaire pour effectuer ce paiement ou cette transaction.

M. Michel Picard:

Il ne me reste pas beaucoup de temps de parole. J'ai une question portant sur la nature des attaques que vous ciblez.

Quel progrès avez-vous remarqué au fil du temps quant à la complexité de ces attaques? Pouvez-vous nous en parler?

M. Brian Johnson:

De manière générale, l'empreinte des cyberattaques est devenue beaucoup plus complexe et à la fine pointe de la technologie. Les cybercriminels représentent une économie à part entière et ont superposé leurs outils, leurs données et leurs méthodes d'attaque de façon très sophistiquée, et dans bien des cas, très coordonnée.

Les criminels créent des outils, puis ils les utilisent ou en louent l'accès. Les attaques par déni de services distribués, ou attaques DDOS, sont devenues plus importantes et avancées au fil du temps. Le paysage cybernétique des menaces et les tendances émergentes dans ce domaine sont certainement devenus plus complexes et se sont considérablement élargis au cours des dernières années.

M. Michel Picard:

Merci.

Le vice-président (M. Matthew Dubé):

Chers collègues, comme vous pouvez le constater, les cloches sonnent. Nous avons besoin du consentement unanime du Comité pour poursuivre la séance. Le cas échéant, nous devons également nous entendre sur la durée du reste de la séance. Nous pourrons prendre cette décision à la lumière du nombre de questions qu'il vous reste à poser à notre témoin.

Monsieur Graham.

M. David de Burgh Graham:

Je propose de rester jusqu'à ce que les cloches sonnent trois fois d'affilée. On aurait alors cinq minutes pour monter à l'étage.

Le vice-président (M. Matthew Dubé):

Vous proposez donc de prolonger la séance encore 20 minutes?

M. David de Burgh Graham:

Oui, encore 22 minutes.

Un député: Cela nous donnera suffisamment de temps?

M. David de Burgh Graham: Cela nous donnera cinq minutes pour monter deux étages dans le même édifice.

Le vice-président (M. Matthew Dubé):

Tout le monde est d'accord pour deux tours de questions de cinq minutes pour chacun des partis présents? Cela vous convient?

Des députés: Oui.

Un député: Voulez-vous [Inaudible], monsieur le président?

Le président: Cela me convient, merci de votre générosité.

Monsieur Eglinski, vous disposez de cinq minutes.

(1650)

M. Jim Eglinski (Yellowhead, PCC):

J'aimerais d'abord remercier le témoin de sa présence.

Monsieur Johnson, j'aimerais poursuivre dans la même veine d'idée que M. Picard.

Vous nous disiez plus tôt dans votre témoignage que l'argent déposé dans le compte PayPal va aux États-Unis. Est-ce vrai pour tous les pays où vous effectuez des transactions?

M. Brian Johnson:

Je n'en suis pas certain, monsieur Eglinski.

Je vais devoir vérifier auprès de notre équipe de production où l'argent est déposé dans des sources finales selon l'endroit.

M. Jim Eglinski:

Concentrons-nous sur les clients canadiens.

Est-ce que tous les fonds à partir desquels nous faisons des transactions avec vous vont aux États-Unis, ou est-ce qu'une partie de ces fonds se trouve ici, au Canada?

M. Brian Johnson:

Désolé. Je ne suis pas certain des produits qui permettent de stocker des données et renferment des soldes de comptes, ce qui m'empêche de répondre clairement à cette question.

M. Jim Eglinski:

D'accord.

Existe-t-il un organisme de réglementation aux États-Unis qui exige que vous signaliez les intrusions dans votre programme? Comme vous l'avez indiqué tout à l'heure à M. Picard, vous avez un programme qui se déclenchera si une transaction est effectuée et qu'une deuxième transaction donne lieu à un retrait d'un emplacement différent.

S'agit-il d'une exigence pour vous? Signalez-vous ces situations à certaines agences de sécurité aux États-Unis ou au Canada?

M. Brian Johnson:

Nous avons un certain nombre d'obligations de notification imposées par des organismes de réglementation dans le monde. Encore une fois, ils sont gérés à l'échelon régional au niveau des États, aux États-Unis, et au niveau régional par chacun des organismes de réglementation.

Nous sommes régis par la Commission de surveillance du secteur financier en Europe, qui administre notre permis bancaire européen, et la MAS, ou administration monétaire de Singapour. Nous sommes aussi régis dans un certain nombre d'autres pays où nous exploitons des permis pour des services de remise de fonds et de paiements que nous effectuons aux États-Unis et au Canada.

Les obligations de notification varient selon les situations, mais nous informons les organismes de réglementation des cas d'atteinte à la protection des données pour lesquels le seuil de notification a été franchi, ou de toute opération de blanchiment d'argent ou de fraude que nous pouvons détecter sur la plateforme. Ces cas sont signalés par l'entremise des organismes de réglementation comme on l'exige.

M. Jim Eglinski:

Êtes-vous membre de l'Échange canadien de menaces cybernétiques?

M. Brian Johnson:

Non, monsieur, ce n'est pas le cas. Nous avons discuté avec ce groupe et notre équipe du renseignement sur les menaces l'a déjà rencontré, mais nous n'en sommes pas membres pour le moment.

M. Jim Eglinski:

Y a-t-il une raison à cela?

M. Brian Johnson:

Je crois qu'il y avait d'autres canaux qui remplaçaient cela — des plateformes d'échanges de menaces qui ne sont pas expressément régionales. L'Échange canadien de menaces cybernétiques suit en fait certaines des sources d'information sur les menaces dont nous sommes déjà membres. Je crois qu'ils échangent déjà des données sur les menaces par l'entremise d'un certain nombre de plateformes. Nous ne nous y opposons pas, mais, comme nous en avons discuté avec eux, il n'était tout simplement pas nécessaire d'avoir une seule et unique plateforme d'échange de données.

M. Jim Eglinski:

D'accord, merci.

Je suis membre de PayPal depuis environ 2000, je crois, et je l'ai utilisé assez souvent au cours des dernières années.

M. Brian Johnson:

Merci de faire affaire avec nous.

M. Jim Eglinski:

Quelle quantité de mes renseignements personnels ou de ceux d'autres utilisateurs transite par votre service? Où ces renseignements sont-ils stockés? Sont-ils tous stockés aux États-Unis ou dans d'autres pays?

M. Brian Johnson:

Tout est stocké aux États-Unis. Les renseignements personnels sont tous chiffrés. Nous disposons de technologies de chiffrement de très haut niveau à tous les échelons de notre infrastructure technologique. Nous ne communiquons aucun renseignement personnel permettant d'identifier une personne. Encore une fois, nous ne vendons ni ne louons ces données à qui que ce soit à des fins de marketing ou à toute autre fin. Ils sont stockés et demeurent dans les systèmes de PayPal aux États-Unis, dans nos centres d'information.

M. Jim Eglinski:

Avez-vous été piratés?

M. Brian Johnson:

Avons-nous été piratés? Pour répondre directement, nous n'avons pas fait l'objet d'intrusion. Si vous faites référence à une intrusion relative à une situation de PayPal devant être signalée à un client, non. Comme vous le savez peut-être, d'autres sociétés que nous avons acquises au fil des ans ont signalé des incidents cybernétiques. Nous avons mis à jour certaines vulnérabilités, qui pourraient être considérées comme « piratage » dans certains produits servant d'interface, mais rien n'a entraîné d'atteinte massive ou de perte de données suffisamment grave pour qu'elle justifie d'être signalée.

M. Jim Eglinski:

Vous avez indiqué que toutes les données sont stockées aux États-Unis. Sont-elles stockées dans un seul centre ou avez-vous quelque chose comme un système de sauvegarde?

(1655)

M. Brian Johnson:

Nous effectuons plusieurs sauvegardes, en effet. Nous sommes géographiquement répartis sur des zones de centres de données à haute disponibilité, afin de maintenir notre résilience et nos capacités de reprise après sinistre sur l'ensemble de la plateforme.

M. Jim Eglinski:

D'accord. Merci. [Français]

Le vice-président (M. Matthew Dubé):

Merci, monsieur Eglinski.

Nous passons maintenant la parole à M. Graham pour les cinq dernières minutes. [Traduction]

M. David de Burgh Graham:

J'ai une question à vous poser sur une note un peu plus légère.

Savez-vous qu'au bas de l'écran, on peut lire l'inscription: « SCF Superman »?

M. Brian Johnson:

Oui, en effet. C'est le nom de ma salle de conférence.

Des voix: Oh, oh!

M. David de Burgh Graham:

D'accord. Je me posais la question parce qu'il s'agit d'une séance télévisée et que tout le monde peut le voir.

M. Brian Johnson:

Oui. C'est une blague, donc pas de problème.

M. David de Burgh Graham:

Vous avez indiqué que vous ne faisiez pas le commerce de données. N'y a-t-il donc aucune interaction de quelques données que ce soit, à part les données relatives aux transactions, entre PayPal et d'autres sociétés, pour quelques motifs que ce soit? Cela est-il correct?

M. Brian Johnson:

Nous ne vendons ni ne louons de données. Nous employons certaines méthodes de détection de la fraude et autres. Il y a certainement des intégrations avec les commerçants quand nous avons besoin de certains types de données. Nous ne vendons ni ne louons les données de nos clients. L'empreinte des données-clients n'est pas transmise à des tiers à des fins de marketing, sauf si nos clients l'ont acceptée sur la plateforme PayPal.

M. David de Burgh Graham:

Outre les données de l'historique de transactions, quelles données PayPal collecte-t-elle auprès de ses propres clients à des fins de marketing?

M. Brian Johnson:

Désolé, monsieur Graham, je ne suis pas dans le service marketing et ne suis donc pas certain des éléments de données qu'utilise ce service. Une fois encore, nous ne louons ni ne vendons ces données à l'extérieur de la plateforme. Je ne suis pas certain de ce que nous utilisons à l'intérieur de la plateforme d'un point de vue marketing. Voulez-vous savoir s'ils obtiennent d'autres données, en d'autres termes, ou si d'autres données sont collectées auprès des clients de PayPal?

M. David de Burgh Graham:

J'essaie juste d'aller au fond des choses. M. Picard et moi venons tout juste de terminer trois jours de travaux du grand comité sur la protection de la vie privée, et nous avons discuté des avatars créés par les entreprises et de ce genre de choses, alors c'est évidemment frais en mémoire et j'essaie de comprendre le niveau d'information que PayPal a sur ses utilisateurs. Est-ce exact de dire: cette personne a envoyé un certain montant d'argent, et c'est tout ce que nous savons à son sujet, ou y a-t-il beaucoup plus d'information conservée par PayPal sur ses utilisateurs?

M. Brian Johnson:

Certes, d'un point de vue financier, et en ce qui concerne certaines des questions précédentes relatives à la détection du blanchiment d'argent et à la prévention de la fraude, nous devons recueillir davantage de données sur les détails des transactions, l'utilisation de la plateforme et les informations relatives aux dispositifs électroniques, afin de nous conformer aux exigences des forces de l'ordre et des régulateurs locaux qui nous obligent à colliger certains renseignements au sujet des clients.

Du point de vue de la connaissance du client, l'historique des transactions et l'utilisation de certains ordinateurs et appareils des clients sont des éléments d'information que nous utilisons pour détecter la fraude. Encore une fois, ils ne sont pas utilisés à des fins de marketing. Nous ne vous commercialiserions pas parce que vous vous êtes connecté avec un certain type d'appareil, si, par exemple, nous utilisons ces renseignements pour prévenir la fraude. Encore une fois, à ma connaissance, l'équipe de marketing n'aurait pas accès à ce genre de renseignement, elle ne pourrait s'en servir en dehors de cette fonction.

M. David de Burgh Graham:

Il y a quelques années, beaucoup d'encre a coulé au sujet d'un recours collectif contre PayPal pour avoir accepté des dons à des organismes de bienfaisance qui n'étaient pas membres de PayPal, qui a finalement été soumis à un arbitrage exécutoire. Par hasard, connaissez-vous l'état d'avancement de cette poursuite?

M. Brian Johnson:

Non. Je me souviens d'avoir lu à ce sujet, mais je ne me souviens pas de l'état d'avancement de cette poursuite.

M. David de Burgh Graham:

Vous ne pouvez donc pas nous dire pourquoi PayPal accepte des dons de clients qui ne sont pas les siens.

M. Brian Johnson:

En effet, moi, mon domaine, c'est la cybersécurité.

Si j'ai bien compris, cependant, il s'agissait d'une situation comme celle d'un organisme de charité dont la légitimité est remise en question. Je ne me souviens pas si c'était bien là la question, parce que cela ne relève pas de moi.

M. David de Burgh Graham:

Dans le temps qu'il me reste, pouvez-vous nous donner un aperçu de l'évolution de la cybersécurité à PayPal?

Vous y êtes depuis 1998, et la situation a énormément changé depuis. Y a-t-il eu des moments clés que vous pouvez nous décrire?

M. Brian Johnson:

Certainement.

PayPal faisait partie d'eBay jusqu'à il y a cinq ans. Pendant cette période, il y avait eu des cyberincidents à eBay. Dans le cadre de notre programme, nous avons tiré des enseignements de ces expériences. Nous sommes devenus un chef de file mondial des plateformes de paiements numériques.

Nous avons beaucoup investi pour bien connaître nos partenaires du secteur, et pour collaborer avec les gouvernements, le public et les organismes d'application de la loi pour bien comprendre l'environnement de chacune des régions où nous sommes présents. Nous avons aussi investi dans nos plateformes antifraude pour mieux comprendre les criminels qui tentent de frauder nos clients. Et, bien sûr, nous continuons de protéger les données des consommateurs avec nos pratiques exemplaires et notre programme de protection des acheteurs qui protège les consommateurs dans toutes les situations.

M. David de Burgh Graham:

Merci beaucoup d'avoir témoigné. Bien d'autres entreprises de votre secteur ont refusé de le faire. Je vous sais gré d'avoir pris le temps de venir discuter de ces questions avec nous.

(1700)

M. Brian Johnson:

Merci de nous avoir invités.

Le vice-président (M. Matthew Dubé):

Merci, et je fais écho à cette observation.

Monsieur Johnson, merci beaucoup, non seulement de nous avoir accordé votre temps, mais d'avoir été patient puisque nous avons commencé en retard.[Français]

Chers collègues, merci beaucoup.

Étant donné l'heure et le fait que nous devons aller voter, il ne sert à rien de revenir plus tard. Je vais donc vous remercier de votre indulgence à mon égard pendant le remplacement temporaire de M. McKay et j'ajoute que notre réunion est ajournée.

La séance est levée.

Hansard Hansard

committee hansard secu 14640 words - whole entry and permanent link. Posted at 22:44 on May 29, 2019

2019-05-27 SECU 164

Standing Committee on Public Safety and National Security

(1530)

[English]

The Chair (Hon. John McKay (Scarborough—Guildwood, Lib.)):

Ladies and gentlemen, it's close enough to 3:30 to get started. I see quorum, so I will bring the meeting to order.

We are dealing with Bill C-93 clause by clause.

The first clause has no amendments.

(Clause 1 agreed to)

(On clause 2)

The Chair: On clause 2 we have amendment NDP-1, but I have received a note from the legislative clerk that we want to deal with NDP-1 and NDP-2 together. Consequential to NDP-2, the suggested ruling is that it is inadmissible, which would render NDP-1 null.

As this is, in effect, a discussion about the scope of the bill, I'm perfectly prepared to hear Mr. Dubé's arguments as to why both amendments are within the scope of the bill.

Mr. Matthew Dubé (Beloeil—Chambly, NDP):

Thank you, Chair.

NDP-1 and NDP-2 both seek to do something we heard from, dare I say, all witnesses—or nearly all, certainly if we exclude the minister—which is to make the process automatic. In other words, instead of putting the burden on individuals seeking to apply.... We did a lot of research on this, my office in particular, because there were a few back-and-forths about certain considerations.

For example, with regard to the Privacy Act, the exemption already exists with the Parole Board to be able to do the work, instead of asking marginalized Canadians who have been saddled with these records for something that is now legal to be doing the work.

Ultimately, I think it's within the scope of the bill, because we'd be putting the onus on the Parole Board as opposed to on Canadians. Especially if it's not an issue of royal recommendation. In other words, if we're not talking about an issue of money, I think the mechanism for the process that's been created by this bill, which seeks to remediate what the minister refuses to qualify as a historical injustice, is certainly well within our prerogative as a committee, if not something that unfortunately could have been done from the get-go in the drafting of the legislation.

As I said, there was enough back and forth with people who are much smarter than me on this to know that the amendment covers all of our bases in terms of giving the appropriate powers to the Parole Board.

The Chair:

Do any other colleagues have any comments on the admissibility or inadmissibility of amendment NDP-2? Do the witnesses have any comments? Is there any other debate?

Yes, Mr. Dubé.

Mr. Matthew Dubé:

I would seek a clear understanding of why it's beyond the scope of the bill. We haven't even gotten to the discussion about expungement yet. This is simply making the record suspension process automatic, and giving the appropriate powers to the Parole Board.

Could any clarification be provided there?

The Chair:

My reaction—and I will turn to the clerk for some clarification here—is that it's a positive obligation on the part of the Parole Board, requiring positive actions. While I agree that we heard a lot of evidence to the effect that this process could be made a lot more, if you will, user friendly by positive actions by the board, it is at this point apparently beyond the scope of the bill.

I will let the legislative clerk weigh in on it.

Mr. William Stephenson (Legislative Clerk):

Essentially, as Mr. McKay said, in this case the scope of the bill is fairly narrow. It creates an onus on the applicant and allows them to apply for a record suspension. It also waives the fee. Because of that fairly narrow scope in this bill, introducing a new concept that would essentially create a positive obligation on the board is beyond the scope of the bill.

(1535)

Mr. Matthew Dubé:

I'm just wondering because I can think of tons of amendments that create positive obligations on other entities. I'm not sure I'm following the argument here. For many pieces of legislation that I've studied in committee, we adopted amendments that would clearly force different bodies to undertake actions that were not initially codified in the bill, so I'm not sure if I'm following what the distinction is there.

Mr. William Stephenson:

In other circumstances, there are examples of creating an obligation to report back to the House or something like that, and it's still within what the department does and within what the bill foresees.

In this case, the concept is clearly to allow the applicants to apply on their own initiative. It's kind of meant to restrain the administrative action or the administrative onus, from what I understand. Maybe officials would like to weigh in on that. In this case, the issue of causing the board to identify those records on its own is a new concept.

The Chair:

Do officials want to weigh in?

Mr. Broom.

Mr. Ian Broom (Acting Director General, Policy and Operations, Parole Board of Canada):

Sure, I can weigh in. Thank you very much.

Under this amendment, from the Parole Board of Canada's perspective, we don't currently have the technological capacity to implement what is outlined in this motion. We'd need to consult with partners. We would want to verify some of the privacy and consent implications that could be involved in automatically ordering a records suspension.

As was mentioned, current process now is that applications are received with supporting documents. The onus is placed on the applicant. Examples would be court documents that would outline the nature of the conviction, dispositions involved, or whether or not the sentence was complete. We don't have any memorandum of understanding or information-sharing framework or infrastructure in place that would permit us to do that when conducting inquiries. I think, from the board's perspective of what we could implement, there are a number of challenges that we'd want to assess.

The Chair:

Mr. Dubé.

Mr. Matthew Dubé:

Thank you, Chair.

As for the privacy considerations, as far as I've understood, given that the records suspension branch of the Parole Board is an investigative body, they do have Privacy Act exemptions. We spoke with them, and they confirmed they have access to CPIC, so I do find it a bit unfortunate that we're basically saying it would be too much work and we're not accepting to make it automatic, when the reality is, as has been pointed out by numerous people, that the burden is then put onto marginalized Canadians.

I would also just ask for clarification from the clerk, perhaps. I think back to Bill C-83 when we were studying SIUs and I believe amendments were adopted that created additional criteria for health care professional reviews, for example. I'm not clear on the distinction that creating additional actions on the part of public servants in one instance would be acceptable, but here, because we're prescribing the process in a certain way—even though the end result this amendment seeks would still be one of these individuals having records suspensions—it would no longer be within the scope of the bill. I mean, it's titled “no-cost, expedited”. Ultimately is that what we're relying on, the title? It doesn't seem to make much sense to me.

The Chair:

The general argument is that, when you're going beyond the scope, you're going beyond the purpose of the bill. That's the general argument. I agree that we are down to some fairly narrow points at this point, but I'm perfectly open to any other interpretation or information as to why we would consider this to be beyond the scope.

Mr. William Stephenson:

In the case of adding criteria to something in a bill, when you have a list of criteria, you can always play around within the scope of what's required. In this case, we're going beyond just requirements and giving the board additional responsibility, creating an additional administrative burden. In arriving at our analysis of the bill, we looked at the summary of the bill and we looked to the way the bill is drafted.

The summary of the bill reads as follows: This enactment amends the Criminal Records Act to, among other things, allow persons who have been convicted under the Controlled Drugs and Substances Act, the Narcotic Control Act and the National Defence Act only of simple possession of cannabis offences committed before October 17, 2018 to apply for a record suspension without being subject to the period required by the Criminal Records Act for other offences or to the fee that is otherwise payable in applying for a suspension.

Basically, the bill does two fairly narrow things. It allows people to apply for a record suspension without being subject to the period required by the Criminal Records Act for other offences, and it waives the fee that's otherwise payable in applying for that suspension. That is what guides us in our analysis, as well as the way the bill is drafted. You'll note there are clauses that specify that the onus is on the applicant to prove various things.

That's how we understand the scope of the bill.

(1540)

Mr. Matthew Dubé:

My concluding argument would be that this just proves the point that there was no actual political will to help these Canadians who are saddled with these records.

It's pretty apparent to me—and we've heard now non-partisan analysis—that the onus is on these applicants. I think it's quite disappointing and I would say that, to me, it just defeats the entire purpose. We're basically telling marginalized Canadians to figure it out. We say, “Don't worry, you won't be charged on our end”, but we've talked about the other fees that'll come with it. I find this extremely disappointing.

With respect to you, Chair, I would move to challenge the chair's ruling if that is what it is.

The Chair:

The chair, reluctantly, rules that NDP-2 is inadmissible, therefore making NDP-1 null.

I do take note of the arguments that you've put forward, which I think, frankly, are good arguments and consistent with the evidence, but the interpretation on the scope of the bill is the interpretation on the scope of the bill. There are certain places that even well-intentioned legislators can't go.

With that, the chair is challenged. I think that's a straight-up, straight-down vote.

Would you like a recorded vote?

Mr. Matthew Dubé:

Yes, a recorded vote.

(Ruling of the chair sustained: yeas 8; nays 1)

The Chair:

The ruling of the chair prevails. With that, there are no amendments to clause 2.

(Clause 2 agreed to on division)

(On clause 3)

The Chair:

We now move on to clause 3.

We have Liberal-1 standing in the name of Ms. Dabrusin.

Ms. Dabrusin, would you explain your amendment to the committee, please.

Ms. Julie Dabrusin (Toronto—Danforth, Lib.):

Yes. In fact, I have a series of amendments. They're all related, so you're going to hear me say the same things.

One of the things that really stood out for me was hearing people talk about the fact that we have now legalized simple possession of cannabis, yet they might still have outstanding fines they have not paid. They might have difficulty covering those costs, and that could pose a barrier to people who are applying for record suspensions.

This amendment, Liberal-1, allows people to get a record suspension for cannabis possession even if they have outstanding fines. What it does as well is allow the waiting period for cannabis possession to be waived, even if the person has other offences on their record that they have met the waiting period for. If they've met the waiting period on the other offences, but they haven't met the waiting period that would normally apply for simple possession, we're saying we're going to waive that so that they can apply for it. But the fee is not waived for the second scenario.

(1545)

The Chair:

Matthew, go ahead.

Mr. Matthew Dubé:

I'm seeking confirmation of how I read this amendment, because I certainly support the intention to make it so that individuals who have unpaid fines or what they call “time served remaining” be able to access this process regardless, in keeping with the testimony we heard.

However, I look at proposed subparagraph (iv), under paragraph (b) “other than”, it says “sections 734.5 or 734.6 of the Criminal Code or section 145.1 of the National Defence Act, in respect of any fine or victim surcharge imposed for any offence referred to in Schedule 3”.

My understanding of that was that it means that, when certain organizations might be doing background checks.... Colleagues will recall that when there were changes brought in by the previous government so that individuals obtaining record suspensions who, for example, were on the sex offender registry, those things would still appear when doing vulnerable checks, background checks and things of that nature. My understanding, reading this amendment, is that even though we're waiving the need to pay the fine, it would still be uncoverable through a background check that the fine remained unpaid, which seems to me to defeat the purpose of the record suspension in the first place. I'm perhaps seeking clarity from smarter people than me to confirm that we have indeed understood that correctly.

The Chair:

I don't think there's anybody in the room who's smarter than you. We're in good shape.

I didn't mean that as an insult, by the way.

Does Ms. Dabrusin want to respond before I go to Mr. Motz on that particular point, or do we want to go to the officials?

Ms. Julie Dabrusin:

I understood that Mr. Dubé was asking the officials to weigh in on whether his interpretation was correct in the first instance.

The Chair:

It is your amendment, so I wanted to give you an opportunity.

Ms. Julie Dabrusin:

I would leave it to the officials to answer the question. My understanding is that it doesn't waive the fine, and that's because it's held by the provinces. It does mean that you're allowed to get the record suspension even though you have not paid the fine. As to how that works—

The Chair:

Mr. Motz, are you on the same point or a different point?

Mr. Glen Motz (Medicine Hat—Cardston—Warner, CPC):

It's probably the same take on that.

The Chair:

Then let's get what the members think first, and then we'll hear what the officials think.

Mr. Glen Motz:

I'm just looking for clarity.

The way the act is read is...and the legislative clerk has already said we have to keep the scope of these amendments along with the intention in the bill. If that's the case, then those individuals who are applying for this don't qualify because they have administrative charges on there.

If I'm hearing you correctly, are you trying to ensure that administrative charges don't preclude someone from applying for a record suspension for a marijuana minor possession?

Ms. Julie Dabrusin:

I'm just talking about the fines. If their sentence was that they had a fine to pay and they have not yet paid it, they can still apply for a record suspension. It's the fine that was given specifically—

Mr. Glen Motz:

You mean the fine for simple possession, not for any administrative charges.

Ms. Julie Dabrusin:

This is just for simple possession of cannabis.

I want to clarify. When I mentioned the provinces, the issue is that in Quebec and New Brunswick the system is that the fines are actually paid through the provinces.

The Chair:

I see Mr. Eglinski wants to weigh in here. It's not as if I'm ignoring the officials, but I want to do it all at once.

Mr. Eglinski.

Mr. Jim Eglinski (Yellowhead, CPC):

Following through with the fines, if they can put their application in to have their record removed, then why would they ever intend to pay the fine? Have we consulted with the provinces on that?

If I can put the application in, did your program or your amendment have a process in there to follow back on the provinces? We're going to have a whole bunch of people owing money in provinces who don't have records.

(1550)

Ms. Julie Dabrusin:

First, yes.

I think we should get to the officials to explain all the details of how it works. However, the idea is that we don't stop them from being able to get their record suspension because of the outstanding fine.

Mr. Lyndon Murdock (Director, Corrections and Criminal Justice Unit, Department of Public Safety and Emergency Preparedness):

Yes, the effect of clause 3, as was mentioned, is that it removes the fact of an outstanding fine as a barrier to applying for a record suspension. You're quite correct that in the two jurisdictions we did consult—Quebec and New Brunswick—they administered the fine collection for those jurisdictions. The federal Public Prosecution Service administers fine collection for all the other jurisdictions.

With respect to your question, sir, about what the incentive is for individuals to pay their fines. It is civilly enforceable. Admittedly, in the two jurisdictions, Quebec and New Brunswick, where they administer the fine collection, those areas probably have more compelling levers to incentivize the payment of fines, for example, up to and including withdrawing a driver's licence. There are not as many levers at the federal level, other than the fact that a fine still remains on your record and is outstanding.

Mr. Matthew Dubé:

I want to make sure. I don't think my question was entirely addressed. My question is this: For any organization doing a background check, where normally a record that has been suspended would no longer appear—which is the purpose of providing the record suspension in the first place—would that background check then turn up unpaid fines for what are now schedule 3 offences?

Mr. Ari Slatkoff (Deputy Executive Director and General Counsel, Department of Justice):

No, the effect of the record suspension is still that it is only with respect to the payment of fines that persist. The other effects of the record suspension are valid and will exist for individuals. It would not turn up.

Mr. Matthew Dubé:

Then how come it's listed in the same enumeration, under the same qualifiers as the proposed subparagraph 2.3(b)(v) in the amendment, which is section 36.1 of the International Transfer of Offenders Act? The other sections, as I said, some of these.... Again, I thought this was a similar provision to what was initially brought in when it was changed to record suspension and we were providing for certain offences still appearing under certain texts.

Mr. Ari Slatkoff:

This amendment to proposed paragraph 2.3(b) enumerates the very limited number of situations in which certain obligations or disqualifications persist. The general effect of the record suspension, that it be kept separate from other criminal records, applies in all situations. These are very narrow exceptions, things such as the firearms prohibitions and driving prohibitions that are referred to in the first part of the provision, and the same for the International Transfer of Offenders Act. The only intention here is to preserve the civil enforcement of the fine.

Mr. Matthew Dubé:

I'm just confused. You're saying that those are disqualifying or they remain, and proposed subparagraph 2.3(b)(iv) in the amendment specifically refers to “in respect of any fine or victim surcharge imposed for any offence referred to in Schedule 3”. I'm not clear how those other ones can remain on the books, and then that one will not appear anywhere, even if the fine's unpaid.

Mr. Ari Slatkoff:

I'm not sure I fully understand the question. The intention of this amendment is simply to preserve the enforceability of the fine civilly. There's no other effect of the conviction.

Mr. Matthew Dubé:

With the indulgence of the chair, just to be clear, in the amendment, in proposed paragraph 2.3(b), five exceptions have been listed. Is that correct?

Mr. Ari Slatkoff:

Yes.

Mr. Matthew Dubé:

What's the effect of those exceptions?

Mr. Ari Slatkoff:

I just need a moment to attend to your question, please.

(1555)

Mr. Matthew Dubé:

Sure.

Mr. Ari Slatkoff:

Thank you.

I can confirm that section 734.5, which is referred to in proposed subparagraph 2.3(b)(iv) in the amendment, is the ability to recover a fine civilly. Section 734.6 is the ability to refuse a permit or licence. Those are two abilities that a federal or provincial government would have. Those are effects of the conviction that will persist.

Section 145.1 is the civil enforcement under the National Defence Act. Those are the only effects of the conviction that would persist.

Mr. Matthew Dubé:

Those fines would not appear anywhere that would otherwise undo the effect of receiving the record suspension in the first place.

Mr. Ari Slatkoff:

That's correct. It's just the ability to make the fine still payable and to refuse permits and licences.

Mr. Matthew Dubé:

To your knowledge, when provincial governments have this information, does it get shared among departments? If you're revoking licences and things like that and the provinces are responsible, they would ultimately continue to retain the information of the original offence.

Mr. Ari Slatkoff:

I'm not aware of the information-sharing practices in provincial governments, but there is a requirement to keep the record separate, but for those narrow exceptions.

Mr. Matthew Dubé:

Okay, thank you.

The Chair:

Is there further debate?

(Amendment agreed to [See Minutes of Proceedings])

(Clause 3 as amended agreed to on division)

(On clause 4)

The Chair: We have an amendment in the name of Ms. Dabrusin, Liberal-2.

Ms. Julie Dabrusin:

This is a continuation of my issue on fines and trying to resolve it. Each of my amendments seems very wordy and long, but the purpose is that it applies to people with records for other offences in addition to cannabis possession and says that the nonpayment of fines for cannabis possession doesn't make you ineligible for record suspension for those other offences, if you see what I mean.

The fact that you have not yet paid your fine for simple possession of cannabis, as long as you've met all the criteria that you need for the other record suspension that you're seeking, will not be a barrier for you to get that record suspension.

The Chair:

Is there any other discussion on that?

Mr. Glen Motz:

If you don't pay a fine, and it depends on the fine, if they're going by summary conviction, obviously most of them were, you have so long to pay based on the courts, and then a warrant is issued for your arrest. Then if you disappear and you don't get located for the time that your warrant's outstanding, which is until you get located, to me that excludes you from being eligible for applying for this record suspension because you're not in good standing, which the act requires. Then you'd have a failure to comply; you'd have probation....

If I'm hearing you correctly, you're asking for victim surcharges to be removed. You're also asking for administrative charges to potentially be included, so that even though they could be forthcoming, you could still apply for a record suspension, because you will potentially get other charges related to not paying a fine.

Ms. Julie Dabrusin:

This only deals with a nonpayment of a fine. If you have not paid the fine for simple possession of cannabis, it's only that piece, then if you have met your time requirements and everything else for a record suspension on another charge, that will not stop you. I'm not talking about any of them other than administrative pieces, but again, the officials might be able to answer that question in more detail.

(1600)

Mr. Glen Motz:

Isn't that the whole point of the act, that you have to be in good standing? If you haven't paid a fine, then you're not in good standing to qualify.

Ms. Julie Dabrusin:

Effectively, I'm recognizing that the payment of the fine has been a barrier for people getting record suspensions and that has come up several times. I'm trying to allow these people to get their record suspension for simple possession of cannabis.

The Chair:

Do any of the officials wish to weigh in on the conversation between Mr. Motz and Ms. Dabrusin?

Mr. Lyndon Murdock:

I'd underscore the point that Ms. Dabrusin was raising with respect to the effect of this amendment, which is that it simply removes the outstanding unpaid fine as a barrier to application.

The Chair:

Is there any other debate?

Mr. Eglinski.

Mr. Jim Eglinski:

Let's get Ms. Dabrusin to clarify what she just said. Your last words were, “for simple possession”, and I thought before that you were referring to somebody who has an outstanding fine for simple possession asking for a record clearance. Is it something else?

Ms. Julie Dabrusin:

That's right.

Mr. Jim Eglinski:

That conflicts with what you said in the last...because you said—

Ms. Julie Dabrusin:

I don't believe so.

The outstanding fine for simple possession of cannabis does not serve as a barrier to being able to get your record suspension on another charge, but I'm not saying we're waiving the fines or sentences in any way with respect to those other charges. People will have to meet all the requirements for those other charges to get a record suspension. All I'm saying is that if the fine for simple possession of cannabis is still outstanding, that's not going to stop you from being able to proceed to get your record suspension.

Mr. Jim Eglinski:

Thank you.

The Chair:

Are you good?

Mr. Jim Eglinski:

I'm good.

The Chair:

All right. If Mr. Eglinski's good, we must all be good.

I see no appetite for further debate on amendment Liberal-2.

(Amendment agreed to on division [See Minutes of Proceedings])

The Chair: With that, we move to NDP-3.

Mr. Dubé.

Mr. Matthew Dubé:

Thank you, Chair.

The amendment seeks to remove the word “only”, which means that individuals who have only a record for simple possession are the only ones who are benefiting from this process, so that even individuals who have other records can still apply.

I think this is particularly important, again, in keeping with what I think the objective of the bill is. Certainly, no one is saying that individuals shouldn't be serving their time or taking care of outstanding fines and whatnot for other offences committed, but I see no reason.... If we truly want to provide these individuals with a record suspension, and if we truly believe that certain individuals have been unfairly targeted by the previous iteration of the law, then I think it only makes sense that all Canadians, regardless of whether they have other elements on their record, should be allowed to benefit from this process.

The Chair:

Is there any debate?

Mr. Glen Motz:

I'd like to find out from the officials, Chair, what their thoughts are on the removal of “only” from that particular language.

Mr. Lyndon Murdock:

Thank you very much.

Our understanding of the proposed amendment is that this would essentially have the effect of expunging, for all intents and purposes, an individual's offence for cannabis. It would still be a record suspension, but it would result in a partial record suspension.

Where an individual has other offences, those offences would stay on the individual's record and show as such. It would have the effect of carving out, if you will, just the offence of simple possession of cannabis. The process with respect to record suspension is that you suspend the record in its entirety, not individual offences.

The Chair:

Is there any further debate?

(Amendment negatived [See Minutes of Proceedings])

The Chair: We're now on to NDP-4.

Mr. Dubé.

(1605)

Mr. Matthew Dubé:

Thank you, Chair.

This is, again, just in keeping with removing barriers from the process, removing the requirement to complete a sentence or fee related to a schedule 3 offence to qualify.

Again, it's pretty clear that there are numerous barriers in the process, as outlined in the legislation, for allowing folks to apply. If it's no longer a crime and if we truly want to give them an expedited process—which we believe should be an automatic expungement, frankly—than there's no reason why we should be expecting individuals to serve time in the various ways prescribed by law for that same offence.

The Chair:

Is there debate? [Translation]

Mr. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, CPC):

This is the first comment in French today. We'll make our staff work.

I want to know whether anyone is actually serving time for simple possession of marijuana. An inmate may have it in their record, but there are many other things. As a result, the person isn't eligible for a record suspension. [English]

The Chair:

Mr. Murdock.

Mr. Lyndon Murdock:

Unfortunately—and maybe I can turn it over to my colleague from the RCMP—we don't have that information currently. [Translation]

Ms. Amanda Gonzalez (Manager, Civil Fingerprint Screening Services and Legislative Conformity, Royal Canadian Mounted Police):

I can't answer that. I don't know about the sentences for this type of situation.

Mr. Pierre Paul-Hus:

According to the proposed amendment, as I understand it, people who are already in prison would be allowed to apply for a record suspension. However, this would mean that they're in prison for simple possession of cannabis.

Ms. Amanda Gonzalez:

I'd say that it's rare.

Mr. Pierre Paul-Hus:

That's right.

Mr. Michel Picard (Montarville, Lib.):

The clause can't be applied unilaterally in Canada. The payment of fines in certain jurisdictions is under provincial jurisdiction. As a result, we can't have the federal government impose fines that are currently administered by the provinces. [English]

The Chair:

Is there any comment on Mr. Picard's observation?

Mr. Lyndon Murdock:

I'm sorry. I actually didn't hear it. I missed it.

Mr. Michel Picard:

You cannot apply the law when the fine is administered by a province. It cannot be applied the same way everywhere, because part of it—fines, for example—is administered by Quebec and.... What is the other province?

Mr. Lyndon Murdock:

It's New Brunswick.

Mr. Michel Picard:

We can't do anything about that.

The Chair:

Is there any other debate on NDP-4?

(Amendment negatived [See Minutes of Proceedings])

The Chair: In PV-1, there's a line conflict with NDP-4.

Ms. May, I'm assuming you wish to speak to PV-1.

Ms. Elizabeth May (Saanich—Gulf Islands, GP):

Yes. You'll recall, Mr. Chair, that I'm here because of the motion this committee passed, in which I am not allowed to vote on things, or move things. The one thing I am allowed to do is to follow your instructions to show up on the time-limited time and speak to my amendments. I do wish to speak to it.

The Chair:

You have reminded the committee of that several times.

Ms. Elizabeth May:

I like to keep it on the record, because I hope that after the next election, no MP in my position will ever be subjected to the motions that were passed in the last government and this one.

In any case, after the election, we'll have more than 12 MPs, so I won't be subjected to it, but it's not fair or nice for any smaller party.

Here's the motion. It's very clear. I think you've all heard the evidence, and I'm sure are sympathetic to the concerns of the Native Women's Association of Canada and the Campaign for Cannabis Amnesty, that the very people we're trying to help with this legislation may be disadvantaged, because they'll be in the midst of their sentence. They won't have been able to pay their fines, so they can't apply, because the time limits, in the way the act currently reads, are such that a person is ineligible to make an application for records suspension until the expiration of their sentence, or including the payment of a fine.

The amendment I'm putting forward here, PV-1, is to say that we would change that to “regardless of whether or not any sentence imposed” or “the payment of any fine, has expired”.

Thank you, Mr. Chair.

(1610)

The Chair:

Is there any debate?

(Amendment negatived [See Minutes of Proceedings])

The Chair: Mr. Eglinski.

Mr. Jim Eglinski:

Thank you.

My amendment is basically that Bill C-93, clause 4, be amended by adding after line 12 on page 2 the following: (3.11) A person who makes an application referred to in subsection (3.1) may do so using electronic means in accordance with regulations made under paragraph 9.1(d).

Right in our mission statement, or our title, it says, “expedited record suspensions”. The fastest way to do it is by electronics, or computer. According to my research, the State of California in one year eliminated as many records as we are told by Mr. Broom.... They got rid of 250,000 records in one year, by going to electronic means.

I do realize that was expungement, but I believe we would not be doing justice in this committee if we didn't encourage one of our government agencies to modernize and simplify the way it does business, and make it easier for our clients out there to make applications. I think that if we were to use an electronic program.... There are people out there who can develop them. We should encourage our government agencies to modernize and be as efficient and as fast as they can be.

If we do not go to some form of electronic monitoring or application, which can get rid of a lot of that groundwork initially—for example, to say if a person is eligible or not eligible—and do a lot of the work that we're now doing manually, I think we'd be doing an injustice. All I'm saying is to put a section in here that gives them the opportunity to look outside and develop a program that might work to make it much more beneficial to people out there, and much quicker for the RCMP and the Parole Board to get rid of these records.

The Chair:

Is there any debate? [Translation]

Mr. Michel Picard:

Subsection 3.1 doesn't limit the capacity to submit an application. In addition, the logistical aspects can be handled in keeping with the regulations. It seems redundant to talk about the electronic aspect. [English]

The Chair:

Are there any comments?

Mr. David de Burgh Graham (Laurentides—Labelle, Lib.):

I was going to ask if they even have the capacity to receive an electronic record.

Mr. Ian Broom:

Currently, we do not.

Mr. Matthew Dubé:

I just want to point out on the record how disappointing I find it that we would be rejecting amendments because we have a backward system that is clearly inadequate. Quite frankly, I think this is so straightforward—the basic stuff to make this system accessible—and we're just throwing in the towel because we're not in the 21st century when it comes to how these things work. It's mind-boggling.

I wanted to state that, for the record, while I thank my colleague for his amendment and offer my support for it.

Mr. Glen Motz:

I would agree with Mr. Dubé.

I'm wondering about the silence of it. Does it mean that if we ever get with the current technology, we would be able to do it, even though we don't actively mention it here? Can we still apply it down the road if record suspension can be sought electronically in, let's say, six months or a year, should this bill pass the House?

The Chair:

Go ahead, Mr. Broom.

Mr. Ian Broom:

What I could speak to is the operational aspect of this proposed amendment. There are two elements here.

The first is the ability to receive electronic applications, and that could include the supporting documents that would be used to determine eligibility for whatever scheme—in this case, the streamlined record suspension process for simple possession of cannabis convictions.

The second aspect is that information the Parole Board of Canada would use to verify eligibility is third party in nature, so we would also need to take into consideration the means of authenticating the documents we would receive from, for example, courts and police services outside of the national criminal repository.

(1615)

Mr. Glen Motz:

To the legislative clerk, then, my question is more in line with.... The courts now accept electronic versions of things when they're stamped by police departments or courthouses. They're considered to be legit. I don't see that as being a barrier at all.

What I'm asking more specifically is about the language of this. If we don't make mention of it specifically, as Mr. Eglinski's amendment would allow, and we leave it silent, will that preclude the ability to do so, should it ever become possible?

The Chair:

Is that within your capacity to answer?

Mr. William Stephenson:

No, unfortunately.

Mr. Jim Eglinski:

I'd like to make a comment, Chair. When California decided to go to their system, they went outside of their agency and had three different applicants write up programs. I understand that one of the applicants now has a very elaborate program that she says can work internationally on a number of different programs.

All I'm asking is that we look and not ignore it because it's out there. If we sit back, we're doing no justice. We can write all the stuff we want here, but we're not going any further or any quicker. Let's try to make it quicker. All I'm saying is, let's look at electronic aids and see if it can help your agency be more modern.

We can be like CPIC was before CPIC, recording everything by hand and passing it down. CPIC modernized things for us in the RCMP. All I'm asking for is to modernize your agency to help those people get this done a little quicker.

The Chair:

Let me ask the reverse question. If this amendment doesn't pass, are you limited to doing things the way you're doing them now?

Ms. Brigitte Lavigne (Director, Clemency and Record Suspensions, Parole Board of Canada):

The Parole Board of Canada is always open to looking for ways to modernize the record suspension application process. Certainly, in terms of enabling an electronic or digitized application, we would need to consult and assess the impacts and the available resources in order to pursue something along those lines.

The Chair:

If your consultation went well and resources were available, would you be able to do it with or without this amendment?

Ms. Brigitte Lavigne:

Certainly, if there were amenable means for us to forge something from a modernized standpoint, the Parole Board would be open to those things.

Mr. Michel Picard:

If it's possible, I wouldn't mind inviting my colleague to modify his amendment into a recommendation that can be done after the bill, to bring to the attention of government that, in addition to our amendment, such a recommendation should be taken under consideration so they can proceed with what they're looking for and modernize the system.

The Chair:

Mr. Eglinski, do you want to respond to Mr. Picard's suggestion?

Mr. Jim Eglinski:

To do it as a recommendation...?

I think we're in agreement to work with the committee, if we don't pass the amendment here, to put it in as a recommendation to give them the tools in the future to....

The Chair:

You would like, separate it from the bill itself, a report from the committee recommending that this gets done sooner rather than later. Is that correct?

Mr. Jim Eglinski:

Why can't the recommendation be part of the report?

The Chair:

It would be part of the report, yes.

Mr. Jim Eglinski:

Yes, okay.

(1620)

Mr. Glen Motz:

If I'm hearing correctly, you can't accept this as an amendment to the bill, but you would accept the recommendation?

Mr. Michel Picard:

Again, that's because of logistical issues, but the idea is good because they can do it. Let's push it to the report.

Mr. Jim Eglinski:

Our suggestion is that we vote on it, and if it gets defeated, then we move to put it in as a recommendation. We'd like to have it on the record, please.

The Chair:

Is there any further debate on Mr. Eglinski's amendment then?

(Amendment negatived)

Mr. Jim Eglinski:

At this time, Mr. Chair, I'd like to take that motion and work with the committee to put it in as a part of a recommendation of our report, so that it gives the Parole Board the opportunity to look into and research more modernized techniques.

The Chair:

I have to say, as chair, that this is entirely consistent with the evidence we heard, and I also have to express a frustration. What's the point of these hearings if things don't move forward? We are trying to make the lives of our citizens somewhat easier, and it just doesn't sound right when officials come in and say, “Well, we can't.” It doesn't sound right.

Anyway, that's too much editorial comment from the chair. That's enough.

We are now on amendment NDP-5.

Mr. Dubé.

Mr. Matthew Dubé:

Thank you, Chair.

This amendment would delete lines 26 to 29 on page 2, which concern the onus. It says: The person referred to in subsection (3.1) has the onus of satisfying the Board that the person has been convicted only of an offence referred to in that subsection.

Again, it is just in keeping with the theme of what we heard through testimony and what we're hearing today, which is unfortunately not getting any kind of support, and that is the fact that these individuals are sometimes far away from the centres where they can acquire fingerprints and background checks, the things that they need to satisfy these requirements. We're talking about individuals who.... If we're talking about a process that's supposed to be a “no cost” one, it's been told to us repeatedly that there actually is a cost associated with it.

A big part of that cost, regardless of what's in this legislation, is due to having to provide all the supporting documents and so on. This is not only tedious but costly as well for individuals who quite frankly will either be taken advantage of by bad actors out there who seek to offer their services, or who quite simply will just not know where to look, regardless of any good intentions the department may have for whatever kind of advertising they have in mind, which is also unclear following the hearings.

Again, if we're going to continue with this non-automatic record suspension process, then I think the very least we could do is to ease the burden a bit with an amendment like this.

The Chair:

I see no further debate.

(Amendment negatived)

(Clause 4 as amended agreed to on division)

(On clause 5)

The Chair:

We are now on clause 5, Ms. Sahota. Do you want to speak to amendment Liberal-3, please?

Ms. Ruby Sahota (Brampton North, Lib.):

This amendment is that Bill C-93 in clause 5 be amended by replacing line 3 on page 3 with the following: pended, without taking into account any offence referred to in Schedule 3, if the Board is satisfied that

Basically, the purpose of this amendment is so that, for those with criminal offences who are seeking a pardon for their other criminal offences—I'm not talking about cannabis—and have a cannabis possession on their record, that cannabis possession is not taken into account as “bad conduct”. That basically would go against the purpose of our saying that cannabis is now legalized and trying to remove those simple cannabis possessions to begin with.

It would be very harmful for that to be taken into account when individuals are dealing with their other convictions and are trying to seek pardons for those other convictions. They've met the time and they're paying the fees—all of those things—but then there is this cannabis possession charge from maybe a few years back. That is then considered to be bad conduct and they can't even get those other convictions pardoned because of it.

That's my justification for this.

(1625)

The Chair:

Is there any further debate?

(Amendment agreed to on division)

The Chair:

We now have NDP-6, standing in the name of Mr. Dubé.

Mr. Matthew Dubé:

Thank you, Chair.

This is similar to amendment NDP-3. It is another amendment that seeks to make it so that individuals who have other items on their criminal records can still obtain the record suspension for simple possession of cannabis. Again, regardless of whatever other offences they may have, it just seems strange that we would have a double standard, where for some people it's okay now because marijuana has been legalized but for others it's not.

Again, this is just trying to remove that double standard that exists, especially for individuals who might have other offences that are also relatively minor. Those individuals in particular are some of the most penalized by the approach put forward in this legislation.

The Chair:

I see no further debate on NDP-6.

(Amendment negatived [See Minutes of Proceedings])

The Chair: We now have NDP-7.

The suggestion here is that it is beyond the scope of the bill as it seeks to affect sentences, which is not a concept that is in the bill.

Does anybody want to challenge the chair? It seems to be fashionable these days.

Voices: Oh, oh!

The Chair: Mr. Dubé.

Mr. Matthew Dubé:

It's nothing personal, Chair, but I will because I think the sentences are directly related to the process of applying for your record suspension. I think that if you're talking about offering an expedited process—as the bill purports to, both in its title and its summary—it has been made clear by members on all sides, and by witnesses, that a barrier to the quickness of that process and the ability to do it is any outstanding sentence.

The amendment seeks to set aside “any sentence that was imposed for that offence that, on the day on which the order is made, has not expired according to law”. Again, it's just removing some of these barriers that exist.

Without it being anything personal, I will challenge the chair on that and ask for a recorded vote.

The Chair:

Okay. That is not a debatable motion.

(Ruling of the chair sustained: yeas 8, nays 1)

The Chair:

With that, we are on to PV-2.

Ms. Elizabeth May:

Thank you, Mr. Chair.

This will be very straightforward to present, because the rationale matches the one I presented on—

The Chair:

Similarly, though, if we ruled NDP-7 inadmissible, so also is PV-2.

Ms. Elizabeth May:

Inadmissible in that it's...?

The Chair:

It seeks to affect the sentence. It's the same concept.

Ms. Elizabeth May:

Yes. Well, it's a good-faith effort to get you to reconsider.

The Chair:

Given your standing, which you have reminded us of in many instances, you probably don't have the standing to challenge the chair.

Ms. Elizabeth May:

I can't challenge the chair, withdraw my own amendment, or do much else but show up when I have to, based on the motion you passed.

The Chair:

Yes.

Ms. Elizabeth May:

There you go. Thank you very much, Mr. Chair.

The Chair:

It was a really touching moment. Thank you for that.

Ms. Elizabeth May:

I could make it more heart-rending if you would like it to be.

The Chair:

I have a limited emotional range, as my wife would point out.

Voices: Oh, oh!

Ms. Elizabeth May:

I think you've covered the full range of A to B.

The Chair:

With that, we are now on to PV-3.

Ms. Elizabeth May:

Thank you.

On this one, I believe, as we've gone forward we've had some conversations, and I do want to acknowledge that I think we may have a way forward on this that will allow it to be passed. Rather than take up any time right now in terms of how we're going to deal with the exception to revocation and exempt records, I'm going to ask Julie if she wants to chime in right away, because I think we have a shared approach.

(1630)

Ms. Julie Dabrusin:

Thank you. I appreciate that.

I'll let Ms. May speak to the motivation behind this amendment and why it stands, but there was a concern that it might have too much breadth as it's currently worded and might apply to convictions well beyond the simple possession of cannabis.

I would like to move a subamendment to PV-3, which reads: (1.2) A record suspension ordered under subsection (1.1) may not be revoked by the Board under paragraph 7(b).

That was really eloquent, wasn't it?

The Chair:

Yes.

Do we have an actual physical copy that we can distribute?

Ms. Julie Dabrusin:

Yes. There is a copy that's being distributed.

The Chair:

Is it in both official languages?

Ms. Julie Dabrusin:

It is.[Translation]

I can read the proposed text in French if you wish.

(1.2) La suspension d'un casier ordonnée en vertu du paragraphe (1.1) ne peut être révoquée par la Commission en vertu de l'alinéa 7b). [English]

The Chair:

The debate is on the subamendment.

Ms. Elizabeth May:

Again, since Julie has left it for me to speak to the rationale behind this—and it was in the evidence that was before the committee, particularly from Solomon Friedman, who represents the practice of criminal defence—there is a real injustice in having a criminal record hanging over one's head for an offence that is no longer a criminal offence. This lifts the requirement to prove good conduct and to obtain the suspension in the first place.

This subamendment complements that. I am very grateful that we have found a solution in a tweaking of the language in my amendment.

Thank you very much.

Mr. Matthew Dubé:

I have a similar amendment at NDP-9, which says: The Board may not revoke a record suspension in respect of an offence referred to in Schedule 3 on a ground referred to in paragraph 7(a) or (b).

Since we're just getting to this now and we can't run through the whole thing, I'm wondering about the distinction between, first of all, the consequences of schedule 3 no longer being mentioned—whereas it is in both my amendment and Ms. May's amendment—and why we're exclusively mentioning only paragraph 7(b) in this subamendment. I referenced paragraph 7(a) also in my amendment.

I'm wondering if someone can walk through why—

The Chair:

I can't, but I am concerned about order here and doing things in sequence.

Mr. Matthew Dubé:

Sure.

The Chair:

When we get to NDP-9, I'm sure you'll wish to raise that very point, but I—

Mr. Matthew Dubé:

Well I'm just trying to—

The Chair:

The only relevance at this point would be if it is consequential.

Let me just ask the clerk, if the subamendment and the Green Party amendment are moved, is there a consequential impact on any other...?

Mr. William Stephenson:

Because they address the same thing, yes, they're tied together.

The Chair:

Okay, so is it appropriate that we deal with both together, or should we just keep to the order that we have?

Mr. William Stephenson:

I think it would make sense to at least answer Mr. Dubé's question and then see how he can proceed at that point.

The Chair:

Okay.

I see Ms. Dabrusin waving her hand, but I take the point of the clerk, which is that he thinks it's appropriate to answer Mr. Dubé's question sooner rather than later.

Ms. Julie Dabrusin:

If I may, the legislative clerk can advise, but my understanding is that PV-3, NDP-8, CPC-2, NDP-9 and NDP-10 all seek to.... Maybe NDP-10 might not fit after line 10, but each of the other ones that I mentioned, up to NDP-9, seem to be amending the same space.

If we do it once, can we keep doing it with the other amendments, or do we have to...?

(1635)

The Chair:

It probably has to be at each instance, I would think, but I will defer to the clerk.

Mr. William Stephenson:

In this case, you could add it afterwards. We could deal with whatever is left over from Mr. Dubé's amendment. If we're dealing with paragraph 7(b) and Mr. Dubé would like to deal with paragraph 7(a), we could deal with it, but conceptually it would make sense to address the issues at the same time.

The Chair:

Okay, so we can deal with it conceptually, but I'd prefer to deal with it sequentially as and when we arrive at the affected amendment.

Mr. William Stephenson:

That makes sense.

The Chair:

Is that all right?

Pierre. [Translation]

Mr. Pierre Paul-Hus:

I agree with you, Mr. McKay.

I want to hear from our experts because we have three amendments that deal with paragraph 7(b): the amendment proposed by Ms. May; the amendment proposed by the Liberals, who are suggesting a rewording of the provision; and the amendment proposed by Mr. Dubé, which includes paragraph 7(a). I don't have the text in hand, but it can significantly affect the process. It's just a matter of seeing whether we want to proceed step by step and then come back to Mr. Dubé's amendment or proceed with a comprehensive approach.

Is that the question, Mr. Dubé? [English]

The Chair:

I want to proceed step by step, so— [Translation]

Mr. Pierre Paul-Hus:

I need to know. [English]

The Chair:

What's on the table right now is the subamendment to Ms. May's amendment. Let's restrict the debate to that for the time being.

Mr. Dubé, do you not like that idea?

Mr. Matthew Dubé:

The reason I raised it was not to debate my amendment. It was just to illustrate the questions I have about this new wording that has been presented and is on the floor currently.

The Chair:

Conceptually, I understand. From a point of order, though, we go subamendment to amendment. If we move this, those in favour of the subamendment—

Mr. Matthew Dubé:

That's my point. Before we get to voting on it I have questions about the subamendment that have remained unanswered.

The Chair:

Okay.

Mr. Matthew Dubé:

In other words, I was asking about the removal of the words “Schedule 3”. What difference does that make? Ms. May and I...that's why I referred to my bill. I'll just say PV-3, before the subamendment, referred to schedule 3, and now we're referring to....

I'm going through the bill and the subsection. Is that just cleaning it up, or does that have a real consequence on which offences are covered?

The Chair:

That's a legitimate point.

First of all, let me just see whether the officials have any opinions on the consequences of moving the subamendment now to amend PV-3.

Mr. Lyndon Murdock:

The subamendment has the effect of essentially ensuring that record suspensions that have been granted cannot be revoked where the concept of good conduct is applied, but it applies exclusively to convictions for cannabis possession.

The original amendment in PV-3 was broader in scope and could have resulted in partial revocation, where an individual could, again, have the prohibition on the revocation, if you will, applied to the cannabis but still have other offences revoked.

The Chair:

As I understand, the concern here is that if you pass this now, there will be further amendments of some consequence throughout. Do the officials have any concerns about that?

The second question is the best way to proceed.

Let me have the clerk speak to this now, and then we'll see whether we resolve this.

Mr. William Stephenson:

Procedurally speaking, right now we are dealing with the subamendment, and we can only deal with one subamendment at a time. We could deal with the subamendment and if Mr. Dubé wants, he could either move another subamendment after we've dealt with this one to further amend it and bring it in line with NDP-9, or we can proceed with NDP-9.

(1640)

Mr. Matthew Dubé:

I don't mind dealing with my amendments in the order they'll be presented. Again, Chair, I apologize. My intention is not to get us out of order. I'm just trying to understand the concept.

We're talking about proposed subsection (1.1), which refers to proposed subsection 4(3.1). When you go back to that section, I think that's the one that says “offence referred to in Schedule 3”, if I'm following the bill correctly.

With your permission, Chair, I want to clarify the answer that was provided and understand. When we're saying other records would be partially suspended...I apologize. I'm not quite following what the consequence of the original wording was by referring broadly to schedule 3, as Ms. May did in her original wording.

The Chair:

Mr. Broom, do you want to respond to that?

Mr. Ian Broom:

Sure, I can respond to that.

As the motion is drafted without the subamendment, it would mean it would be a little difficult to implement, given that the Criminal Records Act and the PBC operations hinge on actions with the entire record of conviction. The challenge would be that if the amendment stood, the subamendment would narrow it to an impact only of convictions for simple possession of cannabis.

We wouldn't end up in the situation whereby, subject to good conduct, there would be a revocation and let's say there was another offence in addition to the simple possession of cannabis offence, two different actions would be taking place on the record of conviction. On the one hand, there would be no impact, and on the other hand, there would be.

It would be a challenge for us because we wouldn't be dealing with the criminal record as a whole in that instance. However, narrowed to criminal records that would only have convictions for simple possession of cannabis, then that would be consistent with the framework of the Criminal Records Act in dealing with the whole record.

The Chair:

Are you fine with that?

Mr. Matthew Dubé:

Just to make sure I understand, this would mean, in other words, to filter out individuals who have records for other offences?

Mr. Lyndon Murdock:

Yes.

Mr. Matthew Dubé:

Okay.

Chair, if I may note just for the record, as part of the debate, that clarification is important, because, again, it goes against the spirit that I want the bill to have, which is—again, previous amendments I've presented have sought this—to have individuals who have other offences able to access this process. I don't want to speak for Ms. May, but I imagine that her intentions might have been similar with regard to the way that our amendments have been drafted. That's an important distinction for me, so the clarification has been helpful.

Ms. Julie Dabrusin:

If I might clarify, my understanding of the way the NDP amendment would work is that, effectively, murderers with simple possession would be in a better position than murderers without a simple possession charge, based on how this works when they're trying to get.... That's effectively why we can't agree to that.

The Chair:

Seeing that this debate has been exhausted, the vote is on Ms. Dabrusin's subamendment.

(Subamendment agreed to)

(Amendment as amended agreed to [See Minutes of Proceedings])

The Chair: Amendment PV-3 as amended passes and we are now on NDP-8.

Again I've been handed this note about its admissibility. It seeks to grant record suspensions for offences not contained in the bill.

Mr. Matthew Dubé:

This was actually a recommendation that was made by a number of witnesses. It was for administration of justice offences relating to schedule 3 offences. In other words, to use an example that's been used in committee, if an indigenous person is unable to appear in court for a variety of geographic considerations and it is an appearance in court related to the offence, then we would also suspend that offence.

Again, it seems strange to me that we would want to right the supposed wrong that these individuals have incurred and then not be able to do so by making them continue to have other marks on their record that will inevitably cause them problems. The remediation the bill seeks to give will not actually be obtained by many people who could use it, frankly. I will again challenge the ruling, with all due respect to the chair.

(1645)

The Chair:

I'm starting to feel bad about this.

(Ruling of the chair sustained: yeas 8, nays 1)

The Chair:

It's another outstanding victory for the chair.

We now go to Mr. Motz with CPC-2, please.

Mr. Glen Motz:

Thank you, Chair.

Colleagues, I'm proposing CPC-2 as a fallback mechanism for the government to decide onus on applicants to prove the convictions they had. Under this bill, the onus is that individuals convicted of minor possession of marijuana will have to prove that they were convicted of only that charge. However, I can tell you from experience, and from the testimony we heard before this committee, that there will be individuals whose records cannot be found or have been lost or destroyed. In those cases, they are unable to prove their case through no fault of their own.

In those circumstances, I am proposing a common-sense addition whereby applicants can demonstrate and swear an oath or an affidavit explaining why that's the case. It would enable the Parole Board to review the application and investigate and determine eligibility in that capacity, as opposed to an outright denial in those circumstances. In the interest of ensuring that all of those who are eligible can access the same process, I am submitting this to provide some procedural fairness.

Mr. Matthew Dubé:

In the absence of some of the amendments I've proposed being in order, much less adopted, to make the process automatic, this is a nice plan B, so it's an amendment that I support.

However, I do seek guidance, perhaps, from the clerk to understand why a process that would have been automatic, such as in NDP-1 and NDP-2, where the board would have been doing the work, was too much of an undertaking for the board and beyond the scope of the bill, whereas here the sworn statements lead to the board's making inquiries to ascertain whether conditions have been met. Certainly, the undertaking is not quite as vast, but it, nonetheless, seems to have the same intention. It's not that I want to jinx this amendment—I am glad it's in order—but I do have some difficulty understanding the distinction there.

The Chair:

Your question is that if your amendment was beyond the scope of the bill, why is this one not beyond the scope.

Mr. Matthew Dubé:

What's the threshold for ordering the board to do additional work?

Mr. William Stephenson:

In this case, the amendment is dealing more with the issues of parameters and the inquiries that the board would be making. From what we understand, based on our knowledge, they already have the power to make inquiries to ascertain that there has been good conduct...all of those things. In this sense, it's a little bit different from the other amendments because it's affecting the parameters that are already within the scope of the bill—requesting suspension, that the onus on the applicant is fairly narrow—versus the other amendments that are a bit more like new schemes or mechanisms in the bill.

(1650)

Mr. Michel Picard:

I request a three-minute suspension to talk in more detail about this technical issue. We'd like to talk about it.

The Chair:

I think we can suspend for three minutes.

With that, we're suspended for three minutes.

(1650)

(1650)

The Chair:

Colleagues, can we come back to order?

Mr. Picard, do you wish to say something?

Mr. Michel Picard:

I have no debate.

The Chair:

Okay. Is there any further debate on amendment CPC-2?

An hon. member: Could we have a recorded vote?

The Chair: We'll have a recorded vote.

(Amendment agreed to: yeas 9; nays 0 [See Minutes of Proceedings])

Mr. Glen Motz:

Let me write this date down because that's the first time this has happened in any of my committee deliberations.

The Chair:

Such peace and harmony has broken out that I'm not quite sure what we're going to do now.

We're on to NDP-9, which was previously discussed.

Mr. Dubé, do you want to move that?

Mr. Matthew Dubé:

Again, this is just to make sure we're not revoking record suspensions, if ultimately the intention of the bill is to allow individuals to move on from an offence related to something that is now legal.

I did have a question on my own amendment, if I can connect back to the previous amended amendment, which was PV-3. I don't have it in front of me, but I included paragraph 7(a), and the subamendment only mentioned paragraph 7(b).

Can someone help out with what the distinction is there?

(1655)

The Chair:

Mr. Murdock, do you want to respond?

Mr. Lyndon Murdock:

Paragraph 7(a) deals with a person who is subsequently convicted of an offence, whereas paragraph 7(b) deals with the issue of good conduct.

Mr. Matthew Dubé:

I appreciate that clarification.

An important part of why I opposed the previously amended amendment is that an individual who obtains a record suspension for something that is now legal, and goes on to commit another crime deserves the punishment of that crime. If they're found guilty, that's fine, but it's difficult to square the circle of why that person's record for something that is now legal would be reinstated.

Whether we like those individuals or not, whether we agree with the act that has been committed or not, there is a principle here that this is no longer a crime. In keeping with our position, and that of many of the witnesses, expungement is the way to go. To me it seems to make sense that we would not be putting an additional line on someone's criminal record for something that is now legal because it happened to happen to them when it was illegal. The Parliament of Canada has recognized that individuals should more easily obtain a record suspension should that be the fate of this bill.

That is an important addition there, which was absent from the subamended Green Party amendment.

The Chair:

Is there further debate?

(Amendment negatived [See Minutes of Proceedings])

(Clause 5 as amended agreed to on division)

The Chair:

With that, I'm going to have to vacate the chair, and ask Mr. Paul-Hus to take over. [Translation]

The Vice-Chair (Mr. Pierre Paul-Hus):

Good afternoon, everyone.

We'll now look at Mr. Dubé's NDP-10 amendment.

Mr. Matthew Dubé:

Thank you, Mr. Chair[English]

NDP-10 seeks to achieve— [Translation]

The Vice-Chair (Mr. Pierre Paul-Hus):

I want to tell my colleague that, unfortunately, the chair considers the amendment inadmissible. However, he can still provide an explanation.

Mr. Matthew Dubé:

Thank you, Mr. Chair.

The chair has changed, but the outcome may be the same.[English]

NDP-10 seeks to go with expungement, simply put. I refer those listening to us to my exchange with the minister and his complete inability to explain the double standard that exists between Bill C-66 and this legislation. Racialized Canadians, indigenous people, lower-income Canadians have all been unfairly targeted by the law in this case. This is what we are seeking to right here. The only way we can truly do that is with expungement.

The minister and other officials did refer to the need for documentation at the border and such. I would refer colleagues to Bill C-66, the section on destruction and removal. In section 21 is states “For greater certainty, sections 17 to 20 do not apply to documents submitted or produced in respect of an application under this Act.” In other words, as the several calls that we made to the Parole Board confirmed, if people lose the confirmation that their record was expunged, they can request a new confirmation. So the minister's argument is complete bunk that you need this magic document at the border.

I believe, from the witness testimony, that this is the right way to go. I understand that the chair has ruled, so I would, with all the respect that I have for him, challenge the chair.

(1700)

[Translation]

The Vice-Chair (Mr. Pierre Paul-Hus):

Thank you for your explanation, Mr. Dubé.

The ruling was made, and I'm sustaining it.

Since the request has been made, the recorded division will concern whether to sustain the chair's ruling.

(Ruling of the chair sustained: yeas 7; nays 1)

(Clause 6)

The Vice-Chair (Mr. Pierre Paul-Hus):

We'll move on to clause 6 and look at the CPC-3 amendment.

Mr. Motz, you have the floor. [English]

Mr. Glen Motz:

Thank you, Chair.

The intent of CPC-3 is that clause 6 be amended by deleting proposed paragraph (b) which strips the Parole Board of the power to cause inquiries to be made to determine the applicant's conduct since the date of conviction.

The following two amendments were suggested. Both CPC-3 and CPC-4 were suggested by the Canadian Police Association, which believes the Parole Board should retain some limited authority and discretion to make inquiries to ensure that some consideration is given to the small number of applications that will be made by people who are repeat or habitual offenders, and to ensure they don't take advantage of a process that is clearly not meant for their specific cases.

As we were told by the association president, we know of situations where applications may be made by offenders where a simple possession charge was given by the courts and it was arrived at as a result of a plea bargain. Once the Parole Board would be able to drill down into those cases and have the authority to do so, the agreement by the Crown and the courts could form a more serious charge. They may have accepted those on the assumption that a conviction would be a permanent record of the offence that was made, and a lesser plea wouldn't have been accepted otherwise.

It's just an amendment to allow that to occur. [Translation]

The Vice-Chair (Mr. Pierre Paul-Hus):

Thank you, Mr. Motz.

Is this a matter for discussion?[English]

Do you want a recorded vote?

Mr. Glen Motz:

Yes. [Translation]

The Vice-Chair (Mr. Pierre Paul-Hus):

Okay.

(Amendment negatived [See Minutes of Proceedings])

The Vice-Chair (Mr. Pierre Paul-Hus):

We'll move on to the CPC-4 amendment.

Mr. Motz, you have the floor. [English]

Mr. Glen Motz:

Similar to CPC-3, this deals more directly with the Parole Board's discretion as to whether granting a record suspension would bring the administration of justice into disrepute. I believe that the bulk of applicants who would apply for this are upstanding citizens, and they'll have no issues in being approved by the board.

That being said, we should still let the Parole Board do its work. If the government doesn't believe that the Parole Board has work to do, then this government should have introduced expungement of records as opposed to record suspensions.

That's the rationale behind CPC-4.

(1705)

[Translation]

The Vice-Chair (Mr. Pierre Paul-Hus):

Thank you, Mr. Motz.

We'll proceed with the vote.

(Amendment negatived [See Minutes of Proceedings])

The Vice-Chair (Mr. Pierre Paul-Hus):

As the alternate chair, since the two motions were mine, I simply want to remind the committee that the Canadian Police Association made these recommendations. As the regular chair said, we must take into account the recommendations of our witnesses and, above all, of people such as members of the Canadian Police Association.

We'll now move on to the LIB-4 amendment.

Ms. Dabrusin, you have the floor.

Ms. Julie Dabrusin:

Thank you.[English]

This is a consequential amendment, based on the first couple that I have proposed in trying to deal with this fines issue.

It's technical, so I thought it might be best if I ask the officials to describe what it does. These are the technicalities that need to go into place to make it happen.

Mr. Lyndon Murdock:

Sure, I'm happy to.

This amendment to clause 6 modifies Bill C-93 to add proposed subsection 4.2(1.1). This proposed subsection clarifies that the board inquiries related to good conduct and disrepute should not be made where the applicant applies for a record suspension under subsection 4(3.1), that is, where the conviction is simple possession of cannabis only.

The proposed subsection further clarifies that neither simple possession, offences referred to in schedule 3, nor the non-payment of associated fines and victim surcharges, will be considered as part of the board inquiries where there are other convictions on the individual's record. [Translation]

The Vice-Chair (Mr. Pierre Paul-Hus):

Is that all?

Ms. Julie Dabrusin:

That's all.[English]

These are technical consequential amendments at this point. [Translation]

The Vice-Chair (Mr. Pierre Paul-Hus):

That's fine.

Will there be a discussion or questions? [English]

Mr. Jim Eglinski:

I'm more confused than I was in the beginning, but that's all right. [Translation]

The Vice-Chair (Mr. Pierre Paul-Hus):

Okay.

We'll proceed with the vote.

(Amendment agreed to [See Minutes of Proceedings])

The Vice-Chair (Mr. Pierre Paul-Hus):

We'll move on to the LIB-5 amendment.

Ms. Dabrusin, you have the floor. [English]

Ms. Julie Dabrusin:

The technical changes just keep rolling, with so much fun.

This basically makes sure that the fines can still be applied even after a record suspension has been granted. That was the part we had talked about in regard to Quebec and New Brunswick. They run their fines programs, so this is in order to keep the system cohesive. [Translation]

The Vice-Chair (Mr. Pierre Paul-Hus):

Thank you.

Mr. Motz, you have the floor. [English]

Mr. Glen Motz:

I'm curious to know whether the officials were involved in this drafting, or did they review the material prior to submission?

Mr. Lyndon Murdock:

We were not involved in the drafting.

Mr. Glen Motz:

Okay, that's one part of the question.

Did you review this prior to submission?

Mr. Lyndon Murdock:

I did not review this amendment.

Mr. Glen Motz:

Did any officials in your department do it?

Mr. Lyndon Murdock:

I can't speak for others, sir.

Ms. Julie Dabrusin:

It's been pretty clear from the beginning what I've been trying to do. I'm trying to run a number of amendments that are all connected to try to make sure we can allow for people to access record suspension for simple cannabis possession, even though they might have an outstanding fine for that simple cannabis possession. The issue we've run into is that fines aren't fully within the federal jurisdiction. We're trying to carve out that you can apply and still get your record suspension. However, the fine is still outstanding and you can be asked to pay for it. [Translation]

The Vice-Chair (Mr. Pierre Paul-Hus):

Thank you, Ms. Dabrusin.

Would anyone else like to add something?

Mr. Murdock, you have the floor. [English]

Mr. Lyndon Murdock:

Thank you.

To go back to Mr. Motz's question as to whether others had reviewed it, I can say that, yes, others did review the amendment.

Mr. Glen Motz:

Thank you. [Translation]

The Vice-Chair (Mr. Pierre Paul-Hus):

Thank you.

Who opposes the amendment?

What do you think, Mr. Picard?

(1710)

Mr. Michel Picard:

Are the supporters or opponents going first?

The Vice-Chair (Mr. Pierre Paul-Hus):

I'll start with the opponents. I wanted to know whether the system was working.

Let's move on to the vote.

(Amendment agreed to [See Minutes of Proceedings])

(Clause 6 as amended agreed to on division)

The Vice-Chair (Mr. Pierre Paul-Hus):

We'll now move on to clause 6.1 and the CPC-5 amendment.

I must warn the Conservative Party that this amendment is inadmissible because it goes beyond the scope of the bill.

My Liberal colleagues will understand that I'm pleased to be saying this into the microphone today.

Do you want to discuss the amendment? [English]

Mr. Jim Eglinski:

I'd just like to follow through. I understand that we're maybe overreaching and giving authority where we can't, but again, it's the following through of my earlier submission and the recommendation that we'll be putting forward at the end. We need to encourage our Parole Board to look at electronic means of recording this information to make it as simple as possible.

My research has shown that there are programs out there that meet the needs of multiple jurisdictions in the United States. All I am basically asking is that we allow the Parole Board to proactively hire a firm or look at design software to help eliminate the problem we have right now and make it more electronically friendly and quicker. That was the idea behind that, but I realize there's a cost to that and we do not have that jurisdiction. [Translation]

The Vice-Chair (Mr. Pierre Paul-Hus):

Thank you, Mr. Eglinski.

(Clause 7)

The Vice-Chair (Mr. Pierre Paul-Hus): We'll move on to clause 7.

Since there's no amendment, we'll proceed with the vote.

(Clause 7 agreed to on division)

(Clause 8)

The Vice-Chair (Mr. Pierre Paul-Hus):

We'll look at the LIB-6 amendment.

Ms. Dabrusin, you have the floor. [English]

Ms. Julie Dabrusin:

The fun continues on this one again.

It's just allowing for the collection of the fines by the provinces. That's what this aims to do in Liberal-6. It's just completing it. There were consequential amendments that had to fit in with the original amendments that I made, and this is part of that package. [Translation]

The Vice-Chair (Mr. Pierre Paul-Hus):

Thank you, Ms. Dabrusin.

Since there are no other comments, we'll proceed with the vote.

(Amendment agreed to [See Minutes of Proceedings])

The Vice-Chair (Mr. Pierre Paul-Hus):

We'll move on to the CPC-6 amendment.

Mr. Motz, you have the floor. [English]

Mr. Glen Motz:

Thank you, Chair.

This minor amendment is to address the question that neither the officials nor the minister was able to answer definitively. It's provided after the fact to the House and to the people of Canada.

When we inquired of him how many people would benefit from this act or how much it would cost, we were provided with basically the officials' best guess. Some academics estimate up to half a million people could use this record suspension process; however, officials estimated that 250,000 are eligible, with about 10,000 who might make use of it. If more than 4% of those who are eligible do make use of this process, the Parole Board will be underfunded based on the numbers that were provided.

The idea of the amendment is to ensure that the costs of free record suspensions for marijuana possession are not passed down to those applying for other record suspensions. [Translation]

The Vice-Chair (Mr. Pierre Paul-Hus):

Thank you, Mr. Motz.

Will there be a discussion?

It's too easy with me.

Mr. Michel Picard:

No.

Mr. David de Burgh Graham:

You're very efficient.

The Vice-Chair (Mr. Pierre Paul-Hus):

I'm too efficient.

Mr. Michel Picard:

You're too threatening, Mr. Chair.

Voices: Oh, oh! (laughter)

The Vice-Chair (Mr. Pierre Paul-Hus):

We'll proceed with the vote. [English]

Mr. Glen Motz:

I'd like a recorded vote. [Translation]

The Vice-Chair (Mr. Pierre Paul-Hus):

Okay. We'll proceed with a recorded division.

(Amendment agreed to: yeas 8; nays 0. [See Minutes of Proceedings])

(1715)

The Vice-Chair (Mr. Pierre Paul-Hus):

The chair would like to express great satisfaction with the committee's work.

Thank you, everyone.

(Clause 8 as amended agreed to on division)

(Clause 9)

The Vice-Chair (Mr. Pierre Paul-Hus):

That's fine.

Let's move on to clause 9.

(Clause 9 agreed to on division)

(Schedule)

The Vice-Chair (Mr. Pierre Paul-Hus): Let's move on to the next point concerning the schedule, or annexe in French. Mr. Spengermann has proposed the LIB-7 amendment.

Mr. Sven Spengemann (Mississauga—Lakeshore, Lib.):

Thank you, Mr. Chair.[English]

Amendment Liberal-7 does the same thing in two subclauses, which is to exclude the application of the act to synthetic preparations of cannabis that remain illicit. The act was never intended to apply to these substances.

The only exception to the exception is if they are identical to the plant-based cannabis. In those cases, it could be by happenstance or by some other design, but then—

Mr. Glen Motz:

What if they can't be identical?

Mr. Sven Spengemann:

That's what the language captures. If they are identical to the plant-based, then they fall under it. If they're synthetic in any other respect, they are excluded. [Translation]

The Vice-Chair (Mr. Pierre Paul-Hus):

Thank you.

Would you like to discuss it?

Mr. Eglinski, you have the floor. [English]

Mr. Jim Eglinski:

My concern is how we would know unless a trial was held and evidence was prepared at that time. Are you asking these guys to go as far back as the trial and the evidence to determine...?

Mr. Sven Spengemann:

Maybe the officials can comment, but presumably the trial record would capture whether a synthetic substance was involved and it would not be a schedule 3 substance.

Mr. Jim Eglinski:

Okay, thank you. [Translation]

The Vice-Chair (Mr. Pierre Paul-Hus):

Thank you.

Mr. Motz, the floor is yours. [English]

Mr. Glen Motz:

Maybe the officials can weigh in on this. If you're looking just at the record itself, it would indicate minor possession of whatever substance it is. If it's a synthetic cannabinoid, I don't know if the record would ever indicate the schedule that it's from. I don't know if it is. I'm curious to know whether—

Mr. Jim Eglinski:

Let's ask the RCMP.

Mr. Glen Motz:

Ms. Gonzalez, could you weigh in on this?

Ms. Amanda Gonzalez:

In many cases we wouldn't know. That would be in court documentation perhaps, but on the record itself, we likely would not know that.

Mr. Glen Motz:

Just for clarity's sake then, it would be up to the Parole Board to go and seek the file specifically on that application. How would you know to do that? The record doesn't indicate it.

Ms. Amanda Gonzalez:

I can't answer that.

Mr. Glen Motz:

Would you be doing that on every case?

Mr. Ian Broom:

Under the Bill C-93, as drafted and with the amendment, if an applicant is seeking a record suspension, they would be providing supporting documents including the court document if it were necessary to ascertain the nature of the convictions. If the court document outlines that this was an offence that involved a synthetic cannabinoid, then that would be found in the court document.

Mr. Glen Motz:

That's fair enough. [Translation]

The Vice-Chair (Mr. Pierre Paul-Hus):

Is everything okay, Mr. Motz? [English]

Mr. Glen Motz:

Yes. [Translation]

The Vice-Chair (Mr. Pierre Paul-Hus):

Thank you.

Let's vote on the LIB-7 amendment.

(Amendment agreed to on division [See Minutes of Proceedings])

The Vice-Chair (Mr. Pierre Paul-Hus):

Let's vote on the schedule, or annexe in French.

(Schedule as amended agreed to on division)

The Vice-Chair (Mr. Pierre Paul-Hus):

That's fine.

Let's move on to the next steps.

Shall the title of the bill carry?

Some hon. members: Agreed.

The Vice-Chair (Mr. Pierre Paul-Hus):

Shall this bill as amended carry?

Some hon. members: Agreed.

Some hon. members: On division.

The Vice-Chair (Mr. Pierre Paul-Hus): Shall the chair report the bill as amended to the House?

Some hon. members: Agreed. [English]

Mr. Matthew Dubé:

On division. [Translation]

The Vice-Chair (Mr. Pierre Paul-Hus):

Is the committee ordering the reprint of the bill as amended?

(1720)

[English]

Mr. Jim Eglinski:

What about the recommendation? [Translation]

The Vice-Chair (Mr. Pierre Paul-Hus):

Under the current procedure, the recommendation can't be an integral part of the bill. However, as in the case of Bill C-83, the recommendation will be made at the same time. The analysts would need information to write the recommendation. [English]

Mr. Glen Motz:

I'm ready when you guys are. [Translation]

The Vice-Chair (Mr. Pierre Paul-Hus):

Okay.

We have finished the part on the bill, but someone raised the possibility of making a separate recommendation, and we agreed to discuss it. We have examined the procedure with the clerk's help.

I will just let Mr. Eglinski make his recommendation.

Mr. Michel Picard:

I don't know how all this works.

The Vice-Chair (Mr. Pierre Paul-Hus):

The clerk explained the procedure to me and I will let him tell you about it. [English]

The Clerk of the Committee (Mr. Naaman Sugrue):

There are a couple of different ways we can go about it, but effectively the committee can either go by motion or agree to make certain recommendations. We can either do it by a motion that is then amended to include whatever recommendations are desired, or separate motions to report certain recommendations. My advice would be to include any and all recommendations the committee adopts in one report, but it's up to the committee to decide what those will be.

Mr. Michel Picard:

My understanding is that everything related to the bill itself is done. Maybe we can look at the report where the recommendations can be made as a second step. We can give time to Mr. Eglinski to write the recommendation he wants to propose.

Mr. Jim Eglinski:

I have it written already.

Mr. Michel Picard:

Man, you're quick.

Mr. Jim Eglinski:

Yes. I'm prepared to read it and make a motion on it.

Ms. Ruby Sahota:

I have mine written as well.

Mr. Michel Picard:

I propose that we proceed right away. [Translation]

The Vice-Chair (Mr. Pierre Paul-Hus):

Ms. Sahota and Mr. Eglinski are now ready to make their recommendations.

Let's start with you, Mr. Eglinski. [English]

Mr. Jim Eglinski:

Thank you, Mr. Chair.

I move that: That the Committee recommends that the Parole Board, which has a mandate to deliver services quickly, effectively and efficiently, use technology to enable them to better serve Canadians, and that the Minister has a requirement to provide high-quality services to all Canadians, reflecting past recommendations of the Auditor General on program delivery as well as his mandate from the Prime Minister to serve Canadians. Therefore, be it resolved that, the Standing Committee on Public Safety and National Security recommends the Minister immediately look to implement electronic submissions for record suspensions, in particular for those mentioned in C-93, An Act to provide no-cost, expedited record suspensions for simple possession of cannabis. [Translation]

The Vice-Chair (Mr. Pierre Paul-Hus):

Thank you, Mr. Eglinski.

Mr. Dubé, go ahead.

Mr. Matthew Dubé:

Thank you.

(1725)

[English]

Chair, I want to take the opportunity to thank my colleague for his motion. I support it. I think it's important for the committee to say and particularly in the context of.... I know through this process I've been hard on the officials. I think it's important to note here that the Parole Board will do the job it can with the tools it has been given, and it just hasn't been given the tools to help the marginalized people who require this process, a better process than what's in the bill.

We heard this throughout committee. I think another thing we heard throughout committee that I believe we can conclude, seeing how this bill is going to be reported back, is that the absolute bare minimum was done for what should have been part of a flagship piece of this government's agenda.

This committee has agreed in the past that record suspensions could be looked at as automatic. It was part of a study we did when we discovered what a mess this whole thing was.

Mr. Eglinski's recommendation, while good, I'm sure he would agree is just one step in resolving this whole mess. I come away from this process very disappointed, like many I'm sure, but will look forward to supporting my colleague's motion. [Translation]

The Vice-Chair (Mr. Pierre Paul-Hus):

Thank you, Mr. Dubé.

Mr. Picard, go ahead.

Mr. Michel Picard:

I would like to suggest that our comments take into account the preliminary steps the department will have to follow if we give it the mandate to implement an electronic system. It will have to assess, among other things, the resources, the equipment, the development costs and the procedures involved.

We all share the desire to modernize services and facilitate work through electronic means. An optimal approach to reach that goal should take into account the necessary elements, costs and procedures that would give the department the means it currently lacks and would enable it to make its electronic services as accessible and efficient as possible.

The Vice-Chair (Mr. Pierre Paul-Hus):

Thank you, Mr. Picard.

Would anyone else like to comment?

Who is in favour of Mr. Eglinski's recommendation?

Mr. Michel Picard:

My comment had a question mark at the end. Does the recommendation as written engage the department to undertake steps to acquire electronic services? I don't have the text in front of me, so I am relying on my memory.

The Vice-Chair (Mr. Pierre Paul-Hus):

You have the floor, Mr. Eglinski. [English]

Mr. Michel Picard:

Does the text give you the latitude to evaluate what's needed before going straight to “let's implement something”?

Mr. Jim Eglinski:

My first line, I think, might clarify that to you. It states that the committee recommends that the Parole Board “has a mandate to deliver services quickly, effectively and efficiently”. Then I go into using the technology. It's just mandating them to look beyond where they are to the modern technology that will enable them to do it. That's all we're asking them to do.

Mr. Glen Motz:

If I may clarify, in answer to Mr. Picard, the actual “be it resolved” states that the standing committee “recommends the minister immediately look” at the implementation of electronic systems for record suspensions.

Mr. Michel Picard:

Yes. Thank you. [Translation]

The Vice-Chair (Mr. Pierre Paul-Hus):

Thank you, Mr. Motz.

We will now vote.

(Recommendation agreed to)

The Vice-Chair (Mr. Pierre Paul-Hus): Thank you.

Ms. Sahota, it is your turn. [English]

Ms. Ruby Sahota:

Okay. The recommendation I have is basically in terms of the fees that are required. We heard from a lot of witnesses that although we're waiving the actual cost of the record suspension, there are other fees involved.

My recommendation is that: After having studied Bill C-93, An Act to provide no-cost, expedited record suspensions for simple possession of cannabis, and having studied the Record Suspension Program pursuant to Motion No. 161, the Committee wishes to make the following recommendation to the Government: That, given witnesses have expressed concerns about additional financial costs in the pardon application process, such as acquiring copies of court and police documents, and given that the Government has recognized the importance of reducing the financial burden of applying for a pardon as evidenced by Bill C-93's proposal to waive the $631 fee, the committee strongly encourages the Department of Public Safety and National Security to study further ways to reduce costs associated with applying for a pardon.

(1730)

[Translation]

The Vice-Chair (Mr. Pierre Paul-Hus):

Thank you, Ms. Sahota.

Mr. Dubé, go ahead.

Mr. Matthew Dubé:

We cannot be against virtue, but I just want to say again how discouraging all this is. We have a government that has been in power for four years. We have carried out a study that was entrusted to us through a motion from a Liberal member. Yet here we are today making another recommendation to say the same thing.

Everyone has known this for 10 years, since the amendment was adopted. So it is unfortunate to have to make recommendations to a department when, ultimately, the minister could have taken action and corrected in a broader way than this bill the damage caused by the program. It is the 11th hour, we are three months away from an election campaign, but nothing has been done yet.

I will vote in favour of the recommendation because we cannot be against virtue, but I deplore all these good intentions we are expressing while a minister, who has had four years to make these changes and to have a real impact on people's lives, has done nothing.

The Vice-Chair (Mr. Pierre Paul-Hus):

Thank you, Mr. Dubé.

Ms. Sahota, go ahead. [English]

Ms. Ruby Sahota:

Yes, I have a correction to my recommendation. I said that it encourages the “Department of Public Safety and National Security”. I mixed up the name of the committee with the actual department. It is actually the “Department of Public Safety and Emergency Preparedness”. [Translation]

The Vice-Chair (Mr. Pierre Paul-Hus):

Thank you, Ms. Sahota.

Mr. Motz, you have the floor. [English]

Mr. Glen Motz:

Thank you, Chair.

I'd like to echo the comments of Mr. Dubé and agree. I think I remember that when we looked at M-161, we made a very similar recommendation to the minister, and the minister agreed that he'd be doing exactly this. I'm wondering whether we actually need that again, because we did talk about it, I know, in M-161, almost word for word. Is he going to act that much faster because we have two recommendations? I don't know.

Ms. Ruby Sahota:

I think it's good to re-emphasize it because this is a new set of witnesses we've heard from. It doesn't hurt for us to re-recommend it. Obviously it is something we've heard from many witnesses. From Matthew's comments, although he's disappointed, it is the step he wants taken. [Translation]

The Vice-Chair (Mr. Pierre Paul-Hus):

Since there are no other comments, we will vote.

(Recommendation agreed to)

The Vice-Chair (Mr. Pierre Paul-Hus): Now that both recommendations have been unanimously agreed to, are you okay with putting them in the same document and presenting that document to the House?

Mr. David de Burgh Graham:

Yes, but on condition that we do not ask for a government response, as there is not enough time left for that.

The Vice-Chair (Mr. Pierre Paul-Hus):

We could ask for one, but the government will not have time to prepare it.

Mr. David de Burgh Graham:

That's right.

The Vice-Chair (Mr. Pierre Paul-Hus):

Okay.[English]

My point is just that the two motions will be put together in the same report.

Mr. Glen Motz:

With the report, yes.

The Vice-Chair (Mr. Pierre Paul-Hus):

That will be tabled to the House. We will ask for an answer from the government, but they won't have time.

Mr. Glen Motz:

Okay. [Translation]

The Vice-Chair (Mr. Pierre Paul-Hus):

This brings the meeting to an end.

Thank you very much for your cooperation.

I also want to thank the officials for their work.

Comité permanent de la sécurité publique et nationale

(1530)

[Traduction]

Le président (L'hon. John McKay (Scarborough—Guildwood, Lib.)):

Mesdames et messieurs, nous sommes assez près de 15 h 30 pour commencer. Je vois que nous avons le quorum, alors je déclare la séance ouverte.

Nous réalisons l'étude article par article du projet de loi C-93.

Le premier article n'a pas d'amendement.

(L'article 1 est adopté.)

(Article 2)

Le président: Pour ce qui est de l'article 2, nous avons l'amendement NDP-1, mais j'ai reçu une note du greffier législatif, selon laquelle nous devons traiter des amendements NDP-1 et NDP-2 ensemble. En conséquence de l'amendement NDP-2, la décision suggérée, c'est que l'amendement est irrecevable, ce qui aurait pour effet de rendre l'amendement NDP-1 nul.

Puisqu'il s'agit, en fait, d'une discussion sur la portée du projet de loi, je suis tout à fait prêt à entendre les arguments de M. Dubé portant que les deux amendements respectent la portée du projet de loi.

M. Matthew Dubé (Beloeil—Chambly, NPD):

Merci, monsieur le président.

Les amendements NDP-1 et NDP-2 visent à faire quelque chose dont ont parlé, oserais-je dire, tous les témoins — ou presque tous les témoins, bien sûr, à l'exclusion du ministre —, soit de rendre le processus automatique. En d'autres mots, plutôt que d'imposer le fardeau aux personnes qui tentent de présenter une demande... Nous avons réalisé beaucoup de recherches à ce sujet, mon bureau, surtout, parce qu'il y a eu un certain flottement au sujet de certaines considérations.

Par exemple, en ce qui a trait à la Loi sur la protection des renseignements personnels, il y a déjà une exemption permettant à la Commission des libérations conditionnelles de faire le travail, plutôt que de demander à des Canadiens marginalisés, qui vivent avec un casier judiciaire en raison de gestes qui sont maintenant légaux, de s'en charger.

Au bout du compte, je crois que cela respecte la portée du projet de loi, parce que nous imposerions le fardeau à la Commission des libérations conditionnelles plutôt qu'aux Canadiens. Surtout si ce n'est pas un enjeu faisant intervenir une recommandation royale. En d'autres mots, si on ne parle pas d'argent, je crois que le mécanisme associé au processus créé par le projet de loi, qui tente de corriger ce que le ministre refuse de qualifier d'injustice historique, relève assurément de la prérogative du Comité. Il s'agit de quelque chose qui, malheureusement, aurait dû être fait d'entrée de jeu au moment de la rédaction du projet de loi.

Comme je l'ai dit, il y a eu assez d'échanges faisant intervenir des personnes beaucoup plus intelligentes que moi dans ce dossier pour qu'on sache que l'amendement pare à toutes les éventualités, dans la mesure où il fournit les pouvoirs appropriés à la Commission des libérations conditionnelles.

Le président:

D'autres collègues ont-ils des commentaires à formuler sur la recevabilité ou l'irrecevabilité de l'amendement NDP-2? Les témoins ont-ils des commentaires à formuler? Y a-t-il d'autres interventions?

Oui, monsieur Dubé.

M. Matthew Dubé:

J'aimerais qu'on m'explique clairement la raison pour laquelle l'amendement ne respecterait pas la portée du projet de loi. Nous n'avons même pas commencé à discuter de radiation pour l'instant. On vise ici simplement à rendre le processus de suspension du casier automatique et à donner les pouvoirs appropriés à la Commission des libérations conditionnelles.

Peut-on me fournir des précisions?

Le président:

Ma réaction — et je vais m'en remettre au greffier pour obtenir des précisions — c'est qu'il s'agit d'une obligation positive imposée à la Commission des libérations conditionnelles, qui exige la prise de mesures positives. Même si je reconnais que beaucoup de témoins ont dit que le processus pourrait être beaucoup plus convivial — pour ainsi dire — grâce à la prise de mesures positives par la Commission, c'est, à ce moment-ci, apparemment, au-delà de la portée du projet de loi.

Je vais laisser le greffier législatif formuler des commentaires là-dessus.

M. William Stephenson (greffier législatif):

Essentiellement, comme M. McKay l'a dit, dans ce cas-ci, la portée du projet de loi est assez limitée. Elle impose un fardeau aux demandeurs et leur permet de présenter une demande de suspension du casier. Elle élimine aussi les frais. En raison de la portée assez limitée du projet de loi, inclure une nouvelle notion qui, essentiellement, imposerait une obligation positive à la Commission va au-delà de la portée du projet de loi.

(1535)

M. Matthew Dubé:

Je me questionne, parce que je peux penser à des tonnes d'amendements qui créent des obligations positives à d'autres entités. Je ne suis pas sûr de comprendre l'argument dans ce cas-ci. Dans le cadre de nombreux textes législatifs que j'ai étudiés en comité, nous avons adopté des amendements qui obligeaient clairement différents organismes à prendre des mesures qui n'étaient pas prévues initialement dans le projet de loi, alors je ne suis pas sûr de comprendre quelle est la distinction dans ce cas-ci.

M. William Stephenson:

Dans d'autres circonstances, il y a des exemples, comme lorsqu'on crée l'obligation de faire rapport à la Chambre ou quelque chose du genre, mais cela est conforme à ce que fait le ministère et respecte ce qui était prévu dans le projet de loi.

Dans ce cas-ci, l'idée, c'est clairement de permettre aux demandeurs de présenter une demande de leur propre chef. L'objectif consiste un peu à limiter les mesures administratives ou le fardeau administratif, d'après ce que j'ai compris. Les fonctionnaires pourraient peut-être en parler. Dans ce cas-ci, l'idée d'exiger de la Commission qu'elle cerne elle-même les casiers est un nouveau concept.

Le président:

Les fonctionnaires veulent-ils intervenir?

Monsieur Broom.

M. Ian Broom (directeur général intérimaire, Politiques et opérations, Commission des libérations conditionnelles du Canada):

Je peux, bien sûr, intervenir. Merci beaucoup.

En vertu de l'amendement en question, du point de vue de la Commission des libérations conditionnelles du Canada, nous ne possédons pas la capacité technologique actuelle de mettre en place ce qui est prévu dans la motion. Il faudrait consulter nos partenaires. Il faudrait faire des vérifications relativement à certaines répercussions sur la protection de la vie privée et le consentement qui pourraient intervenir lorsqu'on demande la suspension automatique de casiers.

Comme cela a été mentionné, dans le cadre du processus actuel, les demandes sont assorties de documents à l'appui. Le fardeau revient au demandeur. Par exemple, il pourrait s'agir de documents de la cour qui décrivent la nature de la déclaration de culpabilité, les dispositions visées et si, oui ou non, la peine a été purgée. Nous n'avons pas de protocole d'entente ou d'infrastructure de partage de renseignements en place nous permettant de faire ce travail lorsque nous menons des enquêtes. Selon moi, du point de vue de la Commission et à la lumière de ce que nous pourrions avoir à mettre en place, il y a un certain nombre de défis qu'il faudrait évaluer.

Le président:

Allez-y, monsieur Dubé.

M. Matthew Dubé:

Merci, monsieur le président.

Pour ce qui est des considérations liées à la protection de la vie privée, d'après ce que j'ai compris, puisque la section responsable de la suspension des casiers de la Commission des libérations conditionnelles est un organisme d'enquête, elle bénéficie d'exemptions liées à la Loi sur la protection des renseignements personnels. Nous avons parlé avec ces représentants, et ils ont confirmé qu'ils ont accès au CIPC, alors j'estime un peu malheureux que, essentiellement, nous disions que c'est trop de travail et nous refusons de rendre le processus automatique, alors que, en réalité, comme de nombreuses personnes l'ont souligné, le fardeau sera alors imposé aux Canadiens marginalisés.

J'aimerais demander des précisions au greffier, si possible. Je repense au projet de loi C-83, lorsque nous avons étudié les unités d'intervention structurée, et je crois que des amendements ont été adoptés afin de créer des critères supplémentaires touchant les examens par des professionnels de la santé, par exemple. Je ne suis pas sûr de comprendre la distinction qui fait en sorte que, dans un cas, l'imposition de tâches supplémentaires à des fonctionnaires est acceptable, alors que, dans ce cas-ci, puisque nous établissons un processus d'une certaine façon — même si le résultat final recherché par cet amendement concernerait encore la suspension des casiers des personnes visées —, eh bien, tout ça ne respecte plus la portée du projet de loi. Vous savez, le titre dit « accélérée et sans frais ». Au bout du compte, est-ce ce sur quoi on s'appuie, sur le titre? Ça ne me semble pas vraiment logique.

Le président:

L'argument général, c'est que, lorsqu'on dépasse la portée, on va au-delà de l'objet du projet de loi. C'est l'argument général. Je conviens que nous touchons là à des points assez précis, mais je suis tout à fait ouvert à une autre interprétation ou à d'autres renseignements quant à savoir pourquoi devrions-nous considérer que tout ça va au-delà de la portée du projet de loi?

M. William Stephenson:

En ce qui concerne le fait d'ajouter des critères à quelque chose qui se trouve déjà dans un projet de loi, lorsqu'il y a une liste de critères, on peut toujours rajuster la portée des exigences. Dans ce cas-ci, nous allons au-delà des simples exigences, et on donne à la Commission des responsabilités supplémentaires, on crée un fardeau administratif supplémentaire. Lorsque nous avons réalisé notre analyse du projet de loi, nous avons tenu compte du sommaire du projet de loi et examiné de quelle façon le projet de loi est rédigé.

Le sommaire du projet de loi porte que: Le texte modifie la Loi sur le casier judiciaire afin, notamment, de permettre aux personnes condamnées au titre de la Loi réglementant certaines drogues et autres substances, la Loi sur les stupéfiants et la Loi sur la défense nationale uniquement pour des infractions de possession simple de cannabis perpétrées avant le 17 octobre 2018 de présenter une demande de suspension du casier judiciaire sans avoir à attendre l’expiration de la période prévue par la Loi sur le casier judiciaire pour les autres infractions ni à débourser les frais prévus normalement pour une telle demande.

Essentiellement, le projet de loi fait deux choses très précises. Il permet aux gens de présenter une demande de suspension du casier sans avoir à attendre l'expiration de la période prévue par la Loi sur le casier judiciaire pour les autres infractions ni à débourser les frais prévus normalement pour une telle demande de suspension. C'est ce qui a fondé notre analyse, tout comme la façon dont le projet de loi est rédigé. Vous constaterez qu'il y a des dispositions qui précisent qu'il revient au demandeur de prouver diverses choses.

C'est ainsi que nous avons compris la portée du projet de loi.

(1540)

M. Matthew Dubé:

Mon dernier argument, c'est que tout ça prouve le point qu'il n'y a pas vraiment de volonté politique d'aider ces Canadiens qui sont pris avec de tels casiers judiciaires.

Ça me semble évident — et nous avons maintenant entendu une analyse non partisane — que le fardeau revient aux demandeurs. Je crois que c'est très décevant et je dirais même que, selon moi, cela va complètement à l'encontre du but recherché. Essentiellement, nous disons aux Canadiens marginalisés de s'y retrouver. Nous disons : « Ne vous en faites pas, on ne vous facturera pas », mais nous avons parlé des autres frais qui seront associés à tout ça. Je trouve tout ça extrêmement décevant.

Respectueusement, monsieur le président, je dépose une motion qui vise à contester la décision du président, si c'est ce que c'est.

Le président:

Le président, à contrecœur, détermine que l'amendement NDP-2 est irrecevable, rendant par conséquent l'amendement NDP-1 nul.

Je prends en note des arguments que vous avez formulés et que je trouve, franchement, valables et conformes aux témoignages, mais l'interprétation de la portée du projet de loi est ce qu'elle est. Il y a des choses que même les législateurs bien intentionnés ne peuvent pas faire.

Cela dit, la présidence est contestée. Je crois qu'il s'agit d'un vote d'approbation ou de rejet.

Aimeriez-vous un vote par appel nominal?

M. Matthew Dubé:

Oui, un vote par appel nominal.

(La décision de la présidence est maintenue par 8 voix contre 1.)

Le président:

La décision de la présidence prévaut. Cela fait, il n'y a pas d'amendement à l'article 2.

(L'article 2 est adopté avec dissidence.)

(Article 3)

Le président:

Nous passons maintenant à l'article 3.

Il y a l'amendement LIB-1 au nom de Mme Dabrusin.

Madame Dabrusin, voulez-vous expliquer votre amendement au Comité, s'il vous plaît.

Mme Julie Dabrusin (Toronto—Danforth, Lib.):

Oui. En fait, j'ai une série d'amendements. Ils sont tous reliés, alors vous allez m'entendre me répéter.

L'une des choses qui sont vraiment ressorties, à mes yeux, c'est que des gens nous ont parlé du fait que nous avons maintenant légalisé la possession simple du cannabis, mais que certains pourraient être encore visés par des amendes qu'ils n'ont pas payées. Ces personnes pourraient avoir de la difficulté à trouver l'argent nécessaire, et cela pourrait constituer un obstacle pour les personnes qui présentent une demande de suspension du casier.

Cet amendement, l'amendement LIB-1, permet aux gens d'obtenir une suspension du casier pour possession de cannabis même s'ils ont des amendes non payées. L'amendement permet aussi d'éliminer le délai lié à la condamnation pour possession de cannabis, même s'il y a d'autres infractions au casier de la personne relativement auxquels les délais ont été observés. Si les personnes ont respecté le délai pour les autres infractions, mais qu'elles n'ont pas écoulé le délai qui s'appliquerait habituellement en cas de possession simple, nous disons que ce délai sera éliminé afin qu'elles puissent présenter leur demande. Cependant, les frais ne sont pas éliminés dans ce deuxième scénario.

(1545)

Le président:

Monsieur Dubé, allez-y.

M. Matthew Dubé:

J'aimerais qu'on me confirme comment je dois lire cet amendement, parce que j'appuie certainement l'intention visant à ce que les personnes qui ont des amendes impayées ou ce qu'on appelle le « reste de la peine à purger » soient en mesure d'accéder à ce processus d'une façon ou d'une autre, conformément aux témoignages que nous avons entendus.

Toutefois, je regarde le sous-alinéa (iv) proposé, à l'alinéa b) « sauf que », et l'on dit « les articles 734.5 ou 734.6 du Code criminel ou l'article 145.1 de la Loi sur la défense nationale à l'égard des amendes et des suramendes compensatoires non payées pour des infractions visées à l'annexe 3 ».

Ce que j'en comprends, c'est que quand certaines organisations pourraient effectuer des vérifications des antécédents... Mes collègues se rappelleront que, lorsque le gouvernement précédent a apporté des changements, de sorte que des personnes obtenant des suspensions de casier qui, par exemple, figuraient sur le registre des délinquants sexuels, ces choses continuaient d'apparaître lorsqu'on effectuait des vérifications des antécédents en vue d'un travail auprès de personnes vulnérables, des vérifications des antécédents et des choses de cette nature. Quand je lis cet amendement, si je comprends bien, même si nous éliminons la nécessité de payer l'amende, on pourrait tout de même découvrir, au moyen d'une vérification des antécédents, que l'amende demeure impayée, ce qui, pour moi, semble aller à l'encontre de l'objectif de la suspension du casier au départ. J'aimerais que des personnes plus futées que moi m'éclairent, peut-être pour confirmer que nous avons bel et bien compris cela correctement.

Le président:

Je ne crois pas qu'il y ait qui que ce soit dans la salle qui soit plus futé que vous. Nous sommes en bonne posture.

Je ne voulais pas vous insulter, en passant.

Mme Dabrusin veut-elle répondre avant que je passe à M. Motz sur ce point particulier ou voulons-nous nous adresser aux représentants?

Mme Julie Dabrusin:

J'ai cru comprendre que M. Dubé demandait aux représentants de dire si son interprétation était bonne au départ.

Le président:

C'est votre amendement, donc je veux vous donner une occasion.

Mme Julie Dabrusin:

Je laisserais aux représentants le soin de répondre à la question. Selon ce que je comprends, il n'élimine pas l'amende, et c'est parce que c'est détenu par les provinces. Cela veut dire que vous pouvez obtenir la suspension du casier même si vous n'avez pas payé l'amende. Quant à savoir comment cela fonctionne...

Le président:

Monsieur Motz, êtes-vous du même avis ou d'un autre avis?

M. Glen Motz (Medicine Hat—Cardston—Warner, PCC):

Je pense probablement la même chose.

Le président:

Dans ce cas, entendons d'abord l'avis des membres, puis ce sera aux représentants.

M. Glen Motz:

Je cherche juste à obtenir des précisions.

Selon le libellé de la loi... et le greffier législatif a déjà dit que nous devons circonscrire la portée de ces amendements au même titre que l'intention dans le projet de loi. Si c'est le cas, les personnes qui demandent cette suspension du casier ne sont pas admissibles, parce qu'il y a des frais administratifs.

Si je vous ai bien compris, essayez-vous de faire en sorte que les frais administratifs n'empêchent pas des personnes de demander une suspension du casier pour possession mineure de marijuana?

Mme Julie Dabrusin:

Je parle juste des amendes. Si leur peine consistait à payer une amende et qu'ils ne l'ont pas encore fait, ils peuvent tout de même présenter une demande de suspension du casier. C'est l'amende qui a été imposée précisément...

M. Glen Motz:

Vous parlez de l'amende pour possession simple, pas pour tous frais administratifs.

Mme Julie Dabrusin:

C'est juste pour possession simple de cannabis.

Je veux clarifier les choses. Quand j'ai mentionné les provinces, le fait est que, au Québec et au Nouveau-Brunswick, le système prévoit que les amendes sont en réalité payées par l'entremise des provinces.

Le président:

Je vois M. Eglinski qui souhaite intervenir. Ce n'est pas comme si je voulais faire fi des représentants, mais je veux faire tout en même temps.

Monsieur Eglinski, allez-y.

M. Jim Eglinski (Yellowhead, PCC):

Pour donner suite aux amendes, s'ils peuvent demander la suppression de leur casier, pourquoi auraient-ils jamais l'intention de payer l'amende? Avons-nous consulté les provinces à ce sujet?

Si je peux présenter la demande, votre programme ou votre amendement prévoit-il un processus pour faire le suivi auprès des provinces? Nous aurons dans les provinces tout un tas de personnes qui doivent de l'argent et ne détiennent pas de casier.

(1550)

Mme Julie Dabrusin:

D'abord, oui.

Je crois que nous devrions demander aux représentants d'expliquer tous les détails du fonctionnement. Toutefois, l'idée, c'est de ne pas les empêcher d'obtenir la suspension de leur casier en raison de l'amende impayée.

M. Lyndon Murdock (directeur, Division des affaires correctionnelles et de la justice pénale, ministère de la Sécurité publique et de la Protection civile):

Oui, l'effet de l'article 3, comme on l'a mentionné, c'est qu'il élimine le fait qu'une amende impayée constitue un obstacle à la présentation d'une demande de suspension du casier. Vous avez bien raison de dire que, dans les deux administrations que nous avons consultées — le Québec et le Nouveau-Brunswick — elles administraient elles-mêmes le recouvrement des amendes. Le Service des poursuites pénales du Canada administre le recouvrement des amendes pour toutes les autres administrations.

Par rapport à votre question, monsieur, concernant ce qui incite les gens à payer leurs amendes, c'est exécutoire à l'échelon civil. Il faut reconnaître que, dans les deux administrations, au Québec et au Nouveau-Brunswick, où on administre le recouvrement des amendes, ces régions ont probablement des leviers plus convaincants pour encourager le paiement des amendes, par exemple jusqu'au retrait d'un permis de conduire. Il n'y a pas autant de leviers à l'échelon fédéral, mis à part le fait qu'une amende apparaît comme impayée dans votre dossier.

M. Matthew Dubé:

Je veux obtenir une certitude: je ne crois pas qu'on ait répondu entièrement à ma question. Ma question est la suivante: pour toute organisation qui effectue une vérification des antécédents, lorsque, habituellement un dossier qui a été suspendu n'apparaîtrait plus — ce qui est, au départ, le but de la suspension du casier —, cette vérification des antécédents ferait-elle ensuite apparaître des amendes impayées pour ce qui sont maintenant des infractions visées à l'annexe 3?

Me Ari Slatkoff (sous-directeur exécutif et avocat général, ministère de la Justice):

Non, l'effet de la suspension du casier est le même: il ne concerne que le paiement des amendes toujours en vigueur. Les autres effets de la suspension du casier sont valides et existent pour les personnes. Cela n'apparaîtrait pas.

M. Matthew Dubé:

Dans ce cas, pourquoi est-ce que cela figure dans la même énumération, sous les mêmes éléments que ceux mentionnés dans le sous-alinéa 2.3b)(v) proposé dans l'amendement, qui correspond à l'article 36.1 de la Loi sur le transfèrement international des délinquants? Comme je l'ai dit, certains des autres articles... Encore une fois, je pensais que c'était une disposition semblable à ce qui avait été présenté au départ quand on l'avait changée pour la suspension du casier et que nous prévoyions que certaines infractions continueraient d'apparaître dans certains textes.

Me Ari Slatkoff:

Cet amendement de l'alinéa 2.3b) proposé énumère le nombre très limité de situations où certaines obligations ou incapacités perdurent. L'effet général de la suspension du casier, c'est-à-dire qu'il entraîne le classement à part des autres dossiers judiciaires, s'applique dans toutes les situations. Ce sont des exceptions très précises, des choses comme les interdictions visant les armes à feu et les interdictions de conduire auxquelles on fait allusion dans la première partie de la disposition, et c'est la même chose pour la Loi sur le transfèrement international des délinquants. La seule intention ici est de préserver l'exécution civile de l'amende.

M. Matthew Dubé:

Je suis juste confus. Vous dites que ces amendes font cesser toute incapacité ou qu'elles demeurent, et le sous-alinéa 2.3b)(iv) proposé dans l'amendement mentionne précisément « à l'égard des amendes et des suramendes compensatoires non payées pour des infractions visées à l'annexe 3 ». Je ne suis pas certain de savoir comment ces autres amendes peuvent rester dans les livres, et qu'une autre n'apparaîtra nulle part, même si elle est impayée.

Me Ari Slatkoff:

Je ne suis pas certain de comprendre totalement la question. L'intention de cet amendement est simplement de préserver l'exécution de l'amende à l'échelon civil. Il n'y a pas d'autre effet de la condamnation.

M. Matthew Dubé:

Avec l'indulgence du président, pour être clair, à l'alinéa 2.3b) proposé dans l'amendement, cinq exceptions ont été énumérées. Est-ce exact?

Me Ari Slatkoff:

Oui.

M. Matthew Dubé:

Quel est l'effet de ces exceptions?

Me Ari Slatkoff:

J'ai juste besoin d'un moment pour m'occuper de votre question, s'il vous plaît.

(1555)

M. Matthew Dubé:

Bien sûr.

Me Ari Slatkoff:

Merci.

Je peux confirmer que l'article 734.5, dont il est question dans le sous-alinéa 2.3b)(iv) proposé dans l'amendement, a trait à la capacité de recouvrer une amende à l'échelon civil. L'article 734.6 porte sur la capacité de refuser un permis ou une licence. Ce sont les deux capacités qu'un gouvernement fédéral ou provincial devrait détenir. Ce sont des effets de la condamnation qui perdureront.

L'article 145.1 concerne l'exécution civile au titre de la Loi sur la défense nationale. Ce sont les seuls effets de la condamnation qui perdureraient.

M. Matthew Dubé:

Ces amendes n'apparaîtraient à aucun endroit qui annulerait autrement l'effet de la suspension du casier au départ.

Me Ari Slatkoff:

C'est exact. Cela ne concerne que la capacité de faire en sorte que l'amende demeure payable et de refuser d'émettre des permis et des licences.

M. Matthew Dubé:

À votre connaissance, quand les gouvernements provinciaux détiennent ces renseignements, est-ce que c'est communiqué aux ministères? Si vous révoquez des licences et des choses du genre et que les provinces sont responsables, elles continueraient au final de conserver les renseignements sur l'infraction originale.

Me Ari Slatkoff:

Je ne suis pas au courant des pratiques sur la communication de renseignements dans les gouvernements provinciaux, mais il est nécessaire de conserver le dossier à part, sauf pour ces exceptions limitées.

M. Matthew Dubé:

D'accord, merci.

Le président:

Y a-t-il d'autres interventions?

(L'amendement est adopté. [Voir le Procès-verbal])

(L'article 3 modifié est adopté avec dissidence.)

(Article 4)

Le président: Nous avons un amendement au nom de Mme Dabrusin, LIB-2.

Mme Julie Dabrusin:

Cela fait suite à ma question concernant les amendes; j'essaie toujours de régler le problème. Chacun de mes amendements semble très verbeux et long, mais cela vise à ce qu'il s'applique à des gens qui ont des dossiers pour d'autres infractions, en plus de la possession de cannabis, et l'on y dit que le non-paiement d'amendes pour possession de cannabis ne vous rend pas inadmissible à la suspension du casier pour ces autres infractions, si vous voyez ce que je veux dire.

Le fait que vous n'ayez pas encore payé votre amende pour possession simple de cannabis, tant que vous avez respecté tous les critères nécessaires pour l'autre suspension du casier que vous recherchez, ne sera pas un obstacle pour que vous obteniez cette suspension du casier.

Le président:

Y a-t-il d'autres discussions à ce sujet?

M. Glen Motz:

Si vous ne payez pas une amende, et cela dépend de l'amende, et s'il s'agit d'une déclaration de culpabilité par procédure sommaire — c'était évidemment le cas pour la plupart d'entre eux —, vous avez un délai donné pour payer l'amende selon les tribunaux, puis un mandat d'arrestation est pris contre vous. Puis, si vous disparaissez et qu'on ne vous retrouve pas pendant que le mandat est en vigueur, c'est-à-dire jusqu'à ce qu'on vous retrouve, à mes yeux, cela vous empêche d'être admissible à présenter une demande de suspension du casier parce que vous n'êtes pas en règle, ce que la loi exige. Puis, vous auriez à votre dossier un défaut de vous conformer; vous seriez mis en probation...

Si j'entends bien ce que vous dites, vous demandez que les suramendes compensatoires soient retirées. Vous demandez aussi que l'on inclue peut-être les frais administratifs, de sorte que, même s'ils étaient exigibles, vous pourriez tout de même demander une suspension du casier, car vous pourriez éventuellement faire l'objet d'autres accusations liées au non-paiement d'une amende.

Mme Julie Dabrusin:

Cela concerne seulement le non-paiement d'une amende. Si vous n'avez pas payé l'amende pour possession simple de cannabis, c'est seulement cet élément, puis si vous avez satisfait aux exigences en matière de délai et tout le reste pour une suspension du casier concernant une autre accusation, cela ne va pas vous empêcher de présenter une demande. Je ne parle de rien d'autre que les éléments administratifs, mais encore une fois, les représentants pourraient être en mesure de répondre à cette question plus en détail.

(1600)

M. Glen Motz:

N'est-ce pas là le but de la loi, le fait d'être en règle? Si vous n'avez pas payé une amende, alors vous n'êtes pas en règle pour être admissible.

Mme Julie Dabrusin:

En réalité, je reconnais que le paiement de l'amende est un obstacle pour les personnes voulant obtenir une suspension de casier, et cela a été soulevé à plusieurs reprises. J'essaie de permettre à ces personnes d'obtenir leur suspension de casier pour possession simple de cannabis.

Le président:

Est-ce que l'un des fonctionnaires souhaite intervenir dans la conversation entre M. Motz et Mme Dabrusin?

M. Lyndon Murdock:

Je voudrais souligner le point soulevé par Mme Dabrusin au sujet de l'effet de cet amendement, à savoir qu'il supprime simplement l'amende impayée en tant qu'obstacle à la demande.

Le président:

Y a-t-il d'autres commentaires à ce sujet?

Monsieur Eglinski, vous avez la parole.

M. Jim Eglinski:

Permettons à Mme Dabrusin de clarifier ce qu'elle vient de dire. Vos derniers mots étaient « pour possession simple », et je pensais auparavant que vous parliez de quelqu'un qui a une amende en souffrance pour possession simple qui demande l'élimination de l'infraction figurant au dossier. Est-ce autre chose?

Mme Julie Dabrusin:

C'est juste.

M. Jim Eglinski:

Cela va à l'encontre de ce que vous avez dit dans le dernier... parce que vous avez dit...

Mme Julie Dabrusin:

Je ne le crois pas.

L'amende impayée pour possession simple de cannabis ne constitue pas un obstacle à ce que vous puissiez obtenir la suspension de votre casier sous une autre accusation, mais je ne dis pas que nous renonçons de quelque façon que ce soit aux amendes ou à ces autres accusations. Les gens devront satisfaire à toutes les exigences en ce qui concerne ces autres accusations afin d'obtenir une suspension du casier. Tout ce que je dis, c'est que, si l'amende pour possession simple de cannabis est toujours en souffrance, cela ne vous empêchera pas de pouvoir entamer les démarches en vue d'obtenir la suspension de votre casier.

M. Jim Eglinski:

Merci.

Le président:

Cela vous convient-il?

M. Jim Eglinski:

Cela me convient.

Le président:

Très bien. Si cela convient à M. Eglinski, cela doit nous convenir à nous tous.

Je constate qu'il n'y a pas lieu de poursuivre le débat sur l'amendement LIB-2.

(L'amendement est adopté avec dissidence. [Voir le Procès-verbal])

Le président: Nous allons maintenant passer à l'amendement NDP-3.

Monsieur Dubé, je vous en prie.

M. Matthew Dubé:

Merci, monsieur le président.

L'amendement vise à supprimer le mot « uniquement », ce qui signifie que les personnes ayant un casier judiciaire uniquement pour la possession simple de cannabis sont les seules à pouvoir bénéficier de ce processus. Ainsi, même les personnes possédant un casier judiciaire à l'égard d'autres infractions peuvent toujours présenter une demande.

Je pense que cet élément est particulièrement important, encore une fois, conformément à l'objectif du projet de loi. Bien entendu, on ne dit pas que les personnes ne devraient pas purger leur peine, ni se soucier des amendes impayées ni de toute autre infraction commise, mais je ne vois aucune raison... Si nous voulons vraiment accorder une suspension de casier à ces personnes, et si nous croyons vraiment que certaines personnes ont été injustement ciblées par la précédente version de la loi, alors je pense qu'il est logique que tous les Canadiens, qu'ils aient ou non d'autres éléments figurant dans leur casier judiciaire, devraient pouvoir bénéficier de ce processus.

Le président:

Y a-t-il un débat sur l'amendement?

M. Glen Motz:

Monsieur le président, j'aimerais que les fonctionnaires me disent ce qu'ils pensent de la suppression du mot « uniquement » dans ce libellé particulier.

M. Lyndon Murdock:

Merci beaucoup.

D'après ce que nous comprenons de l'amendement proposé, cela aurait essentiellement pour effet de supprimer, en pratique, l'infraction d'une personne concernant le cannabis. Ce serait toujours une suspension du casier, mais cela entraînerait une suspension partielle.

Dans le cas où une personne a commis d'autres infractions, celles-ci resteraient à son dossier et y figureraient. Cela aurait pour effet d'en extraire, pour ainsi dire, l'infraction de possession simple de cannabis. En ce qui concerne la suspension du casier, le processus consiste à suspendre le casier dans son intégralité, et non pas des infractions individuelles.

Le président:

Y a-t-il d'autres interventions?

(L'amendement est rejeté. [Voir le Procès-verbal])

Le président: Nous passons maintenant à l'amendement NDP-4.

Monsieur Dubé, allez-y.

(1605)

M. Matthew Dubé:

Merci, monsieur le président.

Là encore, cela correspond tout à fait à l'élimination des obstacles au processus, à l'élimination de l'obligation de purger une peine ou de payer des frais relatifs à une infraction visée à l'annexe 3 pour être admissible.

Encore une fois, il est assez clair qu'il existe de nombreux obstacles dans le processus, tels que décrits dans la législation, qui empêchent les personnes de présenter une demande. Si ce n'est plus un crime, et si nous voulons vraiment leur offrir un processus accéléré — ce qui, à notre avis, devrait être une radiation automatique, franchement —, il n'y a aucune raison de nous attendre à ce que des personnes purgent leur peine selon les diverses manières prescrites par la loi pour cette même infraction.

Le président:

Souhaitez-vous en débattre? [Français]

M. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, PCC):

C'est la première intervention en français aujourd'hui. Nous allons faire travailler notre personnel.

J'aimerais savoir s'il y a vraiment quelqu'un qui fait de la prison pour possession simple de marijuana. Une personne en prison peut avoir cela dans son dossier, mais il y a beaucoup d'autres choses. Elle n'est donc pas admissible à une suspension de casier judiciaire. [Traduction]

Le président:

Monsieur Murdock, s'il vous plaît.

M. Lyndon Murdock:

Malheureusement — et je peux sans doute laisser la parole à ma collègue de la GRC —, nous n'avons pas cette information pour le moment. [Français]

Mme Amanda Gonzalez (gestionnaire, Service de triage des dactylogrammes civils et Conformité législative, Gendarmerie royale du Canada):

Je ne peux pas vous répondre. Je ne sais pas quelles sont les sentences pour ce genre de situation.

M. Pierre Paul-Hus:

Selon l'amendement présenté, si j'ai bien compris, on permettrait aux gens qui sont déjà en prison de faire une demande de suspension de casier judiciaire. Cependant, cela impliquerait qu'ils sont en prison pour possession simple de cannabis.

Mme Amanda Gonzalez:

Je dirais que c'est rare.

M. Pierre Paul-Hus:

C'est cela.

M. Michel Picard (Montarville, Lib.):

L'article ne peut pas être appliqué de façon unilatérale au Canada. Le paiement des amendes dans certaines zones de responsabilité est de compétence provinciale. Donc, on ne peut pas appliquer au fédéral l'imposition d'amendes qui sont gérées par les provinces en ce moment. [Traduction]

Le président:

Y a-t-il des commentaires au sujet de l'observation de M. Picard?

M. Lyndon Murdock:

Je suis désolé. En fait, je ne l'ai pas entendue. Elle m'a échappé.

M. Michel Picard:

Vous ne pouvez pas appliquer la loi lorsque l'amende est administrée par une province. On ne peut pas l'appliquer partout de la même façon, car une partie de la loi — les amendes, par exemple — est administrée par le Québec... Quelle est l'autre province?

M. Lyndon Murdock:

C'est le Nouveau-Brunswick.

M. Michel Picard:

On ne peut rien faire à ce sujet.

Le président:

Y a-t-il d'autres interventions sur la motion NDP-4?

(L'amendement est rejeté. [Voir le Procès-verbal])

Le président: Dans l'amendement PV-1, il y a un conflit de ligne avec l'amendement NDP-4.

Madame May, je suppose que vous souhaitez parler de l'amendement PV-1.

Mme Elizabeth May (Saanich—Gulf Islands, PV):

Oui. Vous vous rappellerez, monsieur le président, que je suis ici à cause de la motion adoptée par le Comité, selon laquelle je ne suis pas autorisée à voter ou à faire avancer des choses. La seule chose que je suis autorisée à faire est de suivre vos directives afin de me présenter dans le temps imparti et de parler de mes amendements. Je souhaite en parler.

Le président:

Vous l'avez rappelé au Comité à plusieurs reprises.

Mme Elizabeth May:

J'aime que cela soit consigné au compte rendu, car j'espère qu'après les prochaines élections, aucun député dans ma position ne sera jamais soumis aux motions qui ont été adoptées par le dernier gouvernement et celui-ci.

Quoi qu'il en soit, après les élections, nous aurons plus de 12 députés. Je ne serai donc pas soumise à cette formalité, mais ce n'est ni juste ni gentil pour un parti plus petit.

Voici l'amendement. C'est très clair. Je pense que vous avez tous entendu les témoignages, et je suis sûre que vous comprenez les préoccupations de l'Association des femmes autochtones du Canada et de la Campaign for Cannabis Amnesty, selon lesquelles les personnes que nous essayons d'aider avec ce projet de loi pourraient être désavantagées, car elles seront au milieu de leur peine. Elles n'auront pas été en mesure de payer leurs amendes et ne pourront donc pas présenter de demande, car les délais, au sens de la loi actuelle, sont tels qu'une personne est inadmissible à présenter une demande de suspension du casier avant l'expiration de sa peine, y compris le paiement d'une amende.

L'amendement que je présente ici, PV-1, consiste à dire que nous changerions cela pour « que la peine imposée à l'égard de l'infraction » ou « le paiement d'une amende, soit expirée ou non ».

Je vous remercie, monsieur le président.

(1610)

Le président:

Y a-t-il un débat?

(L'amendement est rejeté. [Voir le Procès-verbal])

Le président: Monsieur Eglinski, la parole est à vous.

M. Jim Eglinski:

Merci.

Mon amendement consiste essentiellement à modifier l'article 4 du projet de loi C-93 en ajoutant, après la ligne 12, à la page 2, ce qui suit: (3.11) La personne qui présente la demande visée au paragraphe (3.1) peut le faire par voie électronique conformément aux règlements pris en vertu de l'alinéa 9.1d).

Dans notre énoncé de mission, ou notre titre, il est écrit « procédure accélérée de suspension de casier judiciaire ». Le moyen le plus rapide de le faire est par voie électronique ou par ordinateur. Selon mes recherches, l'État de Californie a éliminé, en un an, autant de casiers que nous l'a dit M. Broom... L'État a éliminé 250 000 casiers en un an, par voie électronique.

Je me rends bien compte que c'était une radiation, mais je crois que nous ne rendrions pas justice au Comité si nous n'encouragions pas un de nos organismes gouvernementaux à moderniser et à simplifier la façon dont il fonctionne, et à faciliter la tâche de nos clients pour la présentation des demandes. Je pense que si nous utilisions un programme électronique... Il y a des gens qui peuvent les concevoir. Nous devrions encourager nos organismes gouvernementaux à se moderniser et à être aussi efficaces et rapides que possible.

Si nous n'utilisons pas une forme de demande ou de suivi par voie électronique, ce qui peut éliminer une bonne partie du travail initial — par exemple, dire si une personne est admissible ou non — et accomplir une grande partie du travail que nous effectuons actuellement à la main, je pense que nous commettrions une injustice. Tout ce que je dis, c'est de prévoir un article ici qui leur donne l'occasion de regarder à l'externe et d'élaborer un programme susceptible de rendre le processus beaucoup plus bénéfique pour les gens et beaucoup plus rapide pour la GRC et la Commission des libérations conditionnelles en ce qui concerne l'élimination de ces dossiers.

Le président:

Y a-t-il un débat? [Français]

M. Michel Picard:

L'article 3.1 n'est pas limitatif quant à la capacité de présenter une demande. De plus, les aspects logistiques peuvent être traités de façon réglementaire. Cela me paraît donc redondant de parler d'aspect électronique. [Traduction]

Le président:

Y a-t-il des commentaires?

M. David de Burgh Graham (Laurentides—Labelle, Lib.):

J'allais demander s'ils ont même la capacité de recevoir un dossier électronique.

M. Ian Broom:

Actuellement, non.

M. Matthew Dubé:

Je tiens simplement à souligner, aux fins du compte rendu, à quel point je trouve décevant le fait que nous rejetions des amendements parce que nous avons un système rétrograde qui est clairement inadéquat. Très franchement, je pense que c'est tellement simple: il s'agit des éléments de base pour rendre ce système accessible, et nous ne faisons que jeter l'éponge parce que nous ne sommes pas au XXIe siècle quant à la façon dont ces choses fonctionnent. C'est ahurissant.

Je tenais à le dire, aux fins du compte rendu, tout en remerciant mon collègue de son amendement et en lui apportant mon soutien.

M. Glen Motz:

Je suis d'accord avec M. Dubé.

Je m'interroge sur le silence à ce sujet. Cela signifie-t-il que, si nous utilisions la technologie actuelle, nous pourrions le faire, même si vous ne le mentionnez pas catégoriquement ici? Pouvons-nous continuer à l'appliquer ultérieurement advenant que l'on puisse demander la suspension du casier par voie électronique dans, disons six mois ou un an, si le projet de loi était adopté à la Chambre?

Le président:

Allez-y, monsieur Broom.

M. Ian Broom:

Ce dont je pourrais parler, c'est de l'aspect opérationnel de cet amendement proposé. Il y a deux éléments ici.

Le premier est la possibilité de recevoir des demandes électroniques, ce qui pourrait inclure les documents justificatifs qui seraient utilisés pour déterminer l'admissibilité à quelque régime que ce soit, en l'occurrence, le processus accéléré de suspension du casier pour la possession simple de cannabis.

Le deuxième aspect est que les renseignements que la Commission des libérations conditionnelles du Canada utiliserait pour vérifier l'admissibilité relèvent de tiers. Nous devrions donc également prendre en considération les moyens d'authentifier les documents que nous recevrions, par exemple, des tribunaux et des services de police à l'extérieur du Répertoire national des casiers judiciaires.

(1615)

M. Glen Motz:

Alors, pour le greffier législatif, ma question porte davantage sur... Les tribunaux acceptent maintenant les versions électroniques de documents qui portent le timbre de services de police ou de palais de justice. Ils sont considérés comme légitimes. Je ne vois pas cela comme un obstacle du tout.

Ce que je demande plus précisément concerne le libellé utilisé. Si nous ne le mentionnons pas expressément, comme le permet l'amendement de M. Eglinski, et nous n'en avons pas parlé, cela exclura-t-il la possibilité de le faire, si jamais cela devenait possible?

Le président:

Êtes-vous en mesure de répondre?

M. William Stephenson:

Non, malheureusement.

M. Jim Eglinski:

Monsieur le président, j'aimerais formuler un commentaire. Lorsque la Californie a décidé d'adopter son système, elle est allée au-delà de son organisme et a eu recours à trois différents soumissionnaires pour établir des programmes. Je crois comprendre que le programme de l'un des soumissionnaires est maintenant très élaboré et qu'il peut fonctionner avec un certain nombre de programmes différents à l'échelle internationale.

Tout ce que je demande, c'est qu'on examine cette manière de faire et qu'on ne la néglige pas, car elle existe. Si nous faisons simplement attendre, nous ne rendons pas justice à personne. Nous pouvons écrire tout ce que nous voulons ici, mais nous n'allons pas plus loin ni plus vite. Essayons d'accélérer les choses. Tout ce que je dis, c'est que nous devons examiner les moyens électroniques et voir s'ils peuvent aider votre organisme à être plus moderne.

Nous pouvons faire comme on faisait à l'époque de l'ancien CIPC, c'est-à-dire tout consigner à la main et transmettre les renseignements. Le CIPC a modernisé les choses pour nous à la GRC. Ce que je vous demande, c'est de moderniser votre organisme afin d'aider ces personnes en accélérant un peu le processus.

Le président:

Laissez-moi inverser la question. Si l'amendement n'est pas adopté, cela vous oblige-t-il à continuer de faire les choses de la même manière?

Mme Brigitte Lavigne (directrice, Clémence et suspension du casier, Commission des libérations conditionnelles du Canada):

La Commission des libérations conditionnelles du Canada est disposée à chercher des manières de moderniser le processus de demande de suspension de casier. Chose certaine, avant de nous doter d'une application électronique ou numérique ou de prendre de telles mesures, il nous faudra tenir une consultation et évaluer les répercussions ainsi que les ressources disponibles.

Le président:

Si votre consultation se déroulait bien et que les ressources étaient disponibles, seriez-vous en mesure de le faire que l'amendement soit adopté ou non?

Mme Brigitte Lavigne:

Il est certain que si nous avions des moyens convenables de créer un système plus moderne, nous serions ouverts à ce genre de choses.

M. Michel Picard:

Si c'est possible, j'aimerais bien inviter mon collègue à modifier son amendement et à en faire une recommandation à mettre en œuvre après l'adoption du projet de loi, afin de porter à l'attention du gouvernement le fait que, en plus de notre amendement, une telle recommandation devrait être prise en considération afin que l'on puisse aller de l'avant et moderniser le système.

Le président:

Monsieur Eglinski, voulez-vous répondre à la suggestion de M. Picard?

M. Jim Eglinski:

D'en faire une recommandation?

Je pense que nous sommes d'accord pour travailler avec le Comité, si nous n'adoptons pas l'amendement ici, afin d'en faire une recommandation, de façon à fournir au gouvernement les outils nécessaires à l'avenir pour...

Le président:

Vous aimeriez que, en marge du projet de loi, le Comité rédige un rapport dans lequel il recommande d'adopter ces mesures le plus rapidement possible. Est-ce exact?

M. Jim Eglinski:

Pourquoi la recommandation ne peut-elle pas faire partie du rapport?

Le président:

Elle ferait partie du rapport, oui.

M. Jim Eglinski:

Oui, d'accord.

(1620)

M. Glen Motz:

Si je comprends bien, vous ne pouvez pas accepter la proposition en tant qu'amendement au projet de loi, mais vous accepteriez la recommandation?

M. Michel Picard:

Encore une fois, c'est pour des questions de logistique, mais l'idée est bonne, car elle peut être réalisée. Intégrons-la au rapport.

M. Jim Eglinski:

Nous suggérons de voter sur l'amendement. S'il est rejeté, nous allons le proposer en tant que recommandation. Nous aimerions que cela figure au compte rendu, s'il vous plaît.

Le président:

Y a-t-il d'autres interventions au sujet de l'amendement de M. Eglinski?

(L'amendement est rejeté.)

M. Jim Eglinski:

Monsieur le président, à ce stade-ci, j'aimerais prendre cette motion et travailler avec le Comité pour l'inclure en tant que recommandation à notre rapport, afin que nous puissions donner à la Commission des libérations conditionnelles du Canada l'occasion de se pencher sur la question et de chercher des techniques plus modernes.

Le président:

À titre de président, je dois dire que cela est tout à fait cohérent avec les témoignages que nous avons entendus, et je dois également exprimer une frustration. Quel est le but de ces audiences si les choses n'avancent pas? Nous essayons de rendre la vie de nos citoyens un peu plus facile, et cela ne semble pas juste quand les fonctionnaires viennent ici nous dire: « Eh bien, nous ne pouvons pas le faire. » Cela ne semble pas juste.

Quoi qu'il en soit, c'est beaucoup trop de commentaires de la part du président. C'est assez.

Nous en sommes maintenant à l'amendement NDP-5.

Monsieur Dubé, vous avez la parole.

M. Matthew Dubé:

Merci, monsieur le président.

L'amendement viendrait supprimer les lignes 28 à 30, page 2, lesquelles concernent le fardeau. Elles sont ainsi libellées: La personne visée au paragraphe (3.1) a le fardeau de convaincre la Commission qu'elle a été condamnée uniquement pour une infraction visée à ce paragraphe.

Encore une fois, cela va dans le même sens que ce que nous avons entendu pendant les témoignages et ce qui a été dit aujourd'hui — et aucun appui n'est malheureusement offert à cet égard —, soit le fait que ces personnes se trouvent parfois loin des centres où elles peuvent faire vérifier leurs empreintes digitales et leurs antécédents et obtenir les éléments dont elles ont besoin pour satisfaire à ces exigences. Nous parlons des gens qui... Nous parlons d'un processus qui est censé être « sans frais », mais on nous a dit à maintes reprises qu'il y avait en fait des frais connexes.

Une grande partie de ces frais, indépendamment de ce qui figure dans le projet de loi, sont attribuables à tous les documents justificatifs qu'il faut fournir et ainsi de suite. Il s'agit d'un processus non seulement fastidieux, mais également coûteux pour des gens qui, en toute franchise, seront exploités par de mauvais joueurs cherchant à leur offrir leurs services, ou qui ne savent tout simplement pas où chercher, sans égard aux bonnes intentions que pourrait avoir le ministère à l'égard d'une publicité quelconque qu'il a en tête, ce qui n'est pas clair non plus à la suite des audiences.

Encore une fois, si nous décidons de continuer d'utiliser ce processus de suspension de casier non automatique, eh bien je pense que nous pourrions, à tout le moins, alléger le fardeau un peu avec un amendement comme celui-ci.

Le président:

Il ne semble pas y avoir d'autres commentaires.

(L'amendement est rejeté.)

(L'article 4 modifié est adopté avec dissidence.)

(Article 5)

Le président:

Nous en sommes maintenant à l'article 5. Madame Sahota, voulez-vous nous parler de l'amendement LIB-3, s'il vous plaît?

Mme Ruby Sahota (Brampton-Nord, Lib.):

L'amendement propose que le projet de loi C-93, à l'article 5, soit modifié par substitution, à la ligne 3, page 3, de ce qui suit: suspendu à l'égard d'une infraction lorsque, sans tenir compte des infractions visées à l'annexe 3, elle est

Essentiellement, l'amendement fait en sorte que, pour les personnes ayant commis des infractions criminelles qui cherchent à obtenir un pardon pour ces infractions — je ne parle pas de cannabis — et qui ont commis une infraction de possession de cannabis, la possession de cannabis ne soit pas considérée comme une mauvaise conduite. Essentiellement, cela irait à l'encontre de notre objectif de dire que le cannabis est maintenant légalisé et qu'il faut commencer par éliminer ces infractions de possession simple de cannabis.

Ce serait très nuisible de prendre ces infractions en considération alors que des personnes sont aux prises avec d'autres condamnations pour lesquelles elles essaient d'obtenir le pardon. Ces personnes ont respecté les délais et payé les frais — toutes ces choses —, mais il y a cette infraction de possession de cannabis qui remonte peut-être à quelques années. On considère alors qu'il s'agit d'une mauvaise conduite, et ces personnes ne peuvent être pardonnées pour les autres condamnations à cause de cela.

Voilà mon explication.

(1625)

Le président:

Y a-t-il d'autres interventions?

(L'amendement est adopté avec dissidence.)

Le président:

Nous avons maintenant l'amendement NDP-6, inscrit au nom de M. Dubé.

M. Matthew Dubé:

Merci, monsieur le président.

Cet amendement ressemble à l'amendement NDP-3. Il vise lui aussi à faire en sorte que les personnes qui ont d'autres condamnations dans leur casier judiciaire puissent tout de même obtenir une suspension de casier pour leurs infractions de possession simple de cannabis. Encore une fois, peu importe les autres infractions commises, cela me semble tout simplement étrange qu'il y ait deux poids, deux mesures; pour certaines personnes, c'est acceptable, car la marijuana est maintenant légale, mais pour d'autres, ce n'est pas acceptable.

Je le répète: l'amendement vise simplement à mettre un terme à ce régime de deux poids, deux mesures, particulièrement pour les personnes qui peuvent avoir commis d'autres infractions relativement mineures. Ces personnes en particulier figurent parmi les personnes les plus pénalisées par l'approche mise de l'avant dans le projet de loi.

Le président:

Il ne semble pas y avoir d'autres interventions au sujet de l'amendement NDP-6.

(L'amendement est rejeté. [Voir le Procès-verbal])

Le président: Nous avons maintenant l'amendement NDP-7.

L'idée ici, c'est qu'il dépasse la portée du projet de loi puisqu'il vise à modifier les peines, ce qui n'est pas un concept prévu dans le projet de loi.

Quelqu'un veut-il contester la décision de la présidence? Cela semble être à la mode ces jours-ci.

Des voix: Ha, ha!

Le président: Monsieur Dubé, vous avez la parole.

M. Matthew Dubé:

Ce n'est rien de personnel, monsieur le président, mais je vais contester la décision, car je crois que les peines sont directement liées au processus de demande de suspension de casier. Je pense que, si vous parlez d'offrir un processus accéléré — ce que le projet de loi propose, dans son titre et dans son résumé —, les membres de tous les côtés et les témoins ont énoncé clairement que toute peine qui n'a pas été purgée constitue un obstacle à la rapidité de ce processus et à la capacité de le mettre en œuvre.

L'amendement vise à annuler « toute peine qui a été imposée à l'égard de cette infraction si la date de l'ordonnance précède l'expiration légale de la peine ». Encore une fois, il s'agit simplement d'éliminer certains de ces obstacles.

Sans que ce soit personnel, je vais contester la décision du président à cet égard et demander un vote par appel nominal.

Le président:

D'accord. Ce n'est pas une motion pouvant faire l'objet d'un débat.

(La décision de la présidence est maintenue par 8 voix contre 1.)

Le président:

Sur ce, nous en sommes à l'amendement PV-2.

Mme Elizabeth May:

Merci, monsieur le président.

Cet amendement sera très simple à présenter, car la justification correspond à celle que j'ai présentée à l'égard...

Le président:

Dans le même ordre d'idées, si nous avons décidé que l'amendement NDP-7 n'était pas recevable, il en va de même pour l'amendement PV-2.

Mme Elizabeth May:

Il n'est pas recevable parce qu'il...?

Le président:

Il vise à modifier les peines. C'est le même concept.

Mme Elizabeth May:

Oui. Eh bien, c'est un effort de bonne foi pour vous faire revenir sur votre décision.

Le président:

Compte tenu de votre position, que vous nous avez rappelée de nombreuses fois, vous n'avez pas le pouvoir de contester la décision du président.

Mme Elizabeth May:

Je ne peux contester la décision du président, ni retirer mon propre amendement, ni faire vraiment autre chose, sauf me présenter lorsqu'il le faut, d'après la motion que vous avez adoptée.

Le président:

Oui.

Mme Elizabeth May:

Et voilà. Merci beaucoup, monsieur le président.

Le président:

C'était vraiment un moment touchant. Je vous en remercie.

Mme Elizabeth May:

Je peux le rendre encore plus poignant si vous voulez.

Le président:

Ma palette d'émotions est limitée, comme le dirait mon épouse.

Des voix: Ha, ha!

Mme Elizabeth May:

Je pense que vous avez couvert toute la gamme de A à B.

Le président:

Sur ce, nous en sommes maintenant à l'amendement PV-3.

Mme Elizabeth May:

Merci.

Pour celui-là, je crois que, à mesure que nous avons progressé, nous avons tenu des discussions, et je tiens à reconnaître que nous avons peut-être un moyen de procéder qui permettra à l'amendement d'être adopté. Au lieu de prendre du temps maintenant pour discuter de la façon dont nous allons gérer l'exception à la révocation et les dossiers exemptés, je vais demander à Mme Dabrusin si elle veut intervenir dès maintenant, car je pense que nous avons une approche commune.

(1630)

Mme Julie Dabrusin:

Merci. Je vous en suis reconnaissante.

Je vais laisser Mme May parler des motifs qui sous-tendent cet amendement et sa raison d'être, mais nous craignons que le libellé actuel soit beaucoup trop vaste et qu'il s'applique à des condamnations qui vont bien au-delà de la possession simple de cannabis.

J'aimerais proposer un sous-amendement à l'amendement PV-3, qui se lit comme suit: (1.2) La suspension d'un casier ordonné en vertu du paragraphe (1.1) ne peut être révoquée par la Commission en vertu de l'alinéa 7b).

C'était très éloquent, n'est-ce pas?

Le président:

Oui.

En avons-nous une copie papier que nous pouvons distribuer?

Mme Julie Dabrusin:

Oui. Une copie est en train d'être distribuée.

Le président:

Est-elle dans les deux langues officielles?

Mme Julie Dabrusin:

Oui.[Français]

Je peux lire le texte proposé en français si vous le voulez.

(1.2) La suspension d'un casier ordonnée en vertu du paragraphe (1.1) ne peut être révoquée par la Commission en vertu de l'alinéa 7b). [Traduction]

Le président:

Le débat porte sur le sous-amendement.

Mme Elizabeth May:

Encore une fois, puisque Julie me laisse le soin d'expliquer la logique qui sous-tend cette proposition — et cela a été mentionné dans les témoignages présentés devant le Comité, plus particulièrement par Solomon Friedman, qui représente les avocats criminalistes —, il est vraiment injuste que certaines personnes aient une épée de Damoclès au-dessus de la tête sous forme d'un casier judiciaire pour une infraction qui n'en est plus une. L'amendement retire l'exigence de prouver la bonne conduite et d'obtenir la suspension en premier lieu.

Ce sous-amendement le complète. Je suis très heureuse que nous ayons trouvé une solution pour peaufiner le libellé de mon amendement.

Merci beaucoup.

M. Matthew Dubé:

Je propose un amendement semblable — le NDP-9 —, qui est ainsi libellé: La Commission ne peut révoquer la suspension du casier judiciaire à l'égard d'une infraction visée à l'annexe 3 pour un motif visé à l'un ou l'autre des alinéas 7a) ou b).

Comme nous ne faisons que commencer à aborder cette question et que nous ne pouvons pas l'étudier en entier, je me demande, tout d'abord, quelles sont les conséquences du fait que l'annexe 3 n'est plus mentionnée — alors qu'il l'est dans mon amendement et dans celui de Mme May — et, ensuite, pourquoi nous mentionnons exclusivement l'alinéa 7b) dans ce sous-amendement. Dans le mien, je mentionne également l'alinéa 7a).

Je me demande si quelqu'un peut m'expliquer pourquoi...

Le président:

Je ne le peux pas, mais je veux m'assurer que nous procédons dans l'ordre.

M. Matthew Dubé:

Bien sûr.

Le président:

Quand nous serons rendus à l'amendement NDP-9, je suis certain que vous souhaiterez soulever exactement cette question, mais je...

M. Matthew Dubé:

Eh bien, j'essaie simplement de...

Le président:

Pour l'instant, la seule chose qui rendrait votre intervention pertinente serait que l'amendement soit corrélatif.

Laissez-moi simplement demander au greffier si, advenant que le sous-amendement et l'amendement du Parti vert soient adoptés, cela aura des conséquences corrélatives sur tout autre...

M. William Stephenson:

Comme ils s'attaquent au même problème, oui, ils sont interreliés.

Le président:

D'accord, alors est-il approprié que nous les examinions les deux ensemble, ou bien devrions-nous simplement nous en tenir à l'ordre qui était prévu?

M. William Stephenson:

Je pense qu'il serait logique que l'on réponde au moins à la question posée par M. Dubé, puis nous verrons comment il pourra procéder à ce moment-là.

Le président:

D'accord.

Je vois Mme Dabrusin lever la main, mais je comprends l'observation formulée par le greffier, c'est-à-dire qu'il pense que nous devrions répondre dès que possible à la question de M. Dubé.

Mme Julie Dabrusin:

Si je peux me permettre, le greffier législatif peut formuler des conseils, mais je crois savoir que les amendements PV-3, NDP-8, CPC-2, NDP-9 et NDP-10 visent tous à... L'amendement NDP-10 ne concorde peut-être pas après la ligne 10, mais chacun des autres que j'ai mentionnés, jusqu'à NDP-9, semble modifier la même chose.

Si nous le faisons une fois, pouvons-nous continuer à le faire dans le cas des autres amendements, ou bien devons-nous...

(1635)

Le président:

Il faut probablement que ce soit dans chaque cas, selon moi, mais je vais laisser le greffier répondre.

M. William Stephenson:

Dans ce cas-ci, vous pourriez l'ajouter par la suite. Nous pourrions débattre de ce qui restera de l'amendement de M. Dubé. Si nous examinons l'alinéa 7b) et que M. Dubé voudrait que nous examinions l'alinéa 7a), nous pourrions le faire, mais, théoriquement, il serait logique d'aborder les questions en même temps.

Le président:

D'accord, alors nous pouvons l'aborder théoriquement, mais je préférerais que nous le fassions de façon séquentielle au moment où nous arriverons à l'amendement visé.

M. William Stephenson:

C'est logique.

Le président:

Est-ce acceptable?

Monsieur Paul-Hus, qu'en dites-vous? [Français]

M. Pierre Paul-Hus:

Je suis d'accord avec vous, monsieur McKay.

J'aimerais avoir l'avis de nos experts parce que nous avons trois amendements qui touchent l'alinéa 7b): l'amendement proposé par Mme May, celui des libéraux, qui proposent une reformulation de la disposition, et celui de M. Dubé, qui y inclut l'alinéa 7a). Je n'ai pas le texte en main, mais cela peut influer sur le processus de façon importante. Il s'agit juste de voir si nous voulons procéder par étape et revenir par la suite à l'amendement de M. Dubé ou procéder globalement.

Est-ce bien la question, Monsieur Dubé? [Traduction]

Le président:

Je veux procéder étape par étape, alors... [Français]

M. Pierre Paul-Hus:

J'ai besoin de le savoir. [Traduction]

Le président:

Ce dont nous débattons actuellement, c'est le sous-amendement de l'amendement de Mme May. Limitons le débat à cela pour l'instant.

Monsieur Dubé, cette idée ne vous plaît-elle pas?

M. Matthew Dubé:

Je n'ai pas soulevé la question pour que nous débattions de mon amendement; je voulais simplement illustrer les questions que je me pose au sujet de ce nouveau libellé qui a été présenté et dont nous débattons actuellement.

Le président:

Théoriquement, je comprends. Toutefois, conformément au Règlement, nous passons du sous-amendement à l'amendement. Si nous adoptons l'amendement, les personnes qui sont en faveur du sous-amendement...

M. Matthew Dubé:

Voilà où je voulais en venir. Avant que nous mettions le sous-amendement aux voix, j'ai des questions à son sujet qui sont encore sans réponse.

Le président:

D'accord.

M. Matthew Dubé:

Autrement dit, ma question portait sur le retrait des mots « annexe 3 ». Qu'est-ce que cela change? Mme May et moi-même... voilà pourquoi j'ai mentionné mon projet de loi. Je dirai seulement qu'avant le sous-amendement, l'amendement PV-3 mentionnait l'annexe 3 et que, maintenant, il est question de...

Je parcours le projet de loi et le paragraphe en question. S'agit-il simplement de l'épurer, ou bien cette modification a-t-elle réellement des conséquences sur les infractions qui sont visées?

Le président:

C'est une question légitime.

Tout d'abord, laissez-moi simplement voir si les fonctionnaires ont un avis quant aux conséquences du sous-amendement sur l'amendement PV-3.

M. Lyndon Murdock:

Le sous-amendement a essentiellement pour effet de garantir que les suspensions de casier qui ont été accordées ne pourront pas être révoquées pour des raisons liées à la bonne conduite, mais il s'appliquera exclusivement aux condamnations pour possession de cannabis.

La portée de l'amendement PV-3 initiale était plus vaste et aurait pu entraîner la révocation partielle, dans le cas où une personne, encore une fois, aurait pu faire appliquer l'interdiction de révocation — si on veut — au cannabis, mais tout de même voir la suspension de ses autres infractions révoquée.

Le président:

Par ce que je crois comprendre, la préoccupation tient au fait que, si on adopte cet amendement maintenant, d'autres seront proposés tout au long du processus, lesquels auront des conséquences. Les fonctionnaires ont-ils des préoccupations à cet égard?

L'autre question concerne la meilleure façon de procéder.

Laissez-moi céder la parole au greffier, puis nous verrons si nous pouvons régler ce problème.

M. William Stephenson:

D'un point de vue procédural, actuellement, nous débattons du sous-amendement, et nous ne pouvons en examiner qu'un seul à la fois. Nous pourrions nous pencher sur le sous-amendement et, si M. Dubé le veut, il pourrait proposer un autre sous-amendement après le vote afin de le modifier davantage, de sorte qu'il corresponde à l'amendement NDP-9, ou bien nous pouvons procéder au débat sur l'amendement NDP-9.

(1640)

M. Matthew Dubé:

Je ne vois pas d'inconvénient à débattre de mes motions dans l'ordre où elles seront présentées. Encore une fois, monsieur le président, je m'excuse. Mon intention n'est pas d'enfreindre le Règlement. J'essaie seulement de comprendre l'idée.

Nous parlons du paragraphe (1.1) proposé, lequel renvoie au paragraphe 4(3.1) proposé. Si on retourne à cette disposition, je pense que c'est celle qui concerne l'« infraction visée à l'annexe 3 », si je comprends bien le projet de loi.

Avec votre permission, monsieur le président, je veux clarifier la réponse qui a été donnée et comprendre. Lorsque nous disons que d'autres dossiers seraient partiellement suspendus... Je m'excuse. Je ne suis pas tout à fait certain de savoir quelle aurait été la conséquence du libellé initial de l'amendement de Mme May, qui mentionnait l'annexe 3 au sens large.

Le président:

Monsieur Broom, voulez-vous répondre à cette question?

M. Ian Broom:

Bien sûr, je peux y répondre.

Le libellé actuel de l'amendement, sans le sous-amendement, signifierait que la disposition serait un peu difficile à mettre en œuvre, étant donné que la Loi sur le casier judiciaire et les activités de la CLCC dépendent de mesures prises à l'égard de l'ensemble du dossier du prévenu. Le problème tiendrait au fait que, si l'amendement était adopté, le sous-amendement réduirait sa portée d'une manière à ce qu'il n'y ait d'incidence que sur les condamnations pour possession simple de cannabis.

Nous ne nous retrouverions pas dans la situation où, si le prévenu avait une bonne conduite, son casier serait révoqué, alors que si une autre infraction s'ajoutait à celle de possession simple de cannabis, deux mesures distinctes seraient prises. D'une part, il n'y aurait aucune conséquence et, d'autre part, il y en aurait.

Ce serait problématique pour nous parce que nous n'aurions pas affaire au casier judiciaire dans son ensemble, dans une telle situation. Toutefois, si on réduisait la portée aux casiers judiciaires qui ne reposent que sur des condamnations pour possession simple de cannabis, ce serait conforme au cadre de la Loi sur le casier judiciaire pour ce qui est de traiter le dossier en entier.

Le président:

Cette réponse vous va-t-elle?

M. Matthew Dubé:

Seulement pour m'assurer que je comprends bien: autrement dit, cela signifierait l'exclusion des personnes qui ont un casier judiciaire pour d'autres infractions?

M. Lyndon Murdock:

Oui.

M. Matthew Dubé:

D'accord.

Monsieur le président, j'aimerais tout simplement souligner officiellement que la précision est importante dans le cadre du débat parce que, encore une fois, on en revient à l'esprit que je voudrais que le projet de loi ait, c'est-à-dire — et c'était le but des amendements que j'ai présentés précédemment — qu'il fasse en sorte que les personnes qui ont commis d'autres infractions soient en mesure d'accéder à ce processus. Je ne veux pas parler pour Mme May, mais j'imagine que ses intentions étaient peut-être semblables en ce qui a trait à la façon dont nos amendements ont été rédigés. Il s'agit d'une distinction importante, à mes yeux, alors la précision a été utile.

Mme Julie Dabrusin:

Si je puis apporter une précision, je crois comprendre que, selon la façon dont fonctionnerait l'amendement du NPD, effectivement, les meurtriers inculpés pour possession simple seraient dans une meilleure position que ceux qui n'ont pas été reconnus coupables de cette infraction, au moment où ils tenteraient d'obtenir... C'est effectivement pour cette raison que nous ne pouvons pas accepter cet amendement.

Le président:

Comme ce débat est épuisé, mettons le sous-amendement de Mme Dabrusin aux voix.

(Le sous-amendement est adopté.)

(L'amendement modifié est adopté. [Voir le Procès-verbal]

Le président: L'amendement PV-3 modifié est adopté, et nous étudions maintenant l'amendement NDP-8.

Encore une fois, on m'a remis une note au sujet de sa recevabilité. Elle vise l'octroi de la suspension du casier pour des infractions qui ne figurent pas dans le projet de loi.

M. Matthew Dubé:

Il s'agit en fait d'une recommandation qui a été faite par un certain nombre de témoins. Elle concernait des infractions relatives à l'administration de la justice liées à des infractions visées à l'annexe 3. Autrement dit, pour donner un exemple qui a été utilisé au sein du Comité, si un Autochtone est incapable de comparaître devant le tribunal pour une diversité de considérations d'ordre géographique et qu'il s'agit d'une comparution liée à l'infraction, nous suspendrions également cette infraction.

Encore une fois, il me semble étrange que nous voulions réparer ce qui est censé être les torts que ces personnes ont subis, puis que nous ne puissions pas le faire, car nous les obligeons à continuer d'avoir d'autres éléments dans leur casier judiciaire qui leur causeront inévitablement des problèmes. Honnêtement, les personnes qui auraient besoin de la réparation que le projet de loi vise à offrir ne seront pas vraiment nombreuses à l'obtenir. Encore une fois, je contesterai la décision, avec tout le respect que je dois au président.

(1645)

Le président:

Je commence à me sentir mal à ce sujet.

(La décision de la présidence est maintenue par 8 voix contre 1.)

Le président:

C'est une autre victoire éclatante du président.

Nous allons maintenant passer à M. Motz et à l'amendement CPC-2; vous avez la parole.

M. Glen Motz:

Je vous remercie, monsieur le président.

Chers collègues, je propose l'amendement CPC-2 en guise de mécanisme de recours qui permettra au gouvernement de décider qu'il incombe aux demandeurs de prouver les crimes dont ils ont été reconnus coupables. Sous le régime du projet de loi, il incombe aux personnes reconnues coupables de possession mineure de marijuana de prouver qu'elles ont été reconnues coupables uniquement de cet acte criminel. Toutefois, je peux vous dire par expérience, et d'après les témoignages que nous avons entendus devant le Comité, qu'il y aura des personnes dont le casier judiciaire est introuvable, ou a été perdu ou détruit. Dans ces cas-là, elles sont incapables de prouver le bien-fondé de leur cause sans que ce soit de leur faute.

Dans ces situations, je propose un ajout logique qui permettra aux demandeurs de faire la preuve de cette situation et de prêter serment ou de présenter un affidavit expliquant pourquoi c'est le cas. La Commission des libérations conditionnelles pourrait ainsi examiner la demande et enquêter pour déterminer l'admissibilité à ce titre, au lieu de les refuser directement dans ces situations. Dans le but de garantir que toutes les personnes qui sont admissibles pourront accéder au même processus, je propose cet amendement afin d'assurer une certaine équité procédurale.

M. Matthew Dubé:

Comme certains des amendements que j'ai proposés ne sont pas recevables, encore moins adoptés, c'est un bon plan B pour que le processus soit automatique, alors c'est un amendement que j'appuie.

Toutefois, j'aurais peut-être besoin de recevoir des conseils du greffier afin de comprendre pourquoi un processus qui aurait été automatique, comme dans les amendements NDP-1 et NDP-2, et dans le cadre duquel la Commission aurait fait le travail était considéré comme hors de la portée de la Commission et de celle du projet de loi, alors que, dans le cas présent, les déclarations solennelles font en sorte que la Commission mène des enquêtes pour déterminer si les conditions ont été respectées. Cet amendement ne va certainement pas aussi loin, mais il semble néanmoins avoir le même objectif. Je ne veux pas porter malheur à l'amendement — je suis heureux qu'il soit recevable —, mais j'ai de la difficulté à comprendre la distinction entre les deux.

Le président:

Vous vous demandez ce qui suit : si votre amendement allait au-delà de la portée du projet de loi, alors pourquoi ce n'est pas le cas de celui-ci?

M. Matthew Dubé:

Quel est le seuil pour ordonner à la Commission de faire du travail supplémentaire?

M. William Stephenson:

Dans le cas présent, l'amendement porte davantage sur les paramètres et les enquêtes que mènerait la Commission. D'après ce que nous savons et à notre connaissance, elle a déjà le pouvoir de mener des enquêtes afin de déterminer si la personne s'est bien conduite... et toutes ces choses-là. En ce sens, l'amendement diffère un peu des autres parce qu'il touche les paramètres qui font déjà partie de la portée du projet de loi — lorsqu'il s'agit d'une demande de suspension, la responsabilité du demandeur est assez limitée — en comparaison des autres amendements qui sont un peu plus comme de nouveaux modèles ou mécanismes dans le projet de loi.

(1650)

M. Michel Picard:

J'aimerais que nous prenions une pause de trois minutes afin de discuter un peu plus en détail de cette question d'ordre technique. Nous aimerions en parler davantage.

Le président:

Je crois que nous pouvons prendre une pause de trois minutes.

Sur ce, je suspends la séance pour trois minutes.

(1650)

(1650)

Le président:

Chers collègues, reprenons nos travaux.

Monsieur Picard, voulez-vous dire quelque chose?

M. Michel Picard:

Non.

Le président:

D'accord. Y a-t-il d'autres commentaires sur l'amendement CPC-2?

Un député: Pourrions-nous procéder à un vote par appel nominal?

Le président: C'est ce que nous allons faire.

(L'amendement est adopté par 9 voix contre 0. [Voir le Procès-verbal])

M. Glen Motz:

Permettez-moi de prendre en note la date d'aujourd'hui parce que c'est la première fois que cela se produit dans toutes mes délibérations en comité.

Le président:

Je ne sais pas ce que nous allons faire si nous nous entendons tous parfaitement.

Nous sommes rendus à l'amendement NDP-9, dont nous avons déjà discuté.

Monsieur Dubé, voulez-vous proposer l'amendement?

M. Matthew Dubé:

Encore une fois, c'est seulement pour nous assurer de ne pas révoquer la suspension de casier judiciaire si, au bout du compte, l'intention du projet de loi, c'est de permettre aux gens d'aller de l'avant après avoir été reconnus coupables d'une infraction liée à quelque chose qui est maintenant légal.

J'avais une question sur mon propre amendement, si je peux revenir à l'amendement qui a été modifié précédemment, qui était le PV-3. Je ne l'ai pas devant moi, mais j'ai inclus l'alinéa 7a), et le sous-amendement ne mentionnait que l'alinéa 7b).

Quelqu'un peut-il me dire quelle est la distinction entre les deux?

(1655)

Le président:

Monsieur Murdock, voulez-vous répondre?

M. Lyndon Murdock:

L'alinéa 7a) porte sur une personne qui est condamnée à la suite d'une infraction, alors que l'alinéa 7b) traite de la question de la bonne conduite.

M. Matthew Dubé:

Je vous remercie de la précision.

La raison pour laquelle j'étais contre l'amendement qui a été modifié précédemment, c'est en grande partie parce qu'une personne qui obtient une suspension de casier judiciaire pour quelque chose qui est maintenant légal et qui commet un autre crime mérite la peine prévue pour ce crime. Si elle est déclarée coupable, c'est très bien, mais il est difficile de comprendre pourquoi on rétablirait le casier judiciaire de cette personne pour quelque chose qui est maintenant légal.

Que nous aimions ou non ces personnes, que nous approuvions ou non l'acte qui a été commis, le principe veut que ce ne soit plus un crime. Conformément à notre position et à celle de nombre de témoins, la radiation est la façon de procéder. À mon avis, il semble logique que nous n'ajoutions pas une ligne supplémentaire dans le casier judiciaire d'une personne pour quelque chose qui est maintenant légal, mais qui s'est produit lorsque c'était illégal. Le Parlement du Canada a reconnu que ces personnes devraient obtenir plus facilement une suspension de casier judiciaire si le projet de loi est adopté.

C'est un ajout important qui était absent de l'amendement modifié du Parti vert.

Le président:

Y a-t-il d'autres interventions?

(L'amendement est rejeté. [Voir le Procès-verbal])

(L'article 5 modifié est adopté avec dissidence.)

Le président:

Sur ce, je vais devoir céder le fauteuil et demander à M. Paul-Hus de me remplacer. [Français]

Le vice-président (M. Pierre Paul-Hus):

Bonjour, tout le monde.

Nous allons maintenant examiner l'amendement NDP-10 de M. Dubé.

M. Matthew Dubé:

Merci, monsieur le président.[Traduction]

Le NDP-10 vise à... [Français]

Le vice-président (M. Pierre Paul-Hus):

Je voudrais mentionner à mon collègue que, malheureusement, la présidence considère que l'amendement est inadmissible, mais il peut quand même s'expliquer.

M. Matthew Dubé:

Merci, monsieur le président.

La présidence a changé, mais le résultat risque d'être le même.[Traduction]

Pour dire les choses simplement, le NDP-10 porte sur la radiation. Pour les gens qui nous écoutent, je parle de mon échange avec le ministre et de son incapacité à expliquer pourquoi il existe deux poids, deux mesures avec le projet de loi C-66 et celui-ci. Les Canadiens racialisés, les Autochtones et les Canadiens à faible revenu ont tous été ciblés injustement par la loi dans le cas présent. Voilà ce que nous cherchons à corriger. La seule façon dont nous pouvons vraiment corriger cela, c'est avec la radiation.

Le ministre et d'autres fonctionnaires ont parlé de la nécessité d'avoir des documents à la frontière et de choses du genre. Je renvoie mes collègues à l'article sur la destruction ou la suppression du projet de loi C-66. L'article 21 est ainsi libellé: « Il est entendu que les articles 17 à 20 ne s'appliquent pas relativement aux documents soumis ou produits dans le cadre d'une demande présentée en vertu de la présente loi. » Autrement dit, comme l'ont confirmé plusieurs appels que nous avons faits à la Commission des libérations conditionnelles, si une personne perd la confirmation de la radiation de son casier judiciaire, elle peut présenter une demande pour en obtenir une nouvelle. Alors, l'argument du ministre selon lequel il faut ce document magique à la frontière ne tient pas du tout la route.

À mon avis, selon les témoignages des témoins, c'est la bonne façon de procéder. Je crois comprendre que le président a tranché, alors, je voudrais, avec tout le respect que je lui dois, contester sa décision.

(1700)

[Français]

Le vice-président (M. Pierre Paul-Hus):

Je vous remercie de ces explications, monsieur Dubé.

Effectivement, la décision était prise, et je la maintiens.

Puisqu'on le demande, le vote par appel nominal portera sur le maintien de la décision de la présidence.

(La décision de la présidence est maintenue à 7 voix contre 1.)

(Article 6)

Le vice-président (M. Pierre Paul-Hus):

Nous passons à l'article 6 et nous examinons l'amendement CPC-3.

Monsieur Motz, vous avez la parole. [Traduction]

M. Glen Motz:

Merci, monsieur le président.

L'intention du CPC-3, c'est que l'article 6 soit amendé par suppression de l'alinéa b) proposé, qui enlève à la Commission des libérations conditionnelles le pouvoir de faire des enquêtes afin de déterminer la conduite du demandeur depuis la date de sa condamnation.

Les deux prochains amendements ont été proposés. Les amendements CPC-3 et CPC-4 ont été soumis par l'Association canadienne des policiers, qui croit que la Commission des libérations conditionnelles devrait conserver une discrétion et un pouvoir limités pour procéder à des enquêtes, afin que l'on tienne compte du faible nombre de demandes qui seront présentées par des récidivistes et que ces derniers ne profitent pas d'un processus qui n'est clairement pas conçu pour traiter leurs cas.

Comme nous l'a dit le président de l'association, nous savons qu'il y a des situations où des demandes peuvent être présentées par des délinquants qui ont été condamnés pour possession simple à la suite d'une transaction en matière pénale. Si la Commission des libérations conditionnelles avait le pouvoir de se pencher sur ces cas, l'entente avec la Couronne et les tribunaux pourrait entraîner une accusation plus grave. Elles ont peut-être accepté cette entente en supposant qu'il s'agissait d'une condamnation qui serait permanente dans le casier judiciaire de l'accusé, sans quoi elles auraient refusé une accusation pour une infraction moindre.

L'amendement permet simplement de faire cela. [Français]

Le vice-président (M. Pierre Paul-Hus):

Merci, monsieur Motz.

Est-ce matière à débat?[Traduction]

Voulez-vous un vote par appel nominal?

M. Glen Motz:

Oui. [Français]

Le vice-président (M. Pierre Paul-Hus):

D'accord.

(L'amendement est rejeté. [Voir le Procès-verbal])

Le vice-président (M. Pierre Paul-Hus):

Nous passons à l'amendement CPC-4.

Monsieur Motz, vous avez la parole. [Traduction]

M. Glen Motz:

Comme avec le CPC-3, le présent amendement traite directement de la discrétion de la Commission des libérations conditionnelles de déterminer si le fait d'accorder une suspension du casier judiciaire serait susceptible de déconsidérer l'administration de la justice. Je crois que la grande majorité des demandeurs qui présenteront une demande à cet égard sont des citoyens respectueux des lois et n'auront aucun problème à être approuvés par la Commission.

Cela dit, nous devrions quand même laisser la Commission des libérations conditionnelles faire son travail. Si le gouvernement ne croit pas que cela relève du rôle de la Commission, alors il aurait dû présenter une radiation de casier judiciaire au lieu d'une suspension.

Voilà la justification de l'amendement CPC-4.

(1705)

[Français]

Le vice-président (M. Pierre Paul-Hus):

Merci, monsieur Motz.

Nous passons au vote.

(L'amendement est rejeté. [Voir le Procès-verbal])

Le vice-président (M. Pierre Paul-Hus):

En tant que président substitut, vu que les deux motions étaient les miennes, je me permets de simplement rappeler au Comité que l'Association canadienne des policiers nous avait fait ces recommandations. Comme le président habituel le mentionnait, il est important de tenir compte des recommandations de nos témoins et, surtout, de gens comme ceux de l'Association canadienne des policiers.

Nous passons maintenant à l'amendement LIB-4.

Madame Dabrusin, vous avez la parole.

Mme Julie Dabrusin:

Merci.[Traduction]

Il s'agit d'un amendement corrélatif fondé sur les deux ou trois premiers amendements que j'ai proposés afin d'essayer de régler la question des amendes.

C'est un amendement d'ordre technique, alors j'ai pensé qu'il serait préférable de demander aux fonctionnaires de décrire son objectif. Ce sont des aspects techniques qui doivent être mis en place pour permettre l'application.

M. Lyndon Murdock:

Certainement, je suis heureux de le faire.

L'amendement de l'article 6 modifie le projet de loi C-93 pour ajouter le paragraphe 4.2(1.1) proposé. Ce paragraphe précise que les enquêtes de la Commission liées à une bonne conduite et au discrédit ne devraient pas être menées lorsque le demandeur présente une demande de suspension de casier judiciaire en vertu du paragraphe 4(3.1), soit lorsqu'il s'agit seulement d'une condamnation pour possession simple de cannabis.

Le paragraphe proposé précise en outre que ni une possession simple — infractions visées à l'annexe 3 — ni le non-paiement d'amendes et de suramendes compensatoires associées ne seront considérés comme faisant partie des enquêtes de la Commission lorsqu'il y a d'autres condamnations dans le casier judiciaire de la personne. [Français]

Le vice-président (M. Pierre Paul-Hus):

Est-ce tout?

Mme Julie Dabrusin:

C'est tout.[Traduction]

Ce sont des amendements corrélatifs d'ordre technique à ce stade. [Français]

Le vice-président (M. Pierre Paul-Hus):

C'est parfait.

Y a-t-il un débat ou des questions? [Traduction]

M. Jim Eglinski:

Je suis plus mêlé qu'au début, mais ça va aller. [Français]

Le vice-président (M. Pierre Paul-Hus):

D'accord.

Nous passons au vote.

(L'amendement est adopté. [Voir le Procès-verbal])

Le vice-président (M. Pierre Paul-Hus):

Nous passons à l'amendement LIB-5.

Madame Dabrusin, vous avez la parole. [Traduction]

Mme Julie Dabrusin:

J'éprouve beaucoup de plaisir à poursuivre avec des modifications d'ordre technique.

L'amendement vise essentiellement à ce que les amendes puissent encore être imposées même après l'octroi d'une suspension de casier judiciaire. Cela faisait partie de la discussion que nous avons tenue sur le Québec et le Nouveau-Brunswick. Ces provinces ont leurs propres programmes d'amendes, alors cela nous permet d'assurer la cohésion du système. [Français]

Le vice-président (M. Pierre Paul-Hus):

Merci.

Monsieur Motz, vous avez la parole. [Traduction]

M. Glen Motz:

Je suis curieux de savoir si les fonctionnaires ont participé à la rédaction de l'amendement ou s'ils l'ont examiné avant sa présentation.

M. Lyndon Murdock:

Nous n'avons pas participé à la rédaction.

M. Glen Motz:

D'accord, c'était une partie de la question.

L'avez-vous examiné avant sa présentation?

M. Lyndon Murdock:

Non, je n'ai pas examiné l'amendement.

M. Glen Motz:

Y a-t-il des fonctionnaires de votre ministère qui l'ont examiné?

M. Lyndon Murdock:

Je ne peux pas parler au nom des autres, monsieur.

Mme Julie Dabrusin:

Ce que j'essaie de faire est très clair depuis le début. Je tente de présenter un certain nombre d'amendements qui sont tous liés afin que l'on puisse permettre aux gens d'accéder à la suspension de casier judiciaire pour possession simple de cannabis, même s'ils ont peut-être une amende non payée à cet égard. Le problème auquel nous faisons face, c'est que les amendes ne relèvent pas toujours entièrement du fédéral. Nous cherchons à établir qu'on peut présenter une demande et obtenir quand même une suspension de casier judiciaire. Toutefois, l'amende demeure non payée, et il se peut qu'on doive la régler. [Français]

Le vice-président (M. Pierre Paul-Hus):

Merci, madame Dabrusin.

D'autres intervenants souhaitent-ils ajouter quelque chose?

Monsieur Murdock, vous avez la parole. [Traduction]

M. Lyndon Murdock:

Merci.

Pour revenir à la question de M. Motz à savoir si d'autres personnes ont examiné l'amendement, je peux dire que, oui, c'est le cas.

M. Glen Motz:

Merci. [Français]

Le vice-président (M. Pierre Paul-Hus):

Merci.

Qui s'oppose à l'amendement?

Que dites-vous, monsieur Picard?

(1710)

M. Michel Picard:

Est-ce le pour ou le contre en premier?

Le vice-président (M. Pierre Paul-Hus):

Je vais commencer par ceux qui s'y opposent. Je voulais savoir si le système fonctionnait.

Passons au vote.

(L'amendement est adopté. [Voir le Procès-verbal])

(L'article 6 modifié est adopté avec dissidence.)

Le vice-président (M. Pierre Paul-Hus):

Nous passons maintenant à l'article 6.1 et à l'amendement CPC-5.

Je dois avertir le Parti conservateur que cet amendement est inadmissible, car il dépasse la portée du projet de loi.

Mes collègues libéraux vont comprendre que c'est avec plaisir que je dis cela au microphone, aujourd'hui.

Voulez-vous discuter de l'amendement? [Traduction]

M. Jim Eglinski:

J'aimerais seulement poursuivre dans la même veine. Je crois comprendre que nous dépassons peut-être la portée du projet de loi et que nous accordons des pouvoirs où nous ne le pouvons pas, mais, encore une fois, c'est un suivi de ma présentation antérieure et de la recommandation que nous allons formuler à la fin. Nous devons encourager la Commission des libérations conditionnelles à examiner les moyens électroniques permettant d'enregistrer cette information afin de simplifier le processus le plus possible.

Mes recherches montrent qu'il y a des programmes qui répondent aux besoins de nombreuses administrations aux États-Unis. Tout ce que je demande, essentiellement, c'est que nous permettions à la Commission des libérations conditionnelles de retenir de manière proactive les services d'un cabinet ou d'envisager d'utiliser des logiciels de conception afin d'éliminer le problème actuel et de rendre le processus électronique plus convivial et plus rapide. C'était l'idée derrière l'amendement, mais je comprends qu'il y a un coût à cela et que ce n'est pas de notre ressort. [Français]

Le vice-président (M. Pierre Paul-Hus):

Merci, monsieur Eglinski.

(Article 7)

Le vice-président (M. Pierre Paul-Hus): Nous passons à l'article 7.

Comme il n'y a pas d'amendement, nous passons au vote.

(L'article 7 est adopté avec dissidence.)

(Article 8)

Le vice-président (M. Pierre Paul-Hus):

Nous examinons l'amendement LIB-6.

Madame Dabrusin, vous avez la parole. [Traduction]

Mme Julie Dabrusin:

Nous n'avons pas fini de nous amuser.

Je veux seulement que les provinces puissent percevoir les amendes, d'où l'amendement LIB-6. C'est un amendement complémentaire; je devais apporter des modifications corrélatives en lien avec les amendements initiaux que j'avais proposés. [Français]

Le vice-président (M. Pierre Paul-Hus):

Merci, madame Dabrusin.

Puisqu'il n'y a pas d'autres commentaires, nous passons au vote.

(L'amendement est adopté. [Voir le Procès-verbal])

Le vice-président (M. Pierre Paul-Hus):

Nous passons à l'amendement CPC-6.

Monsieur Motz, vous avez la parole. [Traduction]

M. Glen Motz:

Merci, monsieur le président.

Cet amendement mineur concerne un point que ni les fonctionnaires ni le ministre n'ont été en mesure d'éclaircir de façon définitive. Je le présente donc après coup à la Chambre et aux Canadiens.

Quand nous lui avons demandé combien de personnes pourraient tirer parti de ce projet de loi ou combien cela allait coûter, il nous a renvoyés à l'estimation des fonctionnaires, essentiellement. Selon certains chercheurs universitaires, jusqu'à un demi-million de personnes pourraient utiliser cette procédure de suspension de casier judiciaire. Les fonctionnaires, cependant, croient que seulement 250 000 personnes seraient admissibles, et qu'il n'y aura que 10 000 demandes, environ. Si plus de 4 % des gens admissibles décident de présenter une demande, les ressources financières de la Commission des libérations conditionnelles ne suffiront pas, si on se fie aux chiffres qui nous ont été présentés.

Le but de cet amendement est de s'assurer que le processus gratuit de suspension de casier judiciaire pour possession de cannabis n'ait pas de répercussions sur les personnes qui présentent une demande de suspension de casier judiciaire pour d'autres motifs. [Français]

Le vice-président (M. Pierre Paul-Hus):

Merci, monsieur Motz.

Y a-t-il un débat?

C'est trop facile avec moi.

M. Michel Picard:

Non.

M. David de Burgh Graham:

Vous êtes bien efficace.

Le vice-président (M. Pierre Paul-Hus):

Je suis trop efficace.

M. Michel Picard:

Vous êtes trop menaçant, monsieur le président.

Des voix: Ha, ha!

Le vice-président (M. Pierre Paul-Hus):

Nous passons au vote. [Traduction]

M. Glen Motz:

Je demande un vote par appel nominal. [Français]

Le vice-président (M. Pierre Paul-Hus):

D'accord. Nous procédons à un vote par appel nominal.

(L'amendement est adopté par 8 voix contre 0. [Voir le Procès-verbal])

(1715)

Le vice-président (M. Pierre Paul-Hus):

La présidence veut souligner qu'elle est très satisfaite du travail de son comité.

Merci, messieurs et mesdames.

(L'article 8 modifié est adopté avec dissidence.)

(Article 9)

Le vice-président (M. Pierre Paul-Hus):

C'est parfait.

Passons à l'article 9.

(L'article 9 est adopté avec dissidence.)

(Annexe)

Le vice-président (M. Pierre Paul-Hus): Passons au prochain point concernant l'annexe, schedule en anglais. L'amendement LIB-7 est proposé par M. Spengermann.

M. Sven Spengemann (Mississauga—Lakeshore, Lib.):

Merci, monsieur le président.[Traduction]

L'amendement LIB-7 modifie deux alinéas de la même façon afin d'exclure de l'application de la loi les préparations synthétiques semblables au cannabis, qui sont toujours illicites. La loi n'est pas censée s'appliquer à ces substances.

La seule exception à cette exception concerne les substances identiques à celles que produit une plante de cannabis. Cela peut être volontaire ou involontaire, mais...

M. Glen Motz:

Qu'arrive-t-il si ces produits ne peuvent pas être identiques?

M. Sven Spengemann:

C'est ce qui est prévu dans le libellé. Si la substance est identique à un produit de la plante, alors la loi s'applique. Si la substance est synthétique de toute autre façon, elle est exclue. [Français]

Le vice-président (M. Pierre Paul-Hus):

Merci.

Voulez-vous en débattre?

Monsieur Eglinski, vous avez la parole. [Traduction]

M. Jim Eglinski:

Ce qui me préoccupe, c'est que je ne vois pas comment on pourrait en être certain à moins qu'il y ait eu un procès et que des éléments de preuve aient été présentés à ce moment-là. Voulez-vous qu'on épluche les vieux dossiers juridiques pour trouver des éléments de preuve afin de savoir...

M. Sven Spengemann:

Peut-être que les fonctionnaires pourraient nous le dire, mais je tiens pour acquis que, dans le cadre d'un procès, le dossier d'instruction indique la présence des substances synthétiques en question en précisant qu'il ne s'agit pas de substances visées à l'annexe 3.

M. Jim Eglinski:

D'accord, merci. [Français]

Le vice-président (M. Pierre Paul-Hus):

Merci.

Monsieur Motz, la parole est à vous. [Traduction]

M. Glen Motz:

Peut-être que les fonctionnaires pourraient nous éclairer. Les dossiers de procès pour possession simple devraient indiquer de quelle substance il s'agissait. Si c'est un cannabinoïde synthétique, je ne sais pas si le dossier préciserait à quelle annexe la substance est visée. Je ne pourrais pas vous le dire. Je me demande si...

M. Jim Eglinski:

Nous pourrions demander à la GRC.

M. Glen Motz:

Madame Gonzalez, pourriez-vous nous éclairer?

Mme Amanda Gonzalez:

Dans bon nombre de cas, ce serait impossible à savoir. Peut-être que ce serait indiqué dans les documents du tribunal, mais probablement pas dans le dossier d'instruction lui-même.

M. Glen Motz:

Donc, pour que ce soit clair, ce serait à la Commission des libérations conditionnelles de demander un dossier pour traiter une demande en particulier. Comment est-elle censée avoir de l'information si ce n'est pas inscrit dans le dossier?

Mme Amanda Gonzalez:

Je n'ai pas de réponse à vous donner.

M. Glen Motz:

Devra-t-elle le faire pour chaque demande?

M. Ian Broom:

Selon le libellé actuel et modifié du projet de loi C-93, une personne qui présente une demande de suspension de son casier devra fournir des documents à l'appui, y compris le dossier d'instruction, au besoin, pour confirmer les détails de la condamnation. S'il est précisé dans le document d'instruction que l'infraction concernait un cannabinoïde synthétique... Cela figurera dans le dossier d'instruction.

M. Glen Motz:

D'accord. [Français]

Le vice-président (M. Pierre Paul-Hus):

Ça va, monsieur Motz? [Traduction]

M. Glen Motz:

Oui. [Français]

Le vice-président (M. Pierre Paul-Hus):

Merci.

Passons au vote sur l'amendement LIB-7.

(L'amendement est adopté avec dissidence. [Voir le Procès-verbal])

Le vice-président (M. Pierre Paul-Hus):

Passons au vote sur l'annexe, ou schedule en anglais.

(L'annexe modifiée est adoptée avec dissidence.)

Le vice-président (M. Pierre Paul-Hus):

C'est parfait.

Passons aux prochaines étapes.

Le titre du projet de loi est-il adopté?

Des députés: D'accord.

Le vice-président (M. Pierre Paul-Hus):

Le projet de loi modifié est-il adopté?

Des députés: D'accord.

Des députés: Avec dissidence.

Le vice-président (M. Pierre Paul-Hus):Le président doit-il faire rapport à la Chambre du projet de loi modifié?

Des députés: D'accord. [Traduction]

M. Matthew Dubé:

Avec dissidence. [Français]

Le vice-président (M. Pierre Paul-Hus):

Le Comité ordonne-t-il la réimpression du projet de loi modifié?

(1720)

[Traduction]

M. Jim Eglinski:

Que fait-on de la recommandation? [Français]

Le vice-président (M. Pierre Paul-Hus):

Selon la procédure actuelle, la recommandation ne peut pas faire partie intégrante du projet de loi. Par contre, comme cela a été fait dans le cas du projet de loi C-83, la recommandation sera faite en parallèle. Les analystes auraient besoin d'information pour rédiger la recommandation. [Traduction]

M. Glen Motz:

Je suis prêt. Je vous attends. [Français]

Le vice-président (M. Pierre Paul-Hus):

D'accord.

Nous avons terminé la partie portant sur le projet de loi, mais la possibilité de faire une recommandation séparée a été soulevée et il était entendu que nous allions en discuter. Nous avons étudié la procédure avec l'aide du greffier.

Je vais simplement laisser M. Eglinski nous soumettre sa recommandation.

M. Michel Picard:

Je ne sais pas comment tout cela fonctionne.

Le vice-président (M. Pierre Paul-Hus):

Le greffier m'a expliqué la procédure et je vais le laisser vous présenter la façon de faire. [Traduction]

Le greffier du Comité (M. Naaman Sugrue):

Nous pouvons procéder de deux ou trois façons différentes. Essentiellement, le Comité peut procéder par motion ou convenir de présenter des recommandations. Nous pouvons présenter une motion qui sera ensuite modifiée pour inclure les recommandations désirées ou présenter des motions distinctes sur les recommandations à soumettre. Je vous recommande de regrouper en un seul rapport l'ensemble des recommandations que le Comité souhaite adopter, mais il vous appartient de décider des recommandations à proposer.

M. Michel Picard:

Si je comprends bien, nous avons terminé tout ce qui concerne le projet de loi. Nous devrions peut-être considérer le rapport sur les recommandations comme une deuxième étape. Nous pouvons donner à M. Eglinski le temps de rédiger la recommandation qu'il veut proposer.

M. Jim Eglinski:

C'est déjà fait.

M. Michel Picard:

Vous êtes rapide.

M. Jim Eglinski:

Je sais. Je suis prêt à lire et à présenter ma motion.

Mme Ruby Sahota:

J'ai moi aussi rédigé une recommandation.

M. Michel Picard:

Je propose que nous commencions tout de suite. [Français]

Le vice-président (M. Pierre Paul-Hus):

Mme Sahota et M. Eglinski sont déjà prêts à soumettre leurs recommandations.

Commençons par vous, monsieur Eglinski. [Traduction]

M. Jim Eglinski:

Merci, monsieur le président.

Je propose: Que le Comité recommande que la Commission des libérations conditionnelles, dont le mandat est de fournir des services rapides, efficaces et efficients, se serve de la technologie pour améliorer les services qu'elle offre aux Canadiens, et que le ministre soit tenu d'offrir des services de qualité à tous les Canadiens, conformément aux recommandations précédentes du vérificateur général sur la prestation des programmes et au mandat que le premier ministre lui a confié, soit de servir les Canadiens. Par conséquent, il est résolu que le Comité permanent de la sécurité publique et nationale recommande que le ministre examine immédiatement la possibilité de mettre en œuvre un système électronique de traitement des demandes de suspension de casier, notamment les demandes dont il est question dans le projet de loi C-93, Loi prévoyant une procédure accélérée et sans frais de suspension de casier judiciaire pour la possession simple de cannabis. [Français]

Le vice-président (M. Pierre Paul-Hus):

Merci, monsieur Eglinski.

Monsieur Dubé, vous avez la parole.

M. Matthew Dubé:

Merci.

(1725)

[Traduction]

Monsieur le président, je veux prendre le temps de remercier mon collègue de sa motion, que j'appuie, d'ailleurs. Compte tenu du contexte, je crois qu'il est très important que notre comité fasse savoir... Je sais que le processus a été très difficile pour les fonctionnaires. Je crois qu'il importe aussi de souligner que la Commission des libérations conditionnelles fera ce qu'elle peut avec les outils dont elle dispose, mais le problème, c'est qu'on ne lui a pas donné les outils nécessaires pour aider les personnes marginalisées qui voudraient se prévaloir de ce processus, un processus plus efficace que ce qui est prévu dans le projet de loi.

Les témoins n'ont cessé de le dire. Je crois que nous pouvons aussi conclure, en fonction des témoignages que nous avons entendus et puisque le projet de loi sera renvoyé à la Chambre, qu'en réalité, seul le strict minimum a été fait dans ce dossier, alors qu'il aurait dû s'agir d'un élément phare du programme du gouvernement.

Dans le passé, le Comité a convenu que le processus de suspension des casiers judiciaires pourrait se déclencher de façon automatique. Nous en sommes venus à cette conclusion dans le cadre de notre étude, qui a révélé la pagaille de ce système.

Malgré les avantages que présente la recommandation de M. Eglinski, je suis sûr qu'il reconnaîtrait qu'il ne s'agit que de la première étape pour remettre de l'ordre dans ce système. Je dois admettre que tout cela m'a profondément déçu, et je suis sûr que je ne suis pas le seul. C'est pour cette raison que je vais soutenir sans hésiter la motion de mon collègue. [Français]

Le vice-président (M. Pierre Paul-Hus):

Merci, monsieur Dubé.

Monsieur Picard, vous avez la parole.

M. Michel Picard:

J'aimerais suggérer que nos propos tiennent compte des étapes préalables que le ministère devra suivre si nous lui confions le mandat de mettre en place un système électronique. En effet, il devra évaluer, entre autres, les ressources, l'équipement, les coûts de développement et les procédures que cela implique.

Nous partageons tous le désir de moderniser les services et de faciliter le travail avec des moyens électroniques. Une approche optimale pour atteindre ce but devrait tenir compte des éléments, des coûts et des procédures nécessaires, qui donneraient au ministère les moyens dont il ne dispose pas pour l'instant et qui lui permettraient de rendre ses services électroniques les plus accessibles et efficaces possible.

Le vice-président (M. Pierre Paul-Hus):

Merci, monsieur Picard.

Est-ce que d'autres personnes souhaitent intervenir?

Qui est en faveur de la recommandation de M. Eglinski?

M. Michel Picard:

Mon commentaire comportait un point d'interrogation à la fin. Est-ce que la recommandation telle qu'elle est écrite engage le ministère à entreprendre des démarches pour se doter de services électroniques? Je n'ai pas le texte devant moi, j'y vais par coeur.

Le vice-président (M. Pierre Paul-Hus):

Vous avez la parole, monsieur Eglinski. [Traduction]

M. Michel Picard:

Est-ce que la recommandation, telle qu'elle est écrite, donne une marge de manœuvre pour évaluer les besoins avant de passer directement à l'étape de la mise en œuvre?

M. Jim Eglinski:

Je crois que c'est précisé à la première ligne. Il est écrit que le Comité fait une recommandation à la Commission des libérations conditionnelles « dont le mandat est de fournir des services rapides, efficaces et efficients ». Ensuite, je parle de la technologie. La recommandation a pour but d'engager la Commission des libérations conditionnelles à améliorer ses moyens technologiques afin de pouvoir faire son travail. C'est tout ce qu'on lui demande.

M. Glen Motz:

Pour répondre à la question de M. Picard, j'aimerais préciser que le passage qui dit « il est résolu que » mentionne également que le Comité permanent « recommande que le ministre examine immédiatement la possibilité » de mettre en œuvre un système électronique de traitement des demandes de suspension de casier.

M. Michel Picard:

D'accord. Merci. [Français]

Le vice-président (M. Pierre Paul-Hus):

Merci, monsieur Motz.

Nous passons au vote.

(La recommandation est adoptée)

Le vice-président (M. Pierre Paul-Hus): Merci.

Madame Sahota, c'est votre tour. [Traduction]

Mme Ruby Sahota:

D'accord. Ma recommandation concerne principalement les frais exigés. Beaucoup de témoins nous ont dit que même si on prévoit une dispense des frais liée à la suspension de casier, d'autres frais s'appliquent.

Je recommande: Après avoir étudié le projet de loi C-93, Loi prévoyant une procédure accélérée et sans frais de suspension de casier judiciaire pour la possession simple de cannabis, et après avoir étudié le programme de suspension de casier, conformément à la motion M-161, le Comité souhaite formuler la recommandation suivante au gouvernement : Que, compte tenu des préoccupations exprimées par les témoins au sujet des coûts supplémentaires liés au processus de traitement des demandes de pardon, par exemple l'acquisition de documents juridiques et policiers, et compte tenu du fait que le gouvernement a reconnu qu'il est important de réduire le fardeau financier imposé à ceux et celles qui présentent une demande de pardon, comme le reflète la proposition du projet de loi C-93 visant à abolir les frais de 631 $, le Comité encourage vivement le ministère de la Sécurité publique et nationale à envisager d'autres mesures pour réduire les coûts liés à la présentation d'une demande de pardon.

(1730)

[Français]

Le vice-président (M. Pierre Paul-Hus):

Merci, madame Sahota.

Monsieur Dubé, la parole est à vous.

M. Matthew Dubé:

Nous ne pouvons pas être contre la vertu, mais je veux simplement dire encore une fois à quel point tout cela est décourageant. Nous avons un gouvernement qui est en poste depuis quatre ans. Nous avons fait une étude qui nous a été confiée par motion d'un député libéral. Pourtant, nous voici aujourd'hui à faire une autre recommandation pour dire la même chose.

Tout le monde le sait depuis 10 ans, quand le changement a été adopté. Il est donc bien malheureux de devoir faire des recommandations à un ministère quand, dans le fond, le ministre aurait pu agir et corriger de façon plus large que ne le fait ce projet de loi les torts que cause le programme. Il est minuit moins dix, nous sommes à trois mois d'une campagne électorale et pourtant rien n'a encore été fait.

Je voterai en faveur de la recommandation parce que nous ne pouvons pas être contre la vertu, mais je trouve déplorable toutes ces belles intentions que nous énonçons alors qu'un ministre, qui avait pourtant quatre ans pour apporter ces changements et avoir un réel impact dans la vie des gens, n'a rien fait.

Le vice-président (M. Pierre Paul-Hus):

Merci, monsieur Dubé.

Madame Sahota, la parole est à vous. [Traduction]

Mme Ruby Sahota:

Oui, j'ai une correction à apporter à ma recommandation. J'ai dit qu'on encourage le « ministère de la Sécurité publique et nationale ». J'ai confondu les noms du Comité et du ministère. J'aurais dû dire: « le ministère de la Sécurité publique et de la Protection civile ». [Français]

Le vice-président (M. Pierre Paul-Hus):

Merci, madame Sahota.

Monsieur Motz, vous avez la parole. [Traduction]

M. Glen Motz:

Merci, monsieur le président.

Je vais me faire l'écho des commentaires de M. Dubé, parce que je suis d'accord avec lui. Je me rappelle que, quand nous avons examiné la motion M-161, nous avons présenté une recommandation très similaire au ministre, qui a dit qu'il la respecterait en tous points. Je ne sais pas pourquoi nous devons recommencer. Je sais que nous en avons déjà parlé, et presque mot pour mot, quand il était question de la motion M-161. Le ministre va-t-il mettre les bouchées doubles parce que nous présentons deux recommandations? J'en doute.

Mme Ruby Sahota:

Je tiens à insister sur le fait que nous avons entendu de nouveaux témoins. Présenter à nouveau cette recommandation ne peut pas faire de tort. Bien sûr, de nombreux témoins se sont prononcés sur le sujet. Je sais que M. Dubé est déçu, mais je sais qu'il veut que nous procédions ainsi. [Français]

Le vice-président (M. Pierre Paul-Hus):

Puisqu'il n'y a pas d'autres commentaires, nous passons au vote.

(La recommandation est adoptée.)

Le vice-président (M. Pierre Paul-Hus): Maintenant que les deux recommandations ont été adoptées à l'unanimité, êtes-vous d'accord pour les regrouper dans un même document et présenter ce dernier à la Chambre?

M. David de Burgh Graham:

Oui, mais à condition que nous ne demandions pas de réponse du gouvernement, car il ne reste pas assez de temps pour cela.

Le vice-président (M. Pierre Paul-Hus):

Nous pourrions en demander une, mais le gouvernement n'aurait pas le temps de la préparer.

M. David de Burgh Graham:

C'est cela.

Le vice-président (M. Pierre Paul-Hus):

D'accord.[Traduction]

Tout ce que je voulais dire, c'est que les deux motions figureront dans le même rapport.

M. Glen Motz:

Dans le rapport, effectivement.

Le vice-président (M. Pierre Paul-Hus):

Ce sera présenté à la Chambre. Nous demanderons une réponse du gouvernement, mais il n'aura pas le temps de la préparer.

M. Glen Motz:

D'accord. [Français]

Le vice-président (M. Pierre Paul-Hus):

Cela met fin à la réunion.

Merci beaucoup de votre collaboration.

Je remercie également les fonctionnaires de leur travail.

Hansard Hansard

committee hansard secu 32087 words - whole entry and permanent link. Posted at 22:44 on May 27, 2019

2019-05-15 SECU 163

Standing Committee on Public Safety and National Security

(1530)

[English]

The Chair (Hon. John McKay (Scarborough—Guildwood, Lib.)):

Colleagues, I see quorum. This is the 163rd meeting of this august committee, the best committee on the Hill.

I'm pleased to welcome our guests today, all of whom have never made presentations to parliamentary committees before. I've asked my colleagues to go easy on you.

As you know, you each have 10 minutes. I'm going to ask Mr. Jarry to go first. At the end of his 10 minutes, I'll ask Mr. Gull to introduce his group and proceed with their 10 minutes.

Mr. Jarry. [Translation]

Mr. Luc Jarry (Senior Advisor Cybersecurity, As an Individual):

Thank you, Mr. Chair.

Good afternoon to all committee members.

My name is Luc Jarry and I'm a senior cybersecurity advisor for Cascades Inc. I'm also a lecturer and I teach industrial cybersecurity at the Polytechnique Montréal, which is affiliated with the University of Montreal.

This is my first time appearing as a witness. I spent some time reading the evidence from other witnesses and I noted that several topics were discussed. Today, I'll talk about a subject that affects virtually every domain, from financial affairs to the industrial, business and personal worlds. I'm talking about the Internet of Things, better known as IoT, which is of course associated with artificial intelligence.

What is IoT? I think the best definition is also the shortest: IoT is a direct integration between the physical world and computer systems. In the past few years, there has been an extraordinary revolution in the way objects connect to TCP-IP networks. I'm talking about the Internet. It has been estimated that by 2020, between 40 billion and 50 billion devices will be connected to the Internet. We will have to ask ourselves wether the "Internet of Things" will become the "Internet of All."

Together with artificial intelligence, the Internet of Things makes possible what was only imaginable a few years ago. Think for example of self-driving cars. They are still in the testing stage. We have all heard about them. Currently, if your car is even halfway modern, it will probably have a monitoring system that measures the pressure in your tires. If a tire's pressure is low, the monitoring system will send a message to the car's computer to warn the driver that one of the tires is low on air. The driver will then have to deal with the problem.

The same thing will happen with the Internet of Things, but in addition to informing the driver, the car itself will make an appointment at the dealership or the garage responsible for maintenance. The car will then drive itself to the dealership so the problem can be fixed, and it will then return to its point of origin. You can start seeing the potential involved. This will open up extraordinary opportunities in all areas.

Unfortunately, all these new technologies make us susceptible to new threats and vulnerabilities. However, computers, which have microprocessors and are controlled by operating systems, are virtually the only devices connected to the Internet. This makes it possible for us to implement basic cybersecurity defences. For example, I can see there are open laptops in this room. I'm sure that those computers have basic cybersecurity protections. This would involve a personal firewall turned on and probably an antivirus program—which I hope has the latest virus updates—as well as a malware scanner. There is something important to note here. These computers have a processor and are able to encrypt and decrypt data. I'm talking about encryption, a widely used strategy in cybersecurity.

The problem with the Internet of Things is that the objects have no operating system or processors. It is therefore impossible to give them basic protections, as we can do with computers. These makes them extremely vulnerable.

Over the last 15 or 20 years industries have invested heavily in mechanization and automation technologies. Today, modern factories use industrial control systems such as programmable automatons and SCADA, which communicate with each other via their own telecommunications protocols on private networks within factories. These networks are invisible to the Internet. We often refer to them as an intranet. For industries to ensure they can use and benefit from the advantages of artificial intelligence, they must connect these automatons or industrial control devices to the Internet in order to communicate with AI service providers. This makes these devices very vulnerable.

Another thing is that, based on my own observations, most industrial controls in factories are maintained and supported by electrical engineers, most of whom have no training in cybersecurity.

There are currently many factories connecting things to the Internet in a way that creates gaps in their internal networks, opening them up to possible intrusions. I'm talking about theft of information and industrial espionage, in short, unauthorized access.

There are now things worse than that. With the Internet of Things, we can imagine a hacker or even a terrorist group taking remote control of critical infrastructure such as a hydroelectric dam, a water processing or oil industry plant, a hospital and so on. Imagine all the ensuing damage and danger to public and financial security and safety.

We must also keep the privacy issue in mind. As you know, an increasing number of users are connecting devices to their own networks at home or via cellular networks. You can for example buy a smart refrigerator equipped with a tablet-like screen that takes inventory of all the food and drinks it contains, monitors their expiry dates and even suggests recipes for the food inside, thanks to artificial intelligence. It's a wonderful thing. However, from a privacy perspective, we might ask whether life insurance companies would be interested in knowing what is in their customers' fridges. The answer is yes.

In Canada, citizens are protected by privacy laws, but there is a problem. Many studies have shown that nearly 95% of users agree to terms and conditions of confidentiality without reading them. Often, people don't really know what they are agreeing to.

Still on the subject of privacy, there are now assistants that connect to the Internet and are activated by a specific sentence or word spoken by a user. You can dialogue with the assistant to obtain various kinds of information available online, such as weather forecasts or the news. If these types of devices are connected to an unsecured home network with easy access, a hacker could use a computer worm to record you. If the device has a camera, the hacker could take pictures of you. This would obviously be a breach of privacy.

I could give you several examples. The document I submitted contains a series of recommendations, but unfortunately I won't have the time to go over them all.

With your permission, Mr. Chair, I will now answer questions.

Thank you.

(1535)

The Chair:

Thank you, Mr. Jarry.[English]

I'm probably going to have to get one of those fridges, because that fridge can make a meal of what's in my fridge. That will be a truly miraculous event.

Mr. Michel Picard (Montarville, Lib.):

They don't make the meal for you.

The Chair:

Bologna sandwiches are still bologna sandwiches, no matter who makes them.

Mr. Gull, for 10 minutes, and I'll ask you to introduce your colleagues.

Mr. Tony Gull (President, Tawich Development Corporation):

Thank you.

[Witness spoke in Cree]

[English]

In my language, I thank you for hearing us out and giving us an opportunity to share with you a little in terms of opportunities we're looking at for our nation—the Cree nation—and our community, more specifically, Wemindji.

On my left are my advisers who are working on this file with us, our corporation. This is Sam Gull, an adviser; this is Jean Schiettekatte, another one of our advisers; and this is Robert Milo. They are three advisers and somewhat experts too in this field in terms of what we're trying to accomplish.

I guess the message here today from us, as you can see, is that it's a northern international fibre telecommunication highway to link Canada, Asia and Europe. It's key to assuring Canadian financial Internet cybersecurity.

For us, in terms of the corporation itself, it's wholly owned by the community of Wemindji, which is about 1,400 people. Right now the corporation, just to give you an idea, is called Tawich. Tawich means “far out”. It's a far out development corporation—that's the translation.

Just to give you perspective, right now Tawich employs over 1,000 people across Quebec, in the region of Abitibi and in certain other areas within the province. We have various companies. This is just another exciting opportunity we're looking into to basically reach the goal of convincing certain people to get into this project together.

As you know, it's basically keskun, which means clouds. When you're talking about cyber, Internet and talking about clouds, it's keskun, as it is pronounced in our dialect. Basically, it's the data centre project that we will be building on the Cree territory of our community. Keskun is essentially an industrial storage park and major Nordic data centres that we're looking at.

The project will initially require a power supply of about 200 megawatts. The most reliable green energy source in North America, as we all know, is the big Robert-Bourassa power station that is just a couple of hours' drive away from home. The Quebec energy board authorized the allocation of a certain amount of megawatts to calculation centres on April 29, 2019.

Right now we feel that Canada is basically limited to the U.S. for its international Internet connectivity. About 11% of Canadian international Internet traffic doesn't pass through the U.S.

We talk a lot in terms of what this gentleman just spoke about. The way I look at it is that it's a superhighway that we're trying to connect to and bring into our area. Canadian cybersecurity, including financial transactions, is dependent on the U.S.A. This is part of what we feel is kind of a weak link.

With that being said, I'll let my advisers and colleagues touch more on the project.

(1540)

Mr. Sam Gull (Advisor, Tawich Development Corporation):

Meegwetch.

[Witness spoke in Cree]

[English]

I want to thank you for inviting me to make this presentation.

As you see on the screen here, the biggest problem that we have here in Canada is that all of our links are in the United States. We only have 11%, which are on the Newfoundland side, to Greenland. That's our only escape route. The rest are all in the United States. This is a major issue for us.

As you see on the screen here, we have a project that we're looking at. It's called the Quintillion link. It is already serviced in Alaska—the first phase. The second phase will be service from Alaska to Japan, and the third phase will go from Alaska through the Hudson Strait to Europe. This is where we want to connect our pipeline to Wemindji because once that pipeline comes through we only have one opportunity to connect, and we don't want to miss that opportunity.

The northern link is a high-fibre.... It has six big fibre links that are connected, and two of them stay in international waters. Those are the two that we want to connect, and we believe that the security, safety and sovereignty of the Arctic are key for us as a first nation. This southern spur that's going to go to James Bay will also be linked to Montreal, Toronto and the southern network.

A Canadian northern international connectivity project must be developed to assure Canadian international connectivity and cybersecurity.

As you see on the map here, it would go through the Northwest Passage, from Alaska through the Hudson Strait. This is where we want to connect, through James Bay to the Wemindji-Tawich Development community, and from there we connect to the south, to Montreal and Toronto.

On this map you can see that 89% of Canadian data passes through the United States. The USA PATRIOT Act governs this data and governs Canadian data, and this is where we believe security is an issue. Canada's new northern fibre can change this paradigm. Data centres with access to northern international fibre connectivity and ultra-low latency connectivity, in the long haul, in milliseconds, are important. The geographic position related to financial hubs with London, New York, Tokyo, Shanghai, Montreal and Toronto is key. The inexhaustible renewable energy and ultra-reliable power in the north at a low cost, at an approximate price of 4 cents U.S. per kilowatt, is a strength on our part, and low operation costs for data centres with cooling would be a competitive advantage because the computers need a lot of cooling.

A northern link would assure the independence of international connectivity and security from the United States. As an example, one of the big advantages is that from Montreal to Tokyo, we're looking at 18 milliseconds of speed that we can gain just between those two cities. There's no real advantage into the United States. The big advantage is from Montreal and Toronto to England and Asia.

The other advantage is that Hydro-Québec has announced in their strategic plan that they would give an estimated 4 cents per kilowatt. This is a huge advantage for us in terms of power usage. Another advantage is that we're on the Canadian Shield, and there are no earthquakes. You probably know what happened in Japan and Alaska. Earthquakes are a big issue, so this could be a good location for data centres of the north.

I'll pass it to Jean Schiettekatte to make concluding remarks.

(1545)

Mr. Jean Fernand Schiettekatte (Advisor, Tawich Development Corporation):

Thanks, Sam.

Thanks, everybody, for receiving us today.[Translation]

As you saw in the presentation, because of the ultra-low latency, all Canadian financial transactions will go through this link. This is an opportunity for us to offer Canadians a security solution that is not just software, but also hardware. The idea is to build an independent and international northern fibre, whose main benefit would be to enable Canadians, with the First Nations, to assert their sovereignty over this territory. This is a very important aspect that we want to see in this project.

I think that today is the last day you're meeting on this subject. We would like the Committee to consider this option. There is the Quintillion link—which is still under development, although its first segment is already in service—but there could be another Canadian project that would link to the network. As Mr. Gull said, parts of this line would stay in international waters. This could provide an international cybersecurity solution and would ensure that Canadians would have access to other markets with ultra-low latency. This would give us an advantage in our international financial transactions, and, most importantly, would enable us to assert our sovereignty over the Northwest Passage.

It would be a good idea to combine this with the connectivity of northern communities, but that should not be our primary goal. The primary goal is to ensure our security. There are of course all sorts of other benefits, such as worker training and job creation in the North, which are good for the economy.

Thank you, Mr. Chair.

The Chair:

I thank you all.[English]

Mr. Graham, you have seven minutes, please.

Mr. David de Burgh Graham (Laurentides—Labelle, Lib.):

Thank you all for being here. We have two very different witnesses.

For the keskun project, I find this very interesting. As you know, we've spoken about it in the past.

Monsieur Gull, if the Quintillion fibre network is built, and we don't get onto it, how hard is it to get onto later?

Mr. Sam Gull:

I believe, as a Canadian, and as a Cree, that Canada has to do something, and build its own fibre. We know that the amount of information or data we use every year is increasing, and it will continue to increase. It's not ready to slow down.

If we can't connect to Quintillion, I believe Canada should step forward and build its own fibre.

Mr. David de Burgh Graham:

You mentioned in your opening that this is an issue of network sovereignty. We don't currently have any network sovereignty to speak of. Quintillion, which runs from Tokyo to London, as I understand it, would provide non-U.S. sovereignty, and that's the core objective of this.

When you're talking about the use of the data centres, you're talking about an 18-millisecond speed advantage, and how it will impact the financial sector. From an investment point of view, what does that mean for the financial sector? Will they be obligated to have their data centres further north?

Mr. Tony Gull:

I have just one comment before Jean responds to it a little more technically.

For me, it's about economic development—that's why I'm here. My mandate is economic development, and I believe the federal government's responsibility—and some of our responsibility—is economic development, as well. I think it will provide a lot of opportunities economically, but also, and more importantly.... Whether it's cybersecurity, or being sovereign with our own line, data is so important. It's crucial to have, and to keep.

For me, that's the impact—it's all about the economic development, because that's my mandate. This is what I do, and this is why I'm presenting here today.

Go ahead, Jean.

Mr. Jean Fernand Schiettekatte:

The basic answer is very interesting. It's about that table of latency. No bank in the world could afford not to have a centre, at that point. If you're trading currency, you always need the data from the market in London, the market in Tokyo and the market in New York. We'll be the point of the hub. The main commercial transactions—the ones you talked about, where someone has hacked, or something—will be on that line, and we will control that line. That's not the case now—our transactions go by New York. When you do a wire transfer, it goes by New York; by that system.

That's why it's a key point of our position around the cybersecurity issue. If you want to address it, you must address that hardware problem.

(1550)

Mr. David de Burgh Graham:

Who controls the line?

Mr. Jean Fernand Schiettekatte:

In the U.S., the NSA is looking at all your transactions.

Mr. David de Burgh Graham:

They are on this side of the border too, I suspect. That leads to another point. There is a national security dimension to the Quintillion line and the keskun line. What can be done to protect that line from being attacked by scientific submarines in the north?

Mr. Jean Fernand Schiettekatte:

I think the first step is to assert sovereignty. If you pass the line you'll be the first to occupy the territory there. If you wait for another company or another country to do it, you'll lose sovereignty. That's the idea, to monitor [Inaudible—Editor]. I think it's very difficult to assert the security of a satellite link, so that's why they're using link underground where they can monitor if there's a change in the property of the fibre to see if it's intercepted. That's the way to do it. I don't see any other option.

Mr. Sam Gull:

To add to that, from what we understand from our discussions, the line will be buried at least three feet in the seabed because of the icebergs. That was an issue. If we bury it underground, the submarines won't be able to find it or see it.

Mr. Robert Milot (Advisor, Tawich Development Corporation):

One thing for sure, once the pipeline of fibre optic is built, be it by Quintillion or anybody else, we cannot connect afterwards. It has to be done initially. Representations have been made to the Quebec government, to the Prime Minister, to several ministries, and there is a great interest.

Mr. David de Burgh Graham:

That helps address a lot of problems you've dealt with in this study. We always have problems of [Inaudible—Editor] but this is the first time we've had a solution brought to us. I appreciate very much that you're here to do that.

I have a couple of quick questions for Mr. Jarry, if I still have any time.[Translation]

Mr. Jarry, in your presentation you talked about the Internet and things.

Mr. Luc Jarry:

It's the Internet of Things.

Mr. David de Burgh Graham:

Okay. There was mention of a car talking to a mechanic to make an appointment. Wouldn't that leave the door wide open to the possibility that the car would go directly to a thief's house?

Mr. Luc Jarry:

To a thief's house, you say?

Mr. David de Burgh Graham:

Yes. I puncture a tire and then I tell the car that I'm a mechanic. It comes to my door and then I have the car.

Mr. Luc Jarry:

That could be one of the vulnerabilities.

It goes without saying that these new technologies will lead to situations like that, but that's not the worst it. Right now, with your cell phone you can even control the front door of your house when you're away. You can answer the door and open it remotely. If someone gains access to your system, he or she can easily find out that you're away and then unlock your door.

Mr. David de Burgh Graham:

Yesterday or the day before, there was a security breach in WhatsApp. Are you aware of that?

Mr. Luc Jarry:

Yes.

Mr. David de Burgh Graham:

Could you tell us a bit more about it?

Mr. Luc Jarry:

Malware was remotely installed and used to spy on cell phone communications. If someone got a call, the device was infected, even if the person didn't answer. Again, this is a matter of updating the software. You are right. This made the news yesterday.

Mr. David de Burgh Graham:

You said that 95% of users do not read the end user licence agreement, but I would say that number is closer to 99.99%.

Mr. Luc Jarry:

The figure I provided comes from interviews conducted for a Deloitte study. I agree that that is a very conservative estimate.

Mr. David de Burgh Graham:

You are no doubt aware of what PC Pitstop did in 2005. It offered $1000 to anyone who read its end user licence agreement. It was only after five months and 3,000 sales that the first person claimed the $1000.

Mr. Luc Jarry:

Right.

The Chair:

Thank you, Mr. Graham.[English]

Mr. Motz, you have seven minutes.

Mr. Glen Motz (Medicine Hat—Cardston—Warner, CPC):

Thank you, Chair.

Thank you to both groups for being here today.

I was intrigued with your plan to connect. You indicated your connectivity to the line that's being built through your fibre network is time sensitive. When do you anticipate the decision on that connection so you get in the queue to make sure you're connected prior to the line being installed?

(1555)

Mr. Jean Fernand Schiettekatte:

The time frame is two years from now.

Mr. Glen Motz:

And that's when it's anticipated that line will be put through.

Mr. Jean Fernand Schiettekatte:

They have to do the design to see, to have what they call a spur point to be able to connect in Hudson Strait to go down to the thing. The idea is that you have to start the design, the process. They're now working on the connection between Alaska and Japan. They did some surveying last summer and that phase is going to be executed. After that, they'll start to do the design in the two-year time frame

Mr. Glen Motz:

One of the things that you mentioned, sir, in your concluding remarks, was hardware. You're obviously going to need some hardware as part of this line. How do you ensure that your hardware is secure, and that it's reliably sourced? This is a cybersecurity issue. The study we're doing for this committee is primarily focused on the financial end, but it involves lots of different components of cybersecurity. How do you intend to ensure that the hardware you receive is secure?

Mr. Jean Fernand Schiettekatte:

I think it's a process of compliance within the supply of the element. The main point we're making is that if you don't have the line, you will be dependent on the U.S. The situation could not be worse. Of course, you have to make sure that your provider respects all the Canadian security standards for what they call the landing point or the landing station. There are some standards that you can use. Our military has some standards. I think they should be used to ensure you're complying with the proper hardware security issue.

Mr. Glen Motz:

As your organization plans this and moves forward—and I think this is an incredible project to participate in—obviously there will be some expectations. As a proponent of this, you will be expected to ensure that the hardware you use is secure. I'm just curious to know.... That was the line of my questioning.

Mr. Jean Fernand Schiettekatte:

One adviser company that we have in our team is IBM, which is very well known for doing that process, and they already have some standards, yes.

Mr. Glen Motz:

In your material, Mr. Tony Gull, I think you mentioned that one of your businesses is called Creenet. I think that's an incredible business, but I suspect you had some significant challenges when you first started the process in becoming a service provider, especially in the area you're providing it. How have you been able to secure that network, given the challenges you had?

Mr. Tony Gull:

Creenet started back in 1998, roughly. The idea was to basically be an Internet service provider, and to provide those types of services within the region, because they weren't present at the time.

To this point, we have faced many challenges due to market size. It's a very big, very competitive market when you want to be an ISP-type business, and you have to have the market. We were trying to chase after the Cree nation market, but in a nutshell, a regional entity was supported, which I think we have in our presentation. It's called the Eeyou Communications Network, and it is a regional entity run by the Cree nation government.

Mr. Glen Motz:

In your opinion, sir, do you believe that your critical infrastructure—this and other critical infrastructure included— is sufficiently protected in the north by government? Does government take the protection of that critical infrastructure in your part of Canada as seriously as it needs to?

Mr. Tony Gull:

Based on experience—hands-on, I've also managed our company for many years and now I sit at a different level—we're very vulnerable, just like anybody else. I think that security and any information for us...we've really been getting into that to try and secure ourselves, as well.

Like any other nation, like any other organization, as the gentleman spoke about, you're always vulnerable to any cybersecurity issues. You have to make sure that you always keep yourselves up-to-date, in terms of whatever software you use and whatever hardware you have to control it.

(1600)

Mr. Sam Gull:

Just to add to that, I think we know everybody who is coming into and out of the community. There's only one access road into Wemindji and one James Bay highway going north. They monitor everybody going in and out. On a road basis, it's very controllable. Wemindji, of course, has an airport, so it's accessible by air, but there's also James Bay. James Bay is very shallow. I don't think submarines can go in there; they'll hit a few rocks if they do. The bay is very shallow, and the sediments keep moving around.

Mr. Glen Motz:

Mr. Jarry, my last question to you is, given your experience and your current role, do you feel governments do an adequate job in ensuring that our critical infrastructure is resilient to an attack in Canada? Is there anything, from your perspective, that we can do better?

Mr. Luc Jarry:

From what I've seen, I think it's not in just Canada but all the countries in the world right now with the evolution of the Internet of things. When we talk about cyber-attacks, we're mainly talking about protecting the information. We talk about identity theft, fraud, denial of service attacks, those kinds of things. Now as we move forward with connecting objects, it's becoming more physical. That's the concern.

Did we do enough as far as cybersecurity is concerned? For an example, when there's a very sensible transaction or a command to close a certain valve, do we do enough strong authentication or biometric authentication? I don't think the answer is yes. It's probably no. It's not enough. But it's not just in Canada; it's across the world.

The Chair:

Thank you, Motz.

Mr. Dubé, you have seven minutes. [Translation]

Mr. Matthew Dubé (Beloeil—Chambly, NDP):

Thank you, Mr. Chair.

I'd like to thank all the witnesses for being with us today.

Mr. Jarry, I have a question for you.

I'm sure you heard about the CRTC participating in an RCMP investigation of an individual who was using software known as “bots” for cryptocurrency. Everyone heard about it because it was the first time those powers, which were granted under the anti-spam legislation, were used.

That got me thinking, and it raised a question I'd like your thoughts on. If legislative and regulatory changes were to be made to address all the issues raised during this study, such as the Internet of things, would the CRTC be responsible for dealing with problems? For example, would it be better to create a new organization to enforce standards for devices? Is that something that would be looked at from both a legislative and a regulatory standpoint?

Mr. Luc Jarry:

In the telecommunications industry, the CRTC definitely has an important role to play, especially in the whole area of electronic transmission security. Let's not forget wireless. Cybersecurity is not just about telecommunications; it's also about programming and development. We're also talking more and more about the physical aspect, which needs to be taken into consideration.

I think there should be an organization overseeing all those organizations, something that deals with all those fields. It's not just the CRTC.

Mr. Matthew Dubé:

I understand and I agree.

What about the subject of the search warrant, who might be a cybersecurity threat? It had something to do with cryptocurrency, but we know the individual may have been engaged in other related activities. Under the act, would the RCMP or the CRTC have been able to do anything? Do we really need to update the act? As you said, do we need to be clearer about who deals with what to avoid confusion?

Mr. Luc Jarry:

At the government level, I can't really answer that question, but I can tell you what I see in the industry. In my presentation, I said that electrical engineers are the ones who take care of a lot of equipment now. Those people have no cybersecurity training, but they are connecting things directly to the Internet.

To answer your question, yes, a number of things can be done. Should we have a specialized police force or response team? Maybe, but there are a number of fields involved. As I said, cybersecurity is not just about telecommunications.

(1605)

Mr. Matthew Dubé:

Gentlemen, you talked a lot about wanting to collaborate with Hydro-Québec. I'd like to look at another aspect of the issue that hasn't been raised. I'd like to know what you think about this because of the work you do.

A few years ago, the Government of Quebec, the Union des municipalités du Québec and Hydro-Québec indicated that Hydro-Québec's growing fibre-optic network, which has smart meters, might be a way to provide connectivity in more remote regions. What do you think of that idea in connection with the proposals you've made?

Mr. Jean Fernand Schiettekatte:

We are talking to Hydro-Québec about using its dark fibre network, but that network is still just serving the south. It would help optimize the Eeyou Communications Network, the ECN, and enhance security for the south, but it is not a solution for the north.

We think the committee should look at that because it's a very important issue right now.

Mr. Matthew Dubé:

Absolutely. You explained that well. That brings me to another question.

One of the cybersecurity concerns is the impact on our day-to-day lives because we use more and more things that could be compromised by cybersecurity attacks.

What is the reality for you, being physically far away from major centres? If there were a cybersecurity attack on a network in a major centre, the system would go down and we'd have all kinds of problems, but at least we are geographically close to other communities and other people. What impact could that have on your communities?

Mr. Jean Fernand Schiettekatte:

I can answer that indirectly. Ideally, we'd be like Sweden, where the dark fibre network was installed by the government. All the providers use it and light up the same fibre. If there's a breakdown, one provider would be affected but not the others.

Our problem right now is that there is just one provider using one fibre. The goal would be to have a diversification strategy, and that's what we're talking about with government people. We want to see if there's some way to have more than one provider serving the region.

Mr. Matthew Dubé:

Perfect.

I've covered all my questions, but I just want to pick up on what Mr. Graham said about how it would be good to have a concrete, forward-thinking solution rather than always focusing on current threats. That's important, but your perspective is important too.

Thank you. [English]

The Chair:

Mr. Picard, you have seven minutes. [Translation]

Mr. Michel Picard:

Thank you, Mr. Chair.

Mr. Jarry, you mentioned that you work for Cascades too.

Mr. Luc Jarry:

Yes.

Mr. Michel Picard:

Ever since computers have been around and companies have had electronic systems, we've had IT departments to handle software, updates, firewalls and so on.

Is the cybersecurity department just a new name for the IT department, or is there a different dimension to this that explains why private companies like Cascades now have cybersecurity departments?

Mr. Luc Jarry:

The IT department is still the same, but there's now a cybersecurity group connected to governance that's not part of the IT team.

Mr. Michel Picard:

What process did the company go through in setting up that cybersecurity element? Was it concerned about its equipment and afraid of service interruptions or machinery shutting down? Or was it worried about external attacks compromising its administrative data?

Mr. Luc Jarry:

Sir, cybersecurity is based on three principles: confidentiality, integrity and availability of data. There is also a compliance aspect. All companies have to be in compliance now. I'm not old, but I'm experienced, and I remember a time when cybersecurity measures, though considered best practices, were only suggestions, not mandatory.

We now have mandatory laws and rules in place. Cascades was one of many companies to establish security policies and standards based on ISO 27001 and 27003. The company set up a governance group and deployed a security policy in accordance with its own standards. The policy is based on system confidentiality, integrity and availability.

(1610)

Mr. Michel Picard:

How do you ensure that your suppliers comply with the same standards to guard against being a victim of an attack within your system?

Mr. Luc Jarry:

It's in the contracts. We can require suppliers to have specific certifications. For example, when our employees' personal information is involved, we require all our suppliers to have ISO 27018 certification, which covers the protection of personal information. That's one way to do it. Otherwise, we include specific standards or obligations in our contracts.

Mr. Michel Picard:

My next question might seem like a trap, but I have to ask it anyway.

Let's look at things from the other way around. If Cascades were to be the victim of an outside attack on its data, would it be obligated to report that to someone, somewhere, in some way?

Mr. Luc Jarry:

That depends on the kind of attack. If the attack affected personal information, then absolutely, we'd have to report the incident.

Mr. Michel Picard:

Okay.

That happened at École Polytechnique Montréal and at Ryerson University. My colleague invited a representative from there, but we don't have a lot of institutions or resources in Canada with the expertise to manage our cybersecurity problems. Resources are limited, even rare. We are concerned that, as good as the expertise may be, it's not enough.

If we compare that to expertise developing elsewhere, especially the quality and scope of outside attacks, how would you compare the level of expertise and training available in Canada to those external threats?

I don't want any publicity or marketing here, but frankly, if we want to improve the situation, we need to know where we're at.

Mr. Luc Jarry:

You are right. It is a concern not just in terms of training, but for all aspects of the industry. Experienced resources are becoming increasingly rare.

I have to say that more and more young people are becoming interested in cybersecurity. However, this field is still evolving. It is extremely difficult to find good resources with experience.

As I mentioned, I am a lecturer. We should not forget that this requires expertise in the subject matter taught as well as teaching skills. Those are two different things.

Mr. Michel Picard:

In developing its cybersecurity strategy, is Cascades concerned that the attacks could compromise the survival of the company? Perhaps we are not yet there either?

Mr. Luc Jarry:

In recent years, Cascades has modernized all its platforms. It has migrated to modern platforms, to SAP platforms, among others. With respect to availability, when these systems fail, the intolerance period is about two hours. This means that the plants start shutting down and cease operations after two hours. That is extremely expensive.

You are right. This creates a tremendous dependency. We address that with emergency plans and reconciliation tests with relays or data centres, and also with requirements we have for our service suppliers.

Mr. Michel Picard:

Given the participation of Cascades—which is also a supplier—in this network ecosystem, is connectivity so sensitive that an impact at your end creates comparable difficulties for some of your suppliers?

For example, could someone compromise one of your suppliers by using your system?

(1615)

Mr. Luc Jarry:

In terms of connectivity, I would say no, not with our model.

We have dedicated links to some of our suppliers exactly because we expect greater reliability and availability. These are some of the aspects of fibre optics my colleagues are discussing.

We use protocols with different service providers in Canada and the United States with dedicated MPLS links. This is not necessary for others. We should not forget that there are levels of criticality associated with our systems: there are the “critical”, “standard” and “average” levels. We put in place the measures required to ensure availability.

Mr. Michel Picard:

Thank you.

The Chair:

Mr. Paul-Hus, you have five minutes.

Mr. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, CPC):

Thank you, Mr. Chair.

My first question is for the representatives of Tawich Development Corporation.

We did some research on you. We discovered that you went to China recently and that you have photos of your meeting with the people from Alibaba.

Can you tell us if you reached agreements with them? If so, what kind of agreements?

Mr. Jean Fernand Schiettekatte:

The people at Alibaba want to open data centres in Canada. They want to have data centres that meet Canadian standards. In fact, all transactions between Asia and Canada could flow through a northern fibre. This makes it interesting because it reduces the latency. Alibaba has opened several data centres in the United States.

Mr. Pierre Paul-Hus:

I believe that the photograph shows the Cree nation signing an agreement with the Chinese. Have you already signed a memorandum of understanding?

Mr. Jean Fernand Schiettekatte:

We have signed agreements, but not with respect to data centres. We import security equipment for mines, sweaters and things like that.

Mr. Pierre Paul-Hus:

But no technology.

Mr. Jean Fernand Schiettekatte:

No.

Mr. Pierre Paul-Hus:

All right.

The company would be established in Quebec. Have you calculated the economic benefits for Canada or Quebec of the project you are undertaking?

Mr. Jean Fernand Schiettekatte:

We are in discussions for a prefeasibility study, which would provide more solid statistics on the economic benefits. We believe that the banking data processing centres that would be established in northern Quebec would generate significant economic benefits for Quebec.

Mr. Pierre Paul-Hus:

In the North, we already have the North Warning System, the Canadian portion of which is run by National Defence under NORAD. Would the proposed optical fibre telecommunication link be linked to the 47 existing radar stations?

Mr. Jean Fernand Schiettekatte:

This is very interesting and something that I did not mention in our presentation, which deals more with First Nations. However, it would be important to add the Canadian military bases to this link. That is something that could be considered.

Mr. Scheer wants to ensure Canada's security and presence in the far north, and we believe that this fibre optic line is one of the tools that would make this possible.

Mr. Pierre Paul-Hus:

Perfect, thank you.

Mr. Jarry, when we talk about the Internet of Things, we are also talking about the supply chain. My colleague asked a question about checking the devices that are purchased. What do you think of the Chinese corporation Huawei?

Mr. Luc Jarry:

What is a little surprising about Huawei is that it has been working with Bell Canada for a long time. Now questions are being raised especially because there are concerns about security and espionage. I find it surprising that a company like Bell Canada has been doing business with Huawei for many years while other companies have backed away.

Mr. Pierre Paul-Hus:

Is it the deployment of the 5G network that is problematic? The older devices were different. Could the new devices and 5G technology have a different impact?

Mr. Luc Jarry:

I retired from Bell Canada after working there for many years. However, I did not directly participate in that project. What I can say is that we have concerns about security. I am talking about espionage. I was surprised to learn about that.

(1620)

Mr. Pierre Paul-Hus:

Okay.

Concerning the Internet of Things, you spoke about various remote controls for things. There are definitely some of us who have remote locking systems. These things are controlled by home automation systems. Can the equipment be programmed when installed and controlled afterwards, or must you control the automated system to control the thing?

Mr. Luc Jarry:

One of the main problems with the Internet of Things is cybersecurity. Cybersecurity is not a consideration when designing and manufacturing most of the things that we want to connect to the Internet. One of my recommendations to the committee is to deal with this aspect once and for all. We now have to consider cybersecurity when connecting a device.

Let us not forget that automated systems are not new. As I mentioned, we have been investing in this area for 15 to 20 years. However, these systems were on closed networks. Now we will be able to prevent equipment breakdowns in plants with artificial intelligence.

Earlier, we talked about the availability of systems at Cascades. We will be able to operate systems 24 hours a day, seven days a week, 365 days a year. We can use artificial intelligence to anticipate equipment breakdowns. To take advantage of that we have to connect all the equipment.

We must not forget that the majority of cyber attacks that have taken place in Canada and around the world involve information and denial of service. When we connect these things, it becomes physical. In terms of security, we must now ask ourselves if this will be part of the country's military arsenal. [English]

The Chair:

Thank you.

Ms. Sahota, you have five minutes.

Ms. Ruby Sahota (Brampton North, Lib.):

David is going to be taking my time. [Translation]

Mr. David de Burgh Graham:

I would like to come back to what was said earlier about the attack on WhatsApp, which was reported yesterday. According to the analyses we have learned about to date, it would seem that state actors were responsible for this attack and that the human rights sector was targeted.

In your view, are the world's greatest cybersecurity threats posed by the private sector or state actors?

Mr. Luc Jarry:

Are you referring to vulnerabilities?

Mr. David de Burgh Graham:

I am referring to the exploitation of vulnerabilities.

Mr. Luc Jarry:

In my opinion, one of the problems with managing security incidents is that the companies are starting to communicate more of this type of information. I think it is still a little early.

To answer your question, I think it is a little of everything right now.

Mr. David de Burgh Graham:

Attacks against states do take place and are fairly serious even though they are not the only attacks. What do you think of the KesKuun project that the other witnesses talked about?

Mr. Luc Jarry:

I think the project is interesting. There is one thing they are absolutely right about, and that is that with respect to cybersecurity, availability is very important. In my opinion, it is important that we maintain our sovereignty in Canada, that we have our own fibre for telecommunications.

I am just hearing about this project. From a cybersecurity point of view, I fully support this type of project and approach.

Mr. David de Burgh Graham:

That's good.

I will ask the other witnesses some questions.[English]

Thank you.

I'd like to continue with Mr. Gull on the staging of the project. You said it's already in place in Alaska for this Quintillion project. It's already built in Alaska. What is the rollout process here?

It's in Alaska and we're trying to be a non-U.S. network. Can you explain that a bit more?

Mr. Sam Gull:

The fibre that's being connected now is in service. When the line goes to Japan and to England, it's going to stay in international waters. There are going to be two pipelines that are not going into the U.S. Those are the two pipelines we're interested in, to stay at an international level. The U.S. won't be connected to that line.

Mr. David de Burgh Graham:

Do you have any idea when Quintillion expects to finish construction of the third stage?

Mr. Sam Gull:

It all depends on our winters. The Northwest Passage still freezes. Their concern, too, is the timing of putting that line through the Northwest Passage. That's why they're doing that last. There are certain places where it's very shallow and with the icebergs they really have to take their time and study that part.

(1625)

Mr. David de Burgh Graham:

When you talk about getting the Quintillion line connected to Canada via James Bay to have full network sovereignty, is there any way we can connect it to the west and east coasts as well? Can we connect it as a domestic network and not just an international network for us? Do you have any thoughts on that?

Mr. Jean Fernand Schiettekatte:

Yes, that could be done.

There is a project for a line to go up to Yellowknife. That line could be connected on that side also. That's why our recommendation is basically to have a Canadian team develop that project in the north. I think this should be a recommendation of this committee.

Mr. David de Burgh Graham:

It's a priority to get us connected to that line.

Mr. Jean Fernand Schiettekatte:

Yes. The priority of Tawich is, for sure, the development of northern Quebec.

Mr. David de Burgh Graham:

Sorry, but the priority of this committee is the cybersecurity. From that angle, I think it is fascinating to have this solution. Not only that, but to have it brought forward by the Cree first nation is really interesting for all of us to see.

I have only a few seconds left, I believe.

The Chair:

If Mr. Eglinski is going to have any time at all, you'll probably have to be really brief.

Mr. David de Burgh Graham:

I'll say one more thing to Mr. Jarry, and then I'll give it Mr. Eglinski. That's security by design.

Mr. Luc Jarry:

What do I think about security by design?

Mr. David de Burgh Graham:

Yes.

Mr. Luc Jarry:

How many minutes do I have?

The Chair:

You don't have any minutes at all.

It's a good question. We'll have to work on the answer.

We'll go to Mr. Eglinski for the final five minutes.

Mr. Jim Eglinski (Yellowhead, CPC):

Thank you.

I'd like to thank our witnesses for being here today.

I'll start with this line you're proposing through the High Arctic and over to China. It's going to Japan? Good. All right.

Why would you have gone along the Arctic and not crossed along the bottom of Hudson Bay and then come across Canada, when there's been a lot of talk of a transportation corridor along the northern provinces and the bottom of the Northwest Territories, and connect it in...? It seems that there's a lot of extra work to go up toward the top and around, when you could tie into the bottom of Alaska and then follow the Aleutians out. It's the same with connecting to your European....

Was there a rationale for wanting to go so much higher up?

Mr. Jean Fernand Schiettekatte:

There was a rationale around it. You can see it when you take a plane. All the flights that go from Toronto or Montreal to Asia basically go by the north. If you look at the distances, it's shorter to go by the north than by the south of Canada. That's where you gain the latency; there's a technical reason that is related to the business case. That's how you would attract the financial institution investor.

That's the first reason. The second reason is that we are for sure in the north, so we're pushing the development of the north; that's the mandate of Tawich. It's thus an interest of ours, but I think it's an interest of Canadians as a whole, especially given the discussion you saw in the news involving our neighbours in the U.S. who want to assume sovereignty over Canada.

I think it's very important that if you buy that line, you would mark with a substantial development the north of Canada. If you don't occupy the territory, at one point you can lose sovereignty over it.

Mr. Jim Eglinski:

I'm glad to hear that coming from the business community, because it is a concern. It's a concern with our caucus that the sovereignty of the north must be looked after. Thank you for planning that in your strategy.

You talk about the power you need—some parts here say 300 and then 200 megawatts. Is that to feed the power to the line all the way across, or are you going to have to add more power as it continues? That's quite a distance that we're shooting, from your part of the country right around the top.

Mr. Sam Gull:

The main point for the power from the La Grande dams is to feed the data centres. It's the data centres that consume a lot of energy because of the size of these data centres. It doesn't take too many data centres to consume 200 megawatts, even though we have all the natural cooling systems in the north, which reduce the cost of operating data centres. I visited data centres in Silicon Valley, and their main issue is the cost of cooling their computers.

(1630)

Mr. Jim Eglinski:

I take it from what you're saying here that your data centres will be located in your traditional territorial lands and then you'll be feeding that data back into Canada and other locations.

Mr. Sam Gull:

Yes.

Mr. Jean Fernand Schiettekatte:

To answer your question, yes, that's why there will be opportunity to connect some remote communities from which you'll get some power to do the repeaters. A design has been done to have a couple of communities feeding the line in the north of Canada. This is an occasion to feed. It could also be a military base that might be used to allocate the thing. I think it's a very interesting project.

Mr. Jim Eglinski:

Thank you.

Mr. Jarry, in your professional experience, do you think we everyday users of the Internet services can protect ourselves adequately? Are there proper programs that we can buy to protect our home security, or is that just a fallacy of someone selling me a product that probably is not going to do the job?

Mr. Luc Jarry:

Security is about two things, mainly. It's about training and about awareness. I mentioned earlier that many people agree to some confidentiality and haven't read the agreement.

To answer your question, yes, you can definitely improve your security. Now, is it 100% foolproof? I can compare it to driving a car. Putting on your seatbelt and having your ABS brakes and all those security systems enabled will probably prevent your getting hurt, if you get into an accident. But do you still have a chance of having an accident? You still do, yes.

Mr. Jim Eglinski:

Security is only as good as the service that is being provided to Canadians, and in parts of Canada we know that the service is terrible, or almost to the point of rotten, whereas in other areas you have a very good service.

The Chair:

Thank you, Mr. Eglinski.

Before I let you go, whose is the money behind Quintillion?

Mr. Jean Fernand Schiettekatte:

From what we know, because we don't know them, it's a U.S. company that is basically supporting this project.

The Chair:

So this is U.S. money and a U.S. company—

Mr. Jean Fernand Schiettekatte:

Yes.

The Chair:

—and this will be a project to protect us from going through the U.S.

Mr. Jean Fernand Schiettekatte:

Yes, that's why we say we would like to have a Canadian team, but the Cree, we have some money, but we don't have enough to do it alone.

The Chair:

Would a Canadian entity, whether it's you, somebody else or some combination, own it up through James Bay and Hudson's Bay up to the connection point, or would you own it all the way over to Alaska?

Mr. Jean Fernand Schiettekatte:

We would like to own it up to Alaska and up to Europe. We would basically like to own phase three.

The Chair:

What is the significance of being in international waters as opposed to domestic waters? You know there is a dispute over the Northwest Passage. Canada regards it as domestic. Mr. Pompeo regards it as international. What would be the significance of whether it's domestic or international to your project?

Mr. Jean Fernand Schiettekatte:

It's basically not to be submitted through the PATRIOT Act and all the laws that regulate it. You want to try to be out of the reach of the NSA system. That's a concern that I think Canadians should be aware of. If I talk to the question that was asked of Mr. Jarry about who is doing the spying, it's a very good question.

The Chair:

Finally, is your project subject to Canadian security review?

Mr. Jean Fernand Schiettekatte:

Yes, it would be.

The Chair:

Has that been initiated?

Mr. Jean Fernand Schiettekatte:

No, we're still in the study phase. If you look on the Internet, you won't find too much information about what we're doing. Now is the first time we've publicized what we're doing. Yes, we have had some contacts, but there is still a lot of work to be done.

The Chair:

Thank you for that.

I'm sorry to interrupt what is a really good and interesting conversation, but with that, we are going to adjourn, and I want to thank you again for your presentation to the committee.

We are suspending, not adjourning, and then we are going in camera. Thank you.

[Proceedings continue in camera]

Comité permanent de la sécurité publique et nationale

(1530)

[Traduction]

Le président (L'hon. John McKay (Scarborough—Guildwood, Lib.)):

Chers collègues, je constate que nous avons le quorum. Bienvenue à la 163e réunion de notre vénérable comité, le meilleur comité sur la Colline.

Je suis heureux d'accueillir nos invités aujourd'hui, qui en sont tous à leur première comparution devant un comité parlementaire. J'ai demandé à mes collègues de vous ménager.

Comme vous le savez sans doute, vous aurez chacun 10 minutes. J'inviterai M. Jarry à prendre la parole en premier. Lorsqu'il aura terminé, je demanderai à M. Gull de présenter les membres de son groupe, qui seront ensuite invités à intervenir pour une période de 10 minutes.

Monsieur Jarry, vous pouvez y aller. [Français]

M. Luc Jarry (conseiller sénior en cybersécurité, à titre personnel):

Merci, monsieur le président.

Bonjour, mesdames et messieurs les membres du Comité.

Je m'appelle Luc Jarry et je suis conseiller sénior en cybersécurité auprès de l'entreprise Cascades. Je suis également chargé de cours. J'enseigne la cybersécurité industrielle à Polytechnique Montréal, qui est affiliée à l'Université de Montréal.

Il s'agit de ma première expérience comme témoin. J'ai consacré un peu de temps à la lecture des autres témoignages et je constate que plusieurs sujets ont été abordés. Aujourd'hui, je vais vous parler d'un sujet qui touche pratiquement tous les domaines, que ce soit sur le plan financier, industriel, des affaires ou personnel. Je parle de l'Internet des objets, mieux connu sous l'acronyme IDO, qui est naturellement associé à l'intelligence artificielle.

En quoi consiste l'Internet des objets? Je crois que la meilleure définition est la plus courte: c'est une intégration entre le monde physique et le monde virtuel et informatique. Depuis quelques années, partout dans le monde, on vit une révolution extraordinaire quant au branchement des objets sur les réseaux TCP-IP. Je parle ici d'Internet. On estime que, d'ici 2020, entre 40 et 50 milliards d'objets seront connectés à Internet. Il faut d'ailleurs se demander s'il ne faudrait pas remplacer le terme « Internet des objets » par « Internet de tout ».

Associé à l'intelligence artificielle, l'Internet des objets rend possible ce qui était inimaginable il y a quelques années. Je vais vous donner comme exemple les automobiles qui vont se conduire elles-mêmes. Elles font encore l'objet de tests. Nous en avons tous entendu parler. Aujourd'hui, si votre automobile est le moindrement récente, elle est probablement munie d'un témoin qui mesure la pression de ses pneus. Si un des pneus est mou, le témoin va envoyer un message à l'ordinateur de bord pour que le conducteur sache qu'un des pneus est mou. Le conducteur va alors devoir remédier à la situation.

Avec l'Internet des objets, la même chose va se produire, mais en plus d'informer le conducteur, la voiture va elle-même prendre un rendez-vous chez le concessionnaire ou au garage qui assure son entretien. La voiture va se rendre elle-même chez le concessionnaire pour qu'on y règle le problème et va ensuite revenir à son point d'origine. Vous voyez un peu le potentiel que cela représente. Cela va ouvrir des possibilités extraordinaires dans tous les domaines.

Hélas, avec toutes les nouvelles technologies, on fait face à de nouvelles menaces et à de nouvelles conditions de vulnérabilité. Or, ce sont presque uniquement les ordinateurs — munis de microprocesseurs et exploités par des systèmes d'exploitation — qui sont branchés sur nos réseaux Internet. Cela nous permet d'établir des défenses de base en cybersécurité. Par exemple, je constate qu'il y a dans la salle des ordinateurs portatifs qui sont ouverts. Je suis certain que ces ordinateurs font l'objet d'une protection de base en matière de cybersécurité. Il s'agit ici d'un pare-feu personnel activé et, probablement, d'un logiciel antivirus — qui, je l'espère, inclut les dernières signatures virales —, ainsi que d'un détecteur de maliciels. Un fait est important à noter. Ces ordinateurs sont munis d'un processeur et sont en mesure de chiffrer et déchiffrer les informations. Je parle ici de cryptage, une stratégie largement utilisée en cybersécurité.

Le problème, dans le cas de l'Internet des objets, est que les objets sont dépourvus de systèmes d'exploitation et de processeurs. Il n'est donc pas possible de les munir d'une protection de base, comme on peut le faire pour les ordinateurs. Cela les rend extrêmement vulnérables.

Au cours des 15 ou 20 dernières années dans le monde industriel, beaucoup d'investissements ont été faits dans des projets de mécanisation et d'automatisation. Aujourd'hui, les usines modernes utilisent des contrôles industriels tels que des automates programmables, des SCADA, qui communiquent entre eux par l'entremise de leurs protocoles de télécommunication. Ce sont des réseaux fermés et invisibles sur Internet. On en parle souvent comme de l'Intranet. Pour que les entreprises puissent bénéficier des avantages de l'intelligence artificielle, elles doivent brancher ces automates ou ces contrôles industriels à Internet pour communiquer avec des fournisseurs de services en intelligence artificielle, ce qui les rend très vulnérables.

D'un autre côté, selon mes propres observations, les contrôles industriels actuels dans les usines sont maintenus et contrôlés par des électromécaniciens, dont la plupart n'ont pas reçu de formation en cybersécurité.

Présentement, plusieurs entreprises font des branchements à l'Internet et créent des failles dans leurs propres réseaux, ce qui peut mener à des intrusions. On parle ici de vol d'information et d'espionnage industriel, bref, d'accès non autorisés.

Il y a pire que cela maintenant. Avec l'Internet des objets, imaginez qu'un pirate informatique ou même un groupe terroriste prenne le contrôle à distance d'infrastructures essentielles telles que des barrages hydroélectriques, des usines de filtration d'eau et des hôpitaux. Imaginez tous les dégâts et les menaces à la sécurité publique et financière que cela entraînerait.

On ne peut pas ignorer l'aspect de la vie privée. Comme vous le savez, les gens connectent de plus en plus des objets à leur réseau privé à la maison ou à leur téléphone cellulaire. À titre d'exemple, vous pouvez acheter un réfrigérateur qui se branche à l'Internet et qui est muni d'un écran semblable à celui d'une tablette. Le réfrigérateur peut faire l'inventaire de tous les aliments qu'il contient, gérer leurs dates de péremption et même vous proposer, au moyen de l'intelligence artificielle, des recettes basées sur ces aliments. C'est merveilleux. Par contre, du point de vue de la vie privée, on peut se demander si les compagnies d'assurance-vie souhaiteraient connaître le contenu du réfrigérateur de leurs clients. La réponse est oui.

Au Canada, les Canadiens et les Canadiennes sont protégés par des lois sur les renseignements personnels, mais il y a un problème. De nombreuses études démontrent que près de 95 % des gens acceptent des conditions de confidentialité sans les avoir lues. Les gens acceptent souvent des choses, mais ils ne savent pas quoi exactement.

Toujours au sujet de la vie privée, il y a des assistants qui se branchent à l'Internet et qui s'activent après que vous avez prononcé une phrase ou un mot clé. Vous pouvez alors échanger avec eux au sujet de diverses informations qui se trouvent sur l'Internet, telles que la météo et les nouvelles. Si des appareils de ce genre sont branchés sur un réseau résidentiel non sécurisé, auquel il est très facile d'avoir accès, un pirate informatique, au moyen d'un ver informatique, pourrait vous enregistrer. Si l'appareil est muni d'un appareil photo, un pirate informatique pourrait prendre des photos de vous. Il y aurait manifestement une violation de la vie privée.

Je pourrais vous donner plusieurs exemples. Le document que je vous ai présenté contient une série de recommandations, mais, hélas, je n'aurai pas le temps de toutes les passer en revue.

Avec votre permission, monsieur le président, je vais répondre aux questions maintenant.

Je vous remercie.

(1535)

Le président:

Merci, monsieur Jarry.[Traduction]

Je vais probablement devoir me procurer un de ces réfrigérateurs, comme ça je n'aurai plus à préparer mes propres repas. Ce sera véritablement miraculeux.

M. Michel Picard (Montarville, Lib.):

Ils ne préparent pas les repas pour vous.

Le président:

Un sandwich au baloney reste un sandwich au baloney, peu importe qui le prépare.

Monsieur Gull, vous avez 10 minutes; je vous demanderais de bien vouloir présenter vos collègues.

M. Tony Gull (président, Tawich Development Corporation):

Merci.

[Le témoin s'exprime en cri.]

[Traduction]

Je vous remercie de nous avoir donné l'occasion de nous exprimer et de vous décrire rapidement les occasions que nous envisageons saisir pour le bien de notre nation — la nation crie — et de notre collectivité, plus précisément, Wemindji.

À ma gauche sont les conseillers qui travaillent avec nous, la société, dans ce dossier. Je vous présente Sam Gull, conseiller; Jean Schiettekatte, également conseiller; et Robert Milo. Ces trois conseillers sont en quelque sorte des experts en matière de ce que nous cherchons à accomplir.

Comme vous l'avez sans doute compris, nous cherchons à établir un lien de télécommunication par fibre optique reliant le Canada, l'Asie et l'Europe, lien essentiel pour assurer la cybersécurité dans le secteur financier au Canada.

La société elle-même appartient à part entière à la collectivité de Wemindji, qui compte quelque 1 400 habitants. Pour vous donner une idée, à l'heure actuelle, la société s'appelle Tawich. Tawich signifie « éloigné ». C'est littéralement une société de développement éloignée.

Pour votre information, je précise que la société compte actuellement plus de 1 000 employés au Québec — en Abitibi et ailleurs — et regroupe diverses compagnies. Tout simplement, nous avons ici une nouvelle occasion formidable de nous rapprocher de notre objectif, qui est de convaincre certaines personnes de contribuer au projet ensemble.

Comme vous le savez déjà, c'est keskun, qui signifie « nuages ». Dans le monde de l'informatique et d'Internet, « nuages » se dit keskun dans notre dialecte. Concrètement, il s'agit du projet de centre de données qui sera construit sur le territoire cri de notre collectivité. Keskun est essentiellement un parc de grands centres de données nordiques; c'est le projet qui nous occupe.

Le projet nécessitera initialement une alimentation en électricité de 200 mégawatts. Tout le monde sait que la centrale Robert Bourassa, située à quelques heures de route de chez nous, est la source d'énergie verte la plus fiable en Amérique du Nord. Le 29 avril 2019, la Régie de l'énergie du Québec a autorisé l'attribution d'un certain nombre de mégawatts aux centres de calcul.

Nous sommes d'avis que le Canada est essentiellement limité aux États-Unis pour sa connectivité Internet internationale. Environ 11 % du trafic Internet international canadien ne passe pas par les États-Unis.

Le témoin précédent a invoqué une image que nous utilisons souvent. Il se bâtit une grande autoroute, et nous voulons y construire un point d'accès pour pouvoir l'emprunter. La cybersécurité canadienne, y compris les transactions financières, dépend des États-Unis. C'est ce que nous considérons comme un maillon faible.

Je cède maintenant la parole à mes conseillers et collègues, qui vous en diront un peu plus sur le projet.

(1540)

M. Sam Gull (conseiller, Tawich Development Corporation):

Meegwetch.

[Le témoin s'exprime en cri.]

[Traduction]

Je vous remercie de m'avoir invité à faire ma présentation.

Comme vous pouvez le voir à l'écran, notre plus gros problème ici, au Canada, est que tous nos liens sont aux États-Unis. Seuls 11 % de ces liens se situent au Canada — plus précisément, entre Terre-Neuve et le Groenland. C'est notre seule issue. Tous les autres liens se trouvent aux États-Unis. C'est selon nous un grave problème.

Comme vous pouvez le voir à l'écran, nous envisageons participer à un projet : le lien de fibre optique Quintillion. L'Alaska est déjà desservie; c'était la première phase. La deuxième consistera à étendre le réseau de l'Alaska jusqu'au Japon, et la troisième, à rejoindre l'Alaska et l'Europe en passant par le détroit d'Hudson. C'est dans le cadre de la troisième phase que nous souhaitons connecter Wemindji au réseau. En effet, quand la canalisation sera posée, nous aurons une seule occasion de nous connecter, et nous ne voulons certainement pas la manquer.

Le lien nordique consiste en une fibre... Six grandes liaisons à fibres optiques y sont connectées, dont deux se situent exclusivement en eaux internationales. C'est à ces deux liaisons-là que nous souhaitons nous connecter, car notre Première Nation considère essentielles la sécurité, la sûreté et la souveraineté de l'Arctique. Le lien qui longera la baie James ira également rejoindre Montréal, Toronto et le réseau du sud.

Un projet de fibre optique nordique est nécessaire pour assurer la connectivité internationale du Canada et assurer la cybersécurité de son réseau.

Comme vous pouvez le voir sur la carte qui s'affiche à l'écran, la liaison optique traverserait le passage du Nord-Ouest, de l'Alaska en passant par le détroit d'Hudson. C'est là que nous voulons rejoindre le réseau, par la baie James jusqu'à la collectivité de Wemindji, où se situe la Société de développement Tawich, et à partir de là, on irait rejoindre Montréal et Toronto.

Comme vous pouvez le voir sur la carte, 89 % des données canadiennes transitent par les États-Unis. Ainsi, elles sont régies par la Patriot Act américaine, créant une vulnérabilité sur le plan de la sécurité. Une nouvelle fibre optique nordique du Canada serait en mesure de changer ce paradigme. Il est important d'avoir des centres de données avec accès par fibre optique à la connectivité internationale et à très haute connectivité à très faible latence — de l'ordre des millisecondes — sur de longues distances. La position géographique — soit la proximité des centres financiers à Londres, New York, Tokyo, Shanghai, Montréal et Toronto — est elle aussi critique. Nous avons aussi l'avantage d'être alimentés par de l'énergie renouvelable provenant d'un réseau nordique inépuisable, ultra fiable et très peu coûteux, soit de l'ordre de 4 ¢US par kilowatt. De plus, les coûts d'exploitation de nos centres de traitement des données sont très faibles, surtout compte tenu de leur capacité de refroidissement. Comme on le sait, ces ordinateurs ont tendance à surchauffer.

Un lien nordique assurerait la sécurité de la connectivité internationale indépendamment des États-Unis. En guise d'exemple, on serait en mesure d'accélérer les délais de transmission de 18 millisecondes entre Montréal et Tokyo. Aux États-Unis, on ne constaterait aucune réelle différence. C'est entre Montréal et Toronto et l'Angleterre et l'Asie que l'on verrait la plus grande amélioration.

Dans son plan stratégique, Hydro Québec a annoncé un taux d'environ 4 ¢ par kilowatt, ce qui représente un avantage considéraBle pour nous en matière de consommation électrique. Nous avons aussi l'avantage d'être sur le bouclier canadien, qui n'éprouve aucun tremblement de terre. Vous avez sûrement entendu parler de ce qui s'est passé au Japon et en Alaska. Comme les tremblements de terre sont un grave problème, il y aurait intérêt à situer les centres de données du Nord sur le bouclier.

J'aimerais maintenant céder la parole à Jean Schiettekatte, qui terminera notre présentation.

(1545)

M. Jean Fernand Schiettekatte (conseiller, Tawich Development Corporation):

Merci, Sam.

Merci à tous de votre accueil aujourd'hui.[Français]

Comme vous l'avez vu dans la présentation, en raison des temps de latence très faibles, toutes les transactions financières canadiennes passeront par ce lien. C'est une occasion pour nous d'offrir aux Canadiens une solution de sécurité qui n'est pas que logicielle; elle est aussi matérielle. L'idée est de construire une fibre nordique indépendante et internationale, dont le principal avantage serait de permettre aux Canadiens d'assurer leur souveraineté sur ce territoire, avec les Premières Nations. C'est un aspect très important que nous voulons voir dans ce projet.

Je pense que c'est aujourd'hui votre dernière réunion sur ce sujet. Nous aimerions que le Comité se penche sur cette option. Il y a le lien Quintillion qui est en développement dont un premier segment est déjà en service, mais il pourrait y avoir un autre projet canadien qui se relierait au réseau. Comme l'a dit M. Gull, des parties de ce câble resteraient en eaux internationales. Cela pourrait fournir une connexion internationale cybersécuritaire et assurerait aux Canadiens un accès à d'autres marchés avec un temps de latence très faible. Cela nous donnerait un avantage dans nos transactions financières internationales et, plus important encore, cela nous permettrait d'assurer la souveraineté du Canada sur ce passage.

Il serait intéressant de combiner cela avec l'interconnexion des communautés nordiques, mais cela ne devrait pas être le premier objectif. Le premier objectif est d'assurer notre sécurité. Évidemment, il y a toutes sortes d'autres avantages, comme la formation de travailleurs et la création d'emplois dans le Nord, qui sont bénéfiques sur le plan économique.

Merci, monsieur le président.

Le président:

Merci à tous.[Traduction]

Monsieur Graham, je précise que vous avez sept minutes.

M. David de Burgh Graham (Laurentides—Labelle, Lib.):

Merci à tous d'être venus. Nous avons deux témoins très différents aujourd'hui.

Je dois dire que je trouve le projet keskun fort intéressant. Comme vous le savez, nous en avons déjà parlé.

Monsieur Gull, si on manque la chance de se raccorder au réseau de fibre optique Quintillion à l'étape de sa construction, dans quelle mesure sera-t-il difficile de s'y raccorder par la suite?

M. Sam Gull:

En tant que Canadien et que Cri, j'estime que le Canada doit agir, qu'il doit construire sa propre fibre optique. Tout le monde sait que la quantité d'information ou de données que nous utilisons par année augmente, et elle continuera d'augmenter. Ça ne ralentira pas de sitôt.

Si nous ne pouvons pas nous connecter au réseau Quintillion, j'estime que le Canada devrait agir et construire son propre réseau de fibre.

M. David de Burgh Graham:

Vous disiez dans votre introduction que c'est une question de souveraineté des réseaux. Le Canada n'a aucune telle souveraineté. Quintillion, qui relie Tokyo à Londres, si j'ai bien compris, nous permettrait d'avoir une certaine souveraineté par rapport aux États-Unis, ce qui semble être l'objectif premier.

À propos de l'exploitation de centres de traitement des données, vous avez parlé d'un avantage de 18 millisecondes et de son impact sur le secteur des finances. Relativement aux investissements, qu'est-ce que cela signifie pour le secteur financier? Faudra-t-il que les centres de données du secteur déménagent plus au nord?

M. Tony Gull:

J'aurais une observation à faire avant que Jean vous donne une réponse un peu plus pointue.

En ce qui me concerne, c'est une question de développement économique; c'est pour ça que je suis ici. J'ai pour mandat le développement économique, et j'estime également que le gouvernement fédéral a une responsabilité à cet égard — tout comme vous, dans une certaine mesure. Je pense que le projet présente d'importants débouchés économiques, mais surtout... Quand on parle de cybersécurité ou de souveraineté des réseaux, tout revient aux données elles-mêmes. Il est essentiel qu'on les ait et qu'on les garde.

Pour moi, quand on parle d'impact, tout revient au développement économique, car c'est mon mandat. C'est mon domaine d'activité, et c'est pourquoi j'ai voulu comparaître devant vous aujourd'hui.

Allez-y, Jean.

M. Jean Fernand Schiettekatte:

La réponse simple est assez intéressante. On peut la trouver dans le tableau des latences. À ce point-ci, aucune banque au monde ne peut se permettre de ne pas avoir un centre. Quiconque effectue des opérations en devises étrangères doit avoir accès en tout temps aux données provenant des marchés de Londres, de Tokyo et de New York. Nous serons le point d'accès. Les principales transactions commerciales — celles dont vous avez parlé, où quelqu'un s'est fait pirater — passeront par cette ligne, et c'est nous qui la contrôlerons. Ce n'est pas le cas pour le moment et toutes nos transactions passent par New York. Chaque fois que vous transférez de l'argent, la transaction transite par New York, par son système.

Voilà pourquoi nous estimons que c'est si important au chapitre de la cybersécurité. Pour combler cette lacune, il faut absolument envisager des solutions matérielles.

(1550)

M. David de Burgh Graham:

Qui contrôle la ligne?

M. Jean Fernand Schiettekatte:

Aux États-Unis, c'est la NSA qui surveille toutes vos transactions.

M. David de Burgh Graham:

Je suppose qu'ils travaillent de ce côté-ci de la frontière, aussi, ce qui m'amène à une autre question. La ligne Quintillion et la ligne keskun touchent toutes deux à la sécurité nationale. Que peut-on faire pour protéger les lignes contre d'éventuelles attaques par des sous-marins en mission scientifique dans le Nord?

M. Jean Fernand Schiettekatte:

Je pense qu'il faudrait avant tout affirmer notre souveraineté. Quiconque arrive le premier occupera le territoire. C'est compromettre sa souveraineté que d'attendre qu'une autre compagnie ou qu'un autre pays prenne l'initiative. L'idée, c'est justement de surveiller [Inaudible]. Je pense qu'il est très difficile d'affirmer la sécurité d'une liaison par satellite, c'est pourquoi on construit le réseau sous terre. Ainsi, on peut assurer une surveillance et déterminer si les propriétés de la fibre optique sont intactes et s'il y a eu tentative d'interception. C'est la façon de procéder. Je ne vois aucune autre option.

M. Sam Gull:

J'ajouterais également que, selon les discussions que nous avons eues, la ligne sera posée au moins trois pieds sous le plancher océanique à cause des icebergs. C'était un problème. Si nous la mettons sous terre, les sous-marins ne pourront ni la trouver, ni la voir.

M. Robert Milot (conseiller, Tawich Development Corporation):

Une chose est sûre, à partir du moment où Quintillion ou autre aura terminé la construction de la canalisation de fibre optique, on ne pourra plus se connecter au réseau. Il faut que ce soit fait avant. Nous avons déjà fait des démarches auprès du gouvernement du Québec, du premier ministre et de divers ministères; l'idée semble susciter un vif intérêt.

M. David de Burgh Graham:

Voilà qui répond à bien des problèmes qui ont été soulevés dans le cadre de l'étude. Nous avons toujours des problèmes dans [Inaudible], mais c'est la première fois qu'on vient nous présenter une solution. Je vous en suis très reconnaissant.

J'ai quelques courtes questions à poser à M. Jarry, s'il me reste du temps.[Français]

Monsieur Jarry, dans votre présentation, vous avez parlé de l'Internet des affaires.

M. Luc Jarry:

C'est l'Internet des objets.

M. David de Burgh Graham:

D'accord. On parlait d'une automobile qui parle à un mécanicien pour prendre rendez-vous. Cela n'ouvre-t-il pas grand la porte pour que l'automobile aille directement à la maison du voleur?

M. Luc Jarry:

À la maison du voleur, vous dites?

M. David de Burgh Graham:

Oui. Je crève le pneu d'une automobile, puis je lui dis que je suis son mécanicien. Elle s'en vient me voir et j'ai l'automobile.

M. Luc Jarry:

Cela peut être une des vulnérabilités.

Il va de soi que ces nouvelles technologies vont mener à des situations semblables, mais il y a pire que cela. Présentement, avec votre téléphone cellulaire, vous pouvez même contrôler la porte de votre maison lorsque vous êtes absent. Vous pouvez répondre et ouvrir la porte à distance. Si quelqu'un s'infiltre dans votre système, il peut facilement savoir que vous êtes absent et déverrouiller votre porte.

M. David de Burgh Graham:

Hier ou avant-hier, il y a eu une faille de sécurité dans WhatsApp. Êtes-vous au courant de cela?

M. Luc Jarry:

Oui.

M. David de Burgh Graham:

Pouvez-vous nous en parler davantage?

M. Luc Jarry:

Un logiciel malveillant a été installé et a espionné les communications de téléphones cellulaires. Si on a appelé une personne, l'appareil a été infecté, et ce, même si elle n'a pas répondu,. C'est encore une question de mises à jour. Vous avez raison. C'est sorti dans les médias hier.

M. David de Burgh Graham:

Vous avez dit que 95 % des gens ne lisent pas le contrat de licence d'utilisation, mais je dirais que c'est plutôt 99,99 %.

M. Luc Jarry:

Le chiffre que j'ai donné vient d'entrevues qu'a faites Deloitte dans le cadre d'une étude. Je suis d'accord avec vous que ce chiffre est très conservateur.

M. David de Burgh Graham:

Vous êtes sans doute au courant de ce qu'a fait PC Pitstop en 2005. Elle offrait 1 000 $ à qui lirait son contrat de licence d'utilisation. Cela a pris cinq mois et 3 000 ventes pour que quelqu'un réclame les 1 000 $.

M. Luc Jarry:

Tout à fait.

Le président:

Merci, monsieur Graham.[Traduction]

Monsieur Motz, vous avez sept minutes.

M. Glen Motz (Medicine Hat—Cardston—Warner, PCC):

Merci, monsieur le président.

Je remercie les deux groupes de témoins d'avoir accepté de comparaître.

Votre projet de connexion m'intrigue. Vous avez indiqué qu'il va falloir agir rapidement pour se connecter au réseau de fibre optique en cours de construction. Quand est-ce que vous vous attendez à connaître la décision afin de pouvoir prendre votre place en ligne et vous assurer d'être connecté avant l'installation de la ligne?

(1555)

M. Jean Fernand Schiettekatte:

Présentement, le délai est de deux ans.

M. Glen Motz:

C'est l'échéancier prévu pour la construction de la ligne.

M. Jean Fernand Schiettekatte:

Ils doivent d'abord dresser des plans pour voir s'il est possible d'établir un lien dans le détroit d'Hudson qui irait rejoindre le reste. L'idée, c'est qu'il faut d'abord dresser des plans et déterminer le processus. On s'occupe présentement de la connexion entre Alaska et le Japon. Au terme d'un exercice de repérage l'été dernier, le feu vert a été donné à cette phase-là du projet. Par la suite, ils commenceront à dresser les plans pour les deux années suivantes.

M. Glen Motz:

Dans votre conclusion, vous parlez, entre autres, de solutions matérielles. Vous allez certainement avoir besoin de matériel pour rejoindre ce réseau. Comment assurer, d'une part, la sécurité matérielle, et de l'autre, la fiabilité du fournisseur? C'est une question de cybersécurité. L'étude du comité s'intéresse avant tout aux dimensions financières, mais elle touche également à maints égards à la cybersécurité. Comment comptez-vous contrôler la sécurité du matériel que vous recevrez?

M. Jean Fernand Schiettekatte:

Je pense que c'est une question de conformité de l'ensemble du processus d'approvisionnement. Notre argument principal, c'est qu'on va dépendre des États-Unis tant qu'on n'aura pas sa propre ligne. Il est impossible de sous-estimer la gravité du problème. Évidemment, il faut s'assurer que le fournisseur des composantes de ce qu'on appelle les stations de raccordement aux lignes terrestres respecte toutes les normes canadiennes en matière de sécurité. Il y a certaines normes qui s'appliquent. Nos forces armées en ont. Je pense qu'il faudrait appliquer ces normes-là si on veut véritablement garantir la sécurité matérielle.

M. Glen Motz:

À mesure que votre organisation dresse ses plans et franchit des étapes — je pense d'ailleurs que c'est un excellent projet auquel participer — il y aura des attentes, c'est sûr. En tant que promoteur du projet, on attendra de vous que vous assuriez la sécurité du matériel que vous utilisez. C'est par curiosité que je pose ces questions.

M. Jean Fernand Schiettekatte:

Nous faisons affaire avec un certain nombre d'entreprises-conseil, dont notamment IBM, qui a la réputation d'avoir réalisé des projets semblables; effectivement, elle suit certaines normes.

M. Glen Motz:

Dans votre présentation, monsieur Tony Gull, je pense que vous avez mentionné qu'une de vos entreprises s'appelle Creenet. Je pense que c'est une excellente initiative commerciale, mais j'imagine que vous vous êtes retrouvés face à d'importants obstacles lorsque vous avez entamé le processus pour établir un fournisseur de services, surtout dans la région que vous vouliez desservir. Comment avez-vous réussi à créer ce réseau, compte tenu des difficultés que vous avez eues?

M. Tony Gull:

Creenet a commencé aux alentours de 1998. L'idée était d'établir un fournisseur de services qui serait en mesure de desservir la région en question; à l'époque, il n'y en avait pas.

Dans le même ordre d'idées, la taille du marché complique les choses à maints égards. Les entreprises du milieu fonctionnent dans un marché très concurrentiel de très grande envergure; il faut donc avoir un marché suffisant. Nous poursuivions le marché de la nation crie, mais en bref, on a plutôt appuyé l'idée d'une entité régionale; je pense qu'il en a été question aujourd'hui. C'est le Réseau de communications Eeyou, une entité régionale dirigée par le gouvernement de la nation crie.

M. Glen Motz:

À votre avis, monsieur, les infrastructures essentielles du Nord — celles dont nous parlions et les autres — sont-elles suffisamment protégées par le gouvernement? Le gouvernement prend-il la protection des infrastructures essentielles dans votre région du Canada aussi au sérieux qu'il le devrait?

M. Tony Gull:

Avant d'occuper mes fonctions actuelles, j'ai géré directement l'entreprise pendant de nombreuses années. Selon mon expérience, nous sommes très vulnérables, comme tout le monde. En ce qui concerne la sécurité et la protection de l'information, nous n'avons ménagé aucun effort pour prendre les mesures appropriées.

Toutes les nations ou toutes les entreprises, comme monsieur en a parlé plus tôt, sont vulnérables aux problèmes de cybersécurité. Il faut toujours rester à jour, que l'on pense au logiciel ou au matériel utilisés.

(1600)

M. Sam Gull:

Je voudrais ajouter quelque chose. Je crois que nous savons qui entre dans la communauté et qui en sort. Il n'y a qu'une voie d'accès vers Wemindji et une route vers le nord, la route de la baie James. Toutes les entrées et les sorties sont surveillées. L'accès routier est très facilement contrôlable. Wemindji a évidemment un aéroport. La communauté est donc accessible par avion. Il y a aussi la baie James, qui est très peu profonde. Je ne crois pas que les sous-marins peuvent s'y déplacer. Quelques rochers se dresseraient sur leur chemin. La baie est très peu profonde, et l'emplacement des sédiments change constamment.

M. Glen Motz:

Monsieur Jarry, ma dernière question s'adresse à vous. Compte tenu de votre expérience et de votre emploi actuel, avez-vous l'impression que les gouvernements font du bon travail pour garantir que les infrastructures essentielles canadiennes résistent aux attaques? À votre avis, y a-t-il des aspects à améliorer?

M. Luc Jarry:

Selon mon expérience, compte tenu du développement de l'Internet des objets, la question ne touche pas seulement le Canada, mais tous les pays du monde. En ce qui concerne les cyberattaques, il s'agit essentiellement de protéger l'information. On cherche à empêcher les vols d'identité, les fraudes, les attaques par déni de service et ce genre de choses. En passant à la connexion des objets, l'aspect physique prend de l'ampleur. C'est ce qui est préoccupant.

En avons-nous fait assez en matière de cybersécurité? Par exemple, dans le cas d'une transaction très délicate ou d'une commande pour fermer une valve donnée, a-t-on recours à une méthode d'authentification, qu'elle soit biométrique ou autre, suffisamment forte? Je ne crois pas que la réponse soit oui. C'est probablement non. Les mesures prises sont insuffisantes. Cela dit, ce n'est pas propre au Canada. La situation est la même partout dans le monde.

Le président:

Merci, monsieur Motz.

Monsieur Dubé, vous avez sept minutes. [Français]

M. Matthew Dubé (Beloeil—Chambly, NPD):

Merci, monsieur le président.

Je remercie tous les témoins d'être parmi nous aujourd'hui.

Monsieur Jarry, j'ai une question pour vous.

J'imagine que vous connaissez l'histoire selon laquelle le CRTC a participé à une perquisition, faite par la GRC, chez un individu qui utilisait des logiciels, des « bots », comme on dit en bon français, pour la cryptomonnaie. Tout le monde l'a appris parce que c'était la première fois que l'on avait recours à ces pouvoirs. Ce sont des pouvoirs qui ont été accordés en vertu de la Loi canadienne anti-pourriel.

Cela m'a mené à une réflexion et à une question, et je suis curieux de vous entendre à ce sujet. Si on apporte un changement tant sur le plan législatif que sur le plan réglementaire pour toutes les questions soulevées pendant cette étude, entre autres, comme l'Internet des objets, se tournerait-on vers le CRTC en cas de problème? Serait-on mieux de créer un nouvel organe pour assurer la mise en œuvre de normes pour les appareils, par exemple? Serait-ce quelque chose qui serait examiné autant du point de vue législatif que réglementaire?

M. Luc Jarry:

C'est sûr que, dans le domaine de la télécommunication, le CRTC a un rôle important à jouer, particulièrement dans tout ce qui concerne la sécurité des transmissions électroniques. N'oublions pas le sans-fil. La cybersécurité ne porte pas seulement sur les télécommunications, mais aussi sur la programmation, le développement. On parle aussi de plus en plus de la dimension physique, qui doit être prise en considération.

Selon moi, il devrait y avoir un organisme qui chapeaute toutes ces organisations et qui touchera tous les domaines. Alors, ce n'est pas seulement le CRTC.

M. Matthew Dubé:

Je comprends et je suis du même avis.

Cependant, prenons l'individu chez qui on a fait la perquisition et qui poserait peut-être aussi une menace à la cybersécurité. C'était en lien avec la cryptomonnaie, mais on sait bien que c'est peut-être un individu qui s'était engagé dans d'autres activités connexes. Si on regarde la Loi actuelle, croyez-vous que la GRC ou le CRTC aurait été en mesure de faire quoi que ce soit? A-t-on vraiment besoin d'une mise à jour de la Loi? Comme vous dites, faut-il mieux encadrer qui s'occupe de quoi pour éviter de la confusion?

M. Luc Jarry:

En ce qui a trait au gouvernement, je ne peux vraiment pas répondre à cette question. Par contre, je peux vous dire ce que je vois dans l'industrie. Pendant ma présentation, je mentionnais que, aujourd'hui, ce sont des électromécaniciens qui s'occupent de bon nombre d'équipements. Ces gens n'ont pas reçu de formation en cybersécurité. Pourtant, ils effectuent des branchements directement à Internet.

Pour répondre à votre question, oui, plusieurs choses peuvent être faites. Doit-on créer un corps de police spécialisé ou une équipe d'intervention spécialisée? Peut-être, mais cela touche plusieurs domaines. Encore une fois, la cybersécurité ne s'applique pas seulement aux télécommunications.

(1605)

M. Matthew Dubé:

Messieurs, vous avez beaucoup parlé de la collaboration souhaitée avec Hydro-Québec. Je veux aborder un autre aspect de cette question qui n'a pas été soulevé. Je suis curieux de vous entendre, étant donné le travail que vous faites.

Il y a quelques années, le gouvernement du Québec, l'Union des municipalités du Québec et Hydro-Québec ont indiqué que le réseau de fibres optiques en expansion d'Hydro-Québec, avec les compteurs intelligents, serait peut-être une solution pour offrir la connectivité dans les régions plus éloignées. Que pensez-vous de cela, surtout en ce qui concerne les propositions que vous mettez en avant?

M. Jean Fernand Schiettekatte:

En fait, il y a actuellement des discussions avec Hydro-Québec pour pouvoir utiliser son réseau de fibre noire, mais c'est encore un réseau qui dessert le Sud. Effectivement, cela permettrait d'optimiser le Réseau de communications Eeyou, ou RCE, et d'augmenter la sécurité du côté du Sud, mais cela n'apporte pas de solution dans le Nord.

Nous pensons que cela doit être traité par le Comité, parce que c'est un enjeu très important, actuellement.

M. Matthew Dubé:

Tout à fait; vous l'avez bien expliqué. Cela mène à une autre question.

L'une des préoccupations soulevées relativement à la cybersécurité est l'impact sur notre vie quotidienne, car nous nous servons de plus en plus d'objets qui peuvent être menacés par des atteintes à la cybersécurité.

Quelle est votre réalité, étant donné que vous êtes éloignés physiquement des grands centres? Dans le cas où une attaque de cybersécurité survenait contre notre réseau dans un grand centre, elle causerait une panne et nous aurions énormément de difficultés, mais, au moins, il y a la proximité géographique d'autres communautés et d'autres personnes. Quel impact cela peut-il avoir chez vous?

M. Jean Fernand Schiettekatte:

Je peux répondre de façon indirecte. L'idéal serait le cas de la Suède, où le réseau de fibre noire est installé par le gouvernement. Tous les fournisseurs s'en servent et illuminent la même fibre. En cas de panne, un des fournisseurs sera touché et pas les autres.

Actuellement, notre problème est qu'il y a seulement un fournisseur qui utilise une fibre. L'idée serait d'avoir une stratégie de diversification et c'est ce dont nous discutons avec les gens du gouvernement. Il est question de voir s'il y a moyen que plus d'un fournisseur desserve la région.

M. Matthew Dubé:

C'est parfait.

J'ai fait le tour de mes questions, mais j'aimerais faire écho à ce qu'a dit M. Graham, c'est-à-dire que c'est intéressant d'avoir une solution concrète et tournée vers l'avenir plutôt que de continuellement s'attarder aux menaces dans le présent. C'est important, mais le point de vue que vous présentez est intéressant aussi.

Merci. [Traduction]

Le président:

Monsieur Picard, vous avez sept minutes. [Français]

M. Michel Picard:

Merci, monsieur le président.

Monsieur Jarry, vous dites que vous travaillez aussi pour Cascades.

M. Luc Jarry:

Oui.

M. Michel Picard:

Depuis que les ordinateurs existent et que les compagnies ont des systèmes électroniques, nous avons des départements des technologies de l'information pour s'occuper des logiciels, des mises à jour et des pare-feu, entre autres.

Le fait d'appeler maintenant le département de cybersécurité comme tel vient-il d'un simple changement de nom de ce département ou y a-t-il une dimension différente qui justifie pourquoi on parle maintenant de cybersécurité dans une entreprise privée comme Cascades?

M. Luc Jarry:

Le département des TI est toujours le même. Par contre, il y a maintenant un groupe de cybersécurité associé à la gouvernance qui ne fait pas partie de l'équipe des TI.

M. Michel Picard:

Quel a été le processus par lequel la compagnie a mis sur pied cet élément de cybersécurité? Était-elle préoccupée par son équipement et la crainte qu'il y ait interruption de service ou d'opération de ses machines, ou bien craignait-elle d'être victime d'attaques extérieures mettant en danger ses données administratives?

M. Luc Jarry:

Monsieur, la cybersécurité est basée sur trois piliers, soit la confidentialité, l'intégrité et la disponibilité des informations. Il y a un aspect de conformité, également. D'ailleurs, toutes les entreprises doivent maintenant demeurer conformes. Non pas que je sois âgé, mais je suis expérimenté et j'ai connu le temps où les mesures de cybersécurité étaient reconnues comme des pratiques exemplaires. Toutefois, il s'agissait plutôt de suggestions; elles n'étaient pas obligatoires.

Nous avons maintenant des lois et des règles obligatoires en place. Cascades a été l'une des entreprises, comme bien d'autres, à établir des normes et une politique de sécurité basée sur les normes ISO 27001 et 27003. L'entreprise a établi un groupe de gouvernance et a déployé une politique de sécurité selon ses propres standards, toujours basés sur la confidentialité, l'intégrité et la disponibilité des systèmes.

(1610)

M. Michel Picard:

Justement pour éviter que vous soyez victimes à l'intérieur de votre réseau, comment faites-vous pour garantir que vos fournisseurs répondent aux mêmes standards dans votre écosystème?

M. Luc Jarry:

C'est par demande contractuelle. Nous pouvons demander au fournisseur d'avoir des certifications précises. Par exemple, lorsque nous traitons des renseignements personnels de nos employés, nous exigeons une certification ISO 27018 relative à la protection des renseignements personnels à tous nos fournisseurs. C'est une façon de le faire. Sinon, cela se fait carrément par des obligations ou des normes précises que nous incluons dans nos contrats.

M. Michel Picard:

Ce qui suit peut sembler être une question piège, mais je dois la poser quand même.

Voyons les choses dans l'ordre inverse. Si Cascades était victime d'une attaque extérieure contre ses données, est-ce qu'elle aurait l'obligation de le rapporter à quelqu'un, quelque part, d'une façon ou d'une autre?

M. Luc Jarry:

Cela dépendrait du type d'attaque. Si l'attaque touchait les renseignements personnels, absolument, nous devrions rapporter l'incident.

M. Michel Picard:

D'accord.

Cela se fait à Polytechnique Montréal et à l'Université Ryerson, dont ma collègue a invité un représentant, mais il existe peu d'établissements au Canada, ou de ressources, qui offrent l'expertise pour répondre aux besoins de gestion de nos problèmes de cybersécurité. Les ressources sont limitées et rares. On craint que la qualité de l'expertise, aussi bonne soit-elle, ne soit pas suffisante.

Si l'on compare l'expertise qui se fait ailleurs, et surtout la qualité et la profondeur des attaques qui viennent de l'extérieur, comment estimez-vous le niveau d'expertise et le niveau de la formation offerts au Canada relativement aux menaces externes?

Je ne veux pas faire de publicité ou de marketing, mais, franchement, si on veut améliorer la situation, il faut savoir à quel niveau on se trouve.

M. Luc Jarry:

Vous avez raison. C'est d'ailleurs une inquiétude non seulement sur le plan de l'enseignement, mais partout dans l'industrie. Les ressources expérimentées sont de plus en plus rares.

Je dois dire qu'il y a maintenant de plus en plus de jeunes qui s'intéressent à la cybersécurité. Cependant, c'est un domaine encore en évolution. Les bonnes ressources expérimentées sont excessivement difficiles à trouver.

J'ai mentionné que j'étais chargé de cours. N'oublions pas que cela demande une expertise dans la matière enseignée, mais aussi des techniques d'enseignement. Ce sont deux choses.

M. Michel Picard:

En élaborant sa stratégie de cybersécurité, Cascades craint-elle que les attaques puissent être telles qu'elles pourraient compromettre la survie de l'entreprise? Peut-être qu'on en est pas là non plus?

M. Luc Jarry:

Au cours des dernières années, Cascades a modernisé toutes ses plateformes. Elle a migré sur des plateformes modernes, entre autres, des plateformes SAP, pour ne nommer que celles-là. En ce qui a trait à la disponibilité, lorsque ces systèmes échouent, la période d'intolérance est d'environ deux heures. Cela veut dire que, après deux heures, les usines commencent à fermer et à cesser de fonctionner. Cela est extrêmement coûteux.

Vous avez raison: cela crée une énorme dépendance. Nous traitons cela par des plans de mesures d'urgence et des essais de réconciliation avec des relayages ou des centres de données, mais ce sont aussi des exigences que nous posons à nos fournisseurs de service.

M. Michel Picard:

Compte tenu de la participation de Cascades — qui est aussi fournisseur — à cet écosystème réseautique, est-ce que la connectivité est à ce point sensible qu'un impact chez vous pourrait créer des préjudices comparables pour certains de vos fournisseurs?

Par exemple, quelqu'un pourrait-il compromettre un de vos fournisseurs en utilisant votre système?

(1615)

M. Luc Jarry:

Sur le plan de la connectivité, je dirais que non, pas avec le modèle que nous avons.

Nous avons, en effet, des liens dédiés avec certains de nos fournisseurs, justement parce que nous demandons une fiabilité et une disponibilité élevées. Ce sont des choses dont discutent mes collègues concernant des fibres optiques.

Nous utilisons des protocoles avec différents fournisseurs de services au Canada et aux États-Unis avec des liens MPLS dédiés. Pour d'autres, ce n'est pas nécessaire. Il ne faut pas oublier qu'il y a des niveaux de criticité qui sont associés à nos systèmes: il y a les niveaux « critique », « régulier » et « moyen ». Nous mettons en place les mesures nécessaires pour assurer la disponibilité.

M. Michel Picard:

Je vous remercie.

Le président:

Monsieur Paul-Hus, vous avez cinq minutes.

M. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, PCC):

Merci, monsieur le président.

Ma première question s'adresse aux représentants de Tawich Development Corporation.

Nous avons fait un peu de recherche à votre sujet. Nous avons constaté que vous êtes allés en Chine, récemment, et que vous avez des photos de votre rencontre avec les gens d'Alibaba.

Pouvez-vous nous dire si des ententes ont été conclues avec eux? Si oui, de quel type sont-elles?

M. Jean Fernand Schiettekatte:

Les gens d'Alibaba cherchent à ouvrir des centres de données au Canada. Ils désirent avoir des centres de données qui correspondent aux standards canadiens. En fait, ce sont toutes les transactions entre l'Asie et le Canada qui pourraient passer par une fibre nordique. Cela rend la chose intéressante, parce que cela réduit le temps de latence. Actuellement, Alibaba a ouvert plusieurs centres de données aux États-Unis.

M. Pierre Paul-Hus:

Sur la photo, on voit la nation crie signer une entente avec les Chinois, je crois. Avez-vous signé un protocole d'entente déjà?

M. Jean Fernand Schiettekatte:

Nous avons conclu des ententes, mais elles ne portent pas sur des centres de données. Nous importons du matériel de sécurité pour les mines, des chandails et des choses comme cela.

M. Pierre Paul-Hus:

Il n'y a rien de technologique.

M. Jean Fernand Schiettekatte:

Non.

M. Pierre Paul-Hus:

D'accord.

L'entreprise serait établie au Québec. Avez-vous évalué les retombées économiques pour le Canada ou pour le Québec du projet que vous voulez réaliser?

M. Jean Fernand Schiettekatte:

Nous avons commencé le processus de discussion en vue d'une étude de préfaisabilité, où les retombées économiques seront mieux chiffrées. Nous pensons que les centres de traitement de données bancaires qui viendraient s'installer dans le Nord du Québec généreraient de grandes retombées économiques pour le Québec.

M. Pierre Paul-Hus:

Dans le Nord, il y a déjà le Système d'alerte du Nord, dont la portion canadienne est prise en charge par la Défense nationale, dans le cadre du NORAD. Le lien de télécommunication par fibre optique proposé serait-il relié aux 47 stations radars déjà établies?

M. Jean Fernand Schiettekatte:

C'est un point très intéressant. Je ne l'ai pas mentionné dans notre présentation, qui traite davantage des Premières Nations, mais, effectivement, il serait important de relier les bases militaires canadiennes à ce lien. C'est un aspect qui pourrait être considéré.

M. Scheer veut assurer la sécurité et la représentation du Canada dans le Grand Nord, et nous pensons que cette fibre optique est l'un des outils qui permettraient de le faire.

M. Pierre Paul-Hus:

Parfait, je vous remercie.

Monsieur Jarry, lorsqu'on parle de l'Internet des objets, on parle aussi de la chaîne d'approvisionnement. Mon collègue a posé une question sur la vérification des appareils qui sont achetés. Que pensez-vous de l'entreprise chinoise Huawei?

M. Luc Jarry:

Ce qui est un peu surprenant, au sujet de Huawei, c'est qu'elle fait affaire avec Bell Canada depuis longtemps. On se pose maintenant des questions, surtout parce qu'on a des préoccupations liées à la sécurité et à l'espionnage. Je trouve surprenant qu'une entreprise comme Bell Canada fasse affaire depuis plusieurs années déjà avec Huawei alors que d'autres entreprises ont simplement reculé.

M. Pierre Paul-Hus:

Est-ce le déploiement du réseau 5G qui est problématique? Les anciens appareils étaient différents. Les nouveaux appareils et la technologie 5G peuvent-ils avoir un impact différent?

M. Luc Jarry:

Je suis un retraité de Bell Canada et j'y ai travaillé plusieurs années, mais je n'ai pas participé directement à ce projet. Je peux dire cependant que nous avions des inquiétudes relativement à la sécurité; je parle ici d'espionnage. J'ai été surpris d'apprendre cela.

(1620)

M. Pierre Paul-Hus:

D'accord.

Concernant l'Internet des objets, vous avez parlé de différents contrôles à distance sur des objets. Il s'en trouve sûrement parmi nous qui ont des serrures électroniques contrôlées à distance. Ces objets sont contrôlés par un système domotique résidentiel. L'équipement peut-il être programmé au moment de son installation et être contrôlé plus tard, ou faut-il obligatoirement contrôler le système domotique pour contrôler l'objet?

M. Luc Jarry:

L'un des principaux problèmes que pose l'Internet des objets a trait à la cybersécurité. Lors de la conception et de la fabrication de la plupart des objets qu'on veut connecter à Internet, l'aspect de la cybersécurité n'est pas pris en compte. D'ailleurs, l'une de mes recommandations que j'ai formulées au Comité est justement de voir à cet aspect une fois pour toutes. Maintenant, on doit tenir compte de la cybersécurité lorsqu'on connecte un appareil.

N'oublions pas que les systèmes domotiques ne sont pas nouveaux. Comme je l'ai mentionné, on investit dans ce domaine depuis 15 ou 20 ans. Par contre, ces systèmes étaient sur des réseaux fermés. Maintenant, avec l'intelligence artificielle, on sera capable de prévenir des bris de machinerie dans des usines.

On a parlé tantôt de disponibilité des systèmes chez Cascades. On va pouvoir faire fonctionner les systèmes 24 heures sur 24, 7 jours sur 7, 365 jours par année. On peut prévenir les bris de machinerie à l'aide de l'intelligence artificielle. Maintenant, pour bénéficier de cela, il faut connecter tous les équipements.

N'oublions pas que la majorité des cyberattaques que nous avons subies au Canada et qu'il y a eu partout dans le monde concernaient l'information et les dénis de service. À mesure que l'on connecte des objets, cela devient physique. Maintenant, la question qu'on doit se poser sur le plan de la sécurité est si cela fera partie de l'arsenal militaire des pays. [Traduction]

Le président:

Merci.

Madame Sahota, vous avez cinq minutes.

Mme Ruby Sahota (Brampton-Nord, Lib.):

Je cède mon temps de parole à M. Graham. [Français]

M. David de Burgh Graham:

Je vais revenir sur ce qui s'est dit plus tôt au sujet de l'attaque subie par WhatsApp qui a été annoncée hier. Selon les analyses dont nous avons pris connaissance jusqu'à maintenant, il semblerait que des acteurs en lien avec des États soient à l'origine de cette attaque et que le secteur des droits de la personne ait été ciblé.

Selon vous, les plus grandes menaces en matière de cybersécurité viennent-elles du secteur privé ou d'acteurs liés à des gouvernements, à l'échelle mondiale?

M. Luc Jarry:

Vous parlez des vulnérabilités?

M. David de Burgh Graham:

Je parle de l'exploitation des vulnérabilités.

M. Luc Jarry:

À mon avis, un des problèmes concernant la gestion des incidents de sécurité est que les entreprises commencent à communiquer davantage ce genre d'information. Je crois que c'est encore un peu tôt.

Pour répondre à votre question, je pense que c'est un peu de tout présentement.

M. David de Burgh Graham:

Les attaques liées à des États existent et sont assez graves, même si ce ne sont pas les seules. Que pensez-vous du projet KesKuun, dont les autres témoins ont parlé?

M. Luc Jarry:

Je trouve que le projet est intéressant. Il y a un point sur lequel ils ont tout à fait raison, et c'est qu'en matière de cybersécurité, la disponibilité est très importante. À mon avis, il est important que nous conservions une souveraineté au Canada, que nous ayons nos propres fibres pour les télécommunications.

Je viens d'entendre parler de ce projet. Dans une optique de cybersécurité, je suis tout à fait favorable à ce genre de projet et d'approche.

M. David de Burgh Graham:

C'est bon.

Je vais m'adresser aux autres témoins.[Traduction]

Merci.

Je me tourne vers M. Gull pour parler des étapes du projet. Vous avez dit que le projet Quintillion est déjà en service en Alaska. Il est déjà construit là-bas. Quel est le processus de mise en oeuvre?

C'est en Alaska et nous tentons d'établir un réseau qui ne serait pas américain. Pouvez-vous expliquer la situation un peu plus en détail?

M. Sam Gull:

Le réseau de fibre optique qui est connecté est maintenant en service. Lorsque le lien sera construit vers le Japon et vers l'Angleterre, il se trouvera dans les eaux internationales. Deux canalisations seront à l'extérieur des États-Unis. Ce sont ces deux canalisations, dans les eaux internationales, qui nous intéressent. Les États-Unis n'y seront pas connectés.

M. David de Burgh Graham:

Savez-vous quand Quintillion prévoit terminer la construction de la troisième phase?

M. Sam Gull:

Tout dépendra des hivers canadiens. Le passage du Nord-Ouest connaît toujours des périodes de gel. Les responsables du projet s'inquiètent aussi du moment où installer la ligne dans ce passage. C'est pourquoi ce sera la dernière phase. Les eaux sont très peu profondes à certains endroits, sans oublier la présence d'icebergs. Il faut vraiment prendre le temps de faire des études sur cette partie du projet.

(1625)

M. David de Burgh Graham:

Vous avez parlé de connecter le Canada à la ligne Quintillion en passant par la baie James afin d'avoir un réseau pleinement souverain. Y a-t-il une façon de connecter les côtes Ouest et Est également? Pouvons-nous en faire un réseau national plutôt qu'exclusivement international? Avez-vous quelque chose à dire sur le sujet?

M. Jean Fernand Schiettekatte:

Oui, ce serait possible.

Il y a un projet de ligne jusqu'à Yellowknife. Elle pourrait desservir ces régions aussi. C'est pourquoi nous recommandons d'établir une équipe canadienne pour développer ce projet dans le Nord. À mon avis, ce devrait être une recommandation du Comité.

M. David de Burgh Graham:

Il est prioritaire de connecter le Canada à cette ligne.

M. Jean Fernand Schiettekatte:

Oui. La priorité de Tawich est sans conteste le développement du Nord du Québec.

M. David de Burgh Graham:

Je dois vous dire que la priorité du Comité est la cybersécurité. Dans ce contexte, il est fascinant d'avoir cette solution. De plus, elle est présentée par la Première Nation crie. C'est extrêmement intéressant pour nous tous.

Je crois qu'il ne me reste que quelques secondes.

Le président:

Pour laisser du temps à M. Eglinski, il vous faudra être très bref.

M. David de Burgh Graham:

Je vais poser une dernière question à M. Jarry, puis je céderai la parole à M. Eglinski. Je veux parler de la sécurité intégrée à la conception.

M. Luc Jarry:

Quelle est mon opinion de la sécurité intégrée à la conception?

M. David de Burgh Graham:

Oui.

M. Luc Jarry:

Combien de minutes ai-je pour répondre?

Le président:

En fait, le temps est écoulé.

C'est une excellente question. Nous devrons chercher la réponse plus tard.

Passons maintenant à M. Eglinski qui dispose des cinq dernières minutes.

M. Jim Eglinski (Yellowhead, PCC):

Merci.

Je tiens à remercier les témoins d'être ici aujourd'hui.

Je vais d'abord parler de la ligne que vous proposez. Elle traverse l'Extrême-Arctique et rejoint la Chine. Elle passe au Japon? D'accord.

Pourquoi passer par l'Arctique? Pourquoi ne pas avoir traversé le bas de la baie d'Hudson et le Canada? On a beaucoup parlé d'un corridor de transport le long des provinces du Nord et au sud des Territoires du Nord-Ouest. La ligne pourrait passer à cet endroit. Le choix d'aller vers l'Arctique me semble beaucoup plus complexe que de partir du bas de l'Alaska et de suivre les îles Aléoutiennes. C'est la même chose pour le lien vers l'Europe.

Y avait-il une raison qui justifiait le choix d'un tracé beaucoup plus au nord?

M. Jean Fernand Schiettekatte:

Il y avait une raison. Elle devient évidente à bord d'un avion. Tous les vols en provenance de Toronto ou de Montréal vers l'Asie passent par le Nord. La distance est plus courte en passant par le Nord que par le Sud du Canada. C'est ce qui permet de réduire les temps de latence. Il y a une raison d'ordre technique qui est associée à l'analyse de rentabilisation. C'est ainsi qu'on attire des investissements des institutions financières.

C'était la première raison. La deuxième repose évidemment sur le fait que nous nous trouvons dans le Nord. Nous défendons donc le développement de cette région. C'est le mandat de Tawich. C'est dans notre intérêt, mais également dans celui des Canadiens en général, d'autant plus que nos voisins américains souhaitent exercer une souveraineté sur le Nord, comme il a été rapporté dans les médias.

Il est crucial de comprendre que l'établissement de cette ligne entraînerait des développements importants dans le Nord canadien. Si on n'occupe pas le territoire, on risque de perdre la souveraineté sur celui-ci.

M. Jim Eglinski:

Je suis heureux d'entendre de tels propos de la part du milieu des affaires. C'est effectivement un sujet de préoccupations. Notre caucus tient à ce que la souveraineté sur le Nord soit protégée. Merci d'en tenir compte dans votre stratégie.

Vous avez parlé de l'électricité dont vous avez besoin. Je lis que 300 ou 200 mégawatts seront nécessaires. Est-ce pour alimenter l'ensemble de la ligne ou faudra-t-il plus d'électricité au fil du temps? Nous parlons d'une grande distance, de votre région du pays jusqu'à l'extrémité nord.

M. Sam Gull:

L'électricité provenant des barrages de la Grande Rivière servirait surtout à l'alimentation des centres de données. Ce sont les centres de données qui, en raison de leur taille, consomment beaucoup d'énergie. On atteint rapidement les 200 mégawatts dans ce secteur. C'est aussi notre cas même si, dans le Nord, nous disposons de nombreux systèmes de refroidissement naturel, ce qui réduit les coûts d'exploitation. J'ai visité des centres de données dans la Silicon Valley. Leur principal problème est le coût associé au refroidissement des ordinateurs.

(1630)

M. Jim Eglinski:

À la lumière de vos propos, je comprends que les centres de données seront situés sur vos terres territoriales traditionnelles et qu'ils transmettront les données au Canada et ailleurs.

M. Sam Gull:

Oui.

M. Jean Fernand Schiettekatte:

La réponse à votre question est oui. C'est pourquoi il y aura une possibilité de connecter des communautés éloignées qui fourniront de l'électricité pour alimenter les répéteurs. On a établi un plan selon lequel quelques communautés alimentent la ligne dans le Nord canadien. C'est une façon de prévoir l'alimentation. Une base militaire pourrait aussi être responsable de la distribution. C'est un projet très intéressant.

M. Jim Eglinski:

Merci.

Monsieur Jarry, selon votre expérience professionnelle, pensez-vous que les simples utilisateurs des services Internet peuvent se protéger adéquatement? Existe-t-il des logiciels sur le marché qui permettent de protéger son domicile ou ne sont-ils que des produits illusoires qui ne seront probablement pas à la hauteur?

M. Luc Jarry:

La sécurité repose sur deux principaux aspects: la formation et la sensibilisation. J'ai parlé plus tôt du fait que beaucoup de gens acceptent des ententes de confidentialité sans en lire les modalités.

En ce qui concerne votre question précisément, il est tout à fait possible d'améliorer la sécurité à son domicile. Est-ce à dire que ces outils sont infaillibles à 100 %? C'est un peu comme lorsqu'on conduit une voiture. Le fait de porter sa ceinture de sécurité, d'avoir des freins ABS et d'activer les nombreux systèmes de sécurité préviendra probablement les blessures en cas d'accident. Risque-t-on toujours d'avoir un accident? La réponse est oui.

M. Jim Eglinski:

La sécurité dépend de la qualité du service offert aux Canadiens. Nous savons que, dans certaines régions, le service est terrible ou pratiquement pourri. Ailleurs au pays, il est excellent.

Le président:

Merci, monsieur Eglinski.

Avant de vous laisser partir, j'aimerais vous poser une question: d'où provient l'argent qui finance le projet Quintillion?

M. Jean Fernand Schiettekatte:

Selon l'information dont nous disposons — nous ne connaissons pas les responsables —, c'est une entreprise américaine qui appuie le projet.

Le président:

Nous parlons donc d'argent américain et d'une entreprise américaine...

M. Jean Fernand Schiettekatte:

Oui.

Le président:

... et ce sera un projet qui nous permettra de ne pas passer par les États-Unis.

M. Jean Fernand Schiettekatte:

Oui. C'est pourquoi nous aimerions qu'une équipe canadienne soit formée. La communauté crie a une partie des fonds nécessaires, mais elle ne peut pas y arriver seule.

Le président:

Une entité canadienne, que ce soit vous, un autre organisme ou un partenariat, serait-elle propriétaire de la ligne dans la baie James et la baie d'Hudson jusqu'au point de connexion ou jusqu'en Alaska?

M. Jean Fernand Schiettekatte:

Nous aimerions être propriétaires de la ligne jusqu'en Alaska et jusqu'en Europe. En gros, nous voudrions détenir la troisième phase.

Le président:

Quelle est l'importance de se trouver dans les eaux internationales plutôt que nationales? Vous savez que le passage du Nord-Ouest fait l'objet d'un différend. Le Canada considère que le passage est une voie interne. M. Pompeo est d'avis qu'il fait partie des eaux internationales. Quelles seraient les répercussions d'un statut national ou international du passage sur votre projet?

M. Jean Fernand Schiettekatte:

Il s'agit principalement de ne pas être soumis à la Patriot Act et à toutes les lois qui en découlent. Il est préférable d'être hors de la portée de la NSA. À mon avis, les Canadiens devraient être au courant de cette préoccupation. Je pense à l'une des questions posées à M. Jarry. On lui a demandé qui se livre à des activités d'espionnage. C'est une excellente question.

Le président:

Enfin, votre projet est-il soumis à un examen de la sécurité canadien?

M. Jean Fernand Schiettekatte:

Il le serait, oui.

Le président:

Un tel examen a-t-il été lancé?

M. Jean Fernand Schiettekatte:

Non. Nous en sommes encore à l'étape de l'étude. En cherchant dans Internet, on trouvera très peu d'information sur ce que nous faisons. C'est la première fois que nous en parlons publiquement. Nous avons eu quelques conversations avec des intervenants, mais il reste beaucoup de travail à faire.

Le président:

Merci de votre réponse.

Je suis désolé de devoir maintenant interrompre cette discussion très intéressante et très éclairante. Nous allons suspendre nos travaux. Je tiens encore une fois à vous remercier de votre témoignage devant le Comité.

Nous allons suspendre la séance quelques instants avant de poursuivre à huis clos. Merci.

[La séance se poursuit à huis clos.]

Hansard Hansard

committee hansard secu 19162 words - whole entry and permanent link. Posted at 22:44 on May 15, 2019

2019-05-13 SECU 162

Standing Committee on Public Safety and National Security

(1525)

[English]

The Chair (Hon. John McKay (Scarborough—Guildwood, Lib.)):

I'll bring this meeting to order.

Welcome to the 162nd meeting of the Standing Committee on Public Safety and National Security.

We have the Honourable David McGuinty and Rennie Marcoux. Thank you to both of you for coming and presenting the annual report of the National Security and Intelligence Committee of Parliamentarians, which has the unfortunate name of NSICOP. I'm sure Mr. McGuinty will explain in his own inimitable style what NSICOP actually does.

Welcome, Mr. McGuinty, to the committee. We look forward to your comments.

Hon. David McGuinty (Chair, National Security and Intelligence Committee of Parliamentarians):

Thank you very much, Mr. Chair.

Good afternoon, colleagues. Thank you for your invitation to appear before your committee. I am joined by Rennie Marcoux, executive director of the Secretariat of the National Security and Intelligence Committee of Parliamentarians, or NSICOP.

It's a privilege to be here with you today to discuss the 2018 annual report of the National Security and Intelligence Committee of Parliamentarians.

The committee's first annual report is the result of the work, the dedication and the commitment from my colleagues on the committee. It is intended to contribute to an informed debate among Canadians on the difficult challenges of providing security and intelligence organizations with the exceptional powers necessary to identify and counter threats to the nation while at the same time ensuring that their activities continue to respect and preserve our democratic rights. [Translation]

NSICOP has the mandate to review the overall framework for national security and intelligence in Canada, including legislation, regulations, policy, administration and finances.

It may also examine any activity that is carried out by a department that relates to national security or intelligence.

Finally, it may review any matter relating to national security or intelligence that a minister refers to the committee.[English]

Members of the committee are all cleared to a top secret level, swear an oath and are permanently bound to secrecy. Members also agree that the nature of the committee, multi-party, drawn from the House of Commons and the Senate, with a broad range of experience, bring a unique perspective to these important issues.

In order to conduct our work, we are entitled to have access to any information that is related to our mandate, but there are some exceptions, namely, cabinet confidences, the identity of confidential sources or protected witnesses, and ongoing law enforcement investigations that may lead to prosecutions.

The year 2018 was a year of learning for the committee. We spent many hours and meetings building our understanding of our mandate and of the organizations responsible for protecting Canada and Canadians. The committee was briefed by officials from across the security and intelligence community and visited all seven of the main departments and agencies. Numerous meetings were also held with the national security and intelligence adviser to the Prime Minister. NSICOP also decided to conduct a review of certain security allegations surrounding the Prime Minister's trip to India in February 2018.

Over the course of the calendar year, the committee met 54 times, with an average of four hours per meeting. Annex E of the report outlines the committee's extensive outreach and engagement activities with government officials, academics and civil liberties groups.

The annual report is a result of extensive oral and written briefings, more than 8,000 pages of printed materials, dozens of meetings between NSICOP analysts and government officials, in-depth research and analysis, and thoughtful and detailed deliberations among committee members.

The report is also unanimous. In total, the report makes 11 findings and seven recommendations to the government. The committee has been scrupulously careful to take a non-partisan approach to these issues. We hope that our findings and recommendations will strengthen the accountability and effectiveness of Canada's security and intelligence community.

(1530)

[Translation]

The report before you contains five chapters, including the two substantive reviews conducted by the committee.

The first chapter explains the origins of NSICOP, its mandate and how it approaches its work, including what factors the committee takes into consideration when deciding what to review.

The second chapter provides an overview of the security and intelligence organizations in Canada, of the threats to Canada's security and how these organizations work together to keep Canada and Canadian safe and to promote Canadian interests.

Those two chapters are followed by the committee's two substantive reviews for 2018.[English]

In chapter 3, the committee reviewed the way the government determines its intelligence priorities. Why is this important? There are three reasons.

First, this process is the fundamental means of providing direction to Canada's intelligence collectors and assessors, ensuring they focus on the government's, and the country's, highest priorities.

Second, this process is essential to ensure accountability in the intelligence community. What the intelligence community does is highly classified. This process gives the government regular insight into intelligence operations from a government-wide lens.

Third, this process helps the government to manage risk. When the government approves the intelligence priorities, it is accepting the risks of focusing on some targets and also the risk of not focusing on others. [Translation]

The committee found that the process, from identifying priorities to translating them into practical guidance, to informing ministers and seeking their approval, does have a solid foundation. That said, any process can be improved.

In particular, the committee recommends that the Prime Minister's national security and intelligence advisor should take a stronger leadership role in the process in order to make sure that cabinet has the best information to make important decisions on where Canada should focus its intelligence activities and its resources.[English]

Moving on, chapter 4 reviews the intelligence activities of the Department of National Defence and the Canadian Armed Forces. The government's defence policy, “Strong, Secure, Engaged”, states that DND/CAF is “the only entity within the Government of Canada that employs the full spectrum of intelligence collection capabilities while providing multi-source analysis.”

We recognize that defence intelligence activities are critical to the safety of troops and the success of Canadian military activities, including those abroad, and they are expected to grow. When the government decides to deploy the Canadian Armed Forces, DND/CAF also has implicit authority to conduct defence intelligence activities. In both cases, the source of authority is what is known as the Crown prerogative. This is very different from how other intelligence organizations, notably CSE and CSIS, operate. Each of those organizations has clear statutory authority to conduct intelligence activities, and they are subject to regular, independent and external review.

This was a significant and complex review for the committee, with four findings and three recommendations.

Our first recommendation focuses on areas where DND/CAF could make changes to strengthen its existing internal governance structure over its intelligence activities and to strengthen the accountability of the minister.

The other two recommendations would require the government to amend or to consider enacting legislation. The committee has set out the reasons why it formed the view that regular independent review of DND/CAF intelligence activities will strengthen accountability over its operations.

We believe there is an opportunity for the government, with Bill C-59 still before the Senate, to put in place requirements for annual reporting on DND/CAF's national security or intelligence activities, as would be required for CSIS and CSE.

Second, the committee also believes that its review substantiates the need for the government to give very serious consideration to providing explicit legislative authority for the conduct of defence intelligence activities. Defence intelligence is critical to the operations of the Canadian Armed Forces and, like all intelligence activities, involves inherent risks.

DND/CAF officials expressed concerns to the committee about maintaining operational flexibility for the conduct of defence intelligence activities in support of military operations. The committee, therefore, thought it was important to present both the risks and the benefits of placing defence intelligence on a clear statutory footing.

Our recommendations are a reflection of the committee's analysis of these important issues.

(1535)

[Translation]

We would be pleased to take your questions.[English]

Thank you.

The Chair:

Thank you, Mr. McGuinty.

Mr. Picard, you have seven minutes, please. [Translation]

Mr. Michel Picard (Montarville, Lib.):

Thank you.

Welcome to our witnesses.

This my first experience with this committee, and I am very enthusiastic about it.

My first question is very basic, Mr. McGuinty, just to get the discussion rolling.

The NSICOP is a new organization and there is currently a learning curve associated with it. It is an addition to our current structures.

To help us better understand what our intelligence organizations do, can you explain how this organization, the NSICOP, adds value to what was done in the past, before it was established?

Hon. David McGuinty:

Thank you for the question.

I would start by saying that the added value comes first from the fact that members of NSICOP have access to all classified information, to all documents, to presentations and to witnesses. Having access to the most in-depth information helps a great deal.

Then I believe that, this year, NSICOP has shown that it is very possible for parliamentarians of all parties, from both Houses of the Parliament of Canada, to work together in a non-partisan way. That is being done against a currently very partisan backdrop, I feel.

My colleagues and I decided from the outset that we would check the partisan approach at the door because of the importance of the work. Matters of national security are simply too important for us to be part of the normal daily tensions on the political stage.

The year was not easy because, in a sense, we had to learn how to get the plane off the ground. We formed a secretariat, we hired about a dozen full-time people and we have a budget of $3.5 million per year.

We are proud of what we have done to get NSICOP started in its first year.

Mr. Michel Picard:

Thank you.

So I am now going to ask you a more technical question. I would like to go back to your comment about military intelligence.

You made a comparison between the intelligence services, the agencies working in intelligence, such as the Canadian Security Intelligence Service, or CSIS, and the Security Communications Establishment, or CSE, on the one hand and, on the other hand, the other agencies engaged in intelligence activities.

When you talk about military intelligence, you say that the Department of National Defence encompasses the entire range of intelligence services. Are the services similar to the extent that we can consider them equal?

How are military intelligence activities broader in scope than those in the other agencies?

What comparisons can the government use to evaluate the issue of military intelligence? For example, can it rely on best practices in other countries in order to properly evaluate the needs in terms of military intelligence?

Hon. David McGuinty:

First of all, we cannot forget that the legislative basis for the Department of National Defence always remains the prerogative of the Crown.

(1540)

[English]

What we know about the Crown prerogative is that it's several centuries old. It's a very old vestigial power vested in the Crown that allows countries to, for example, deploy troops, prosecute wars and conduct foreign policy.

The powers vested today in CSIS and CSE, for example, also sprang forth from the original concept of the Crown prerogative, but as a result of evolving, both of those organizations now have four corners of a statute within which to operate. They have their own law. They have their own enabling legislation, and by its own admission, in the government's defence paper, the Department of National Defence indicates that it's the only full spectrum organization in the country. In other words, it does what CSIS, CSE and the RCMP do combined.

It also plans on expanding the number of intelligence personnel by 300 over the next several years. It is a major actor in the intelligence sphere.

We took a long hard look at the statutory footing on which it's operating and began to ask some difficult probative questions. The report tries to walk a fine line between the merits of the government considering a statutory footing, new legislation, and some of the inherent risks that the department has brought to our attention. We've been very careful in the report to put it in very plain black and white for people to understand. In so doing, we wanted to simply raise the profile of this issue and ignite a debate, not only amongst parliamentarians but in Canadian society.

Mr. Michel Picard:

For the remaining time, my last question will be on one of your findings. On page 54 it states: F7. Performance measurements for the security and intelligence community is not robust enough to give Cabinet the context it needs to understand the efficiency and effectiveness of the security and Intelligence community.

Do we have any example of prejudice caused by the lack of effectiveness? Would you expand on this finding please?

Ms. Rennie Marcoux (Executive Director, Secretariat of the National Security and Intelligence Committee of Parliamentarians):

I'll answer the question.

What we've indicated in the report is that we did not have access to the actual cabinet documents, since it's a limit in our legislation. What we saw were all the discussions, the briefing materials and the minutes of meetings leading up to that. I think it's in the overall process, from start to finish, where we identify the result, that cabinet did not get enough in terms of answering these questions: What are the risks? What are the benefits? Where are the gaps in collection? Where are the gaps in assessment? Could we contribute more to the alliance?

It was the whole gamut of information, in terms of measuring the committee's performance, that we felt could be better.

Mr. Michel Picard:

Thank you.

The Chair:

Thank you, Mr. Picard.

We'll hear from Mr. Paul-Hus for seven minutes, please. [Translation]

Mr. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, CPC):

Thank you, Mr. Chair.

Thank you, Mr. McGuinty and Ms. Marcoux.

On page 26 of your report, paragraph 66, you talk about espionage and foreign influence.

Do you consider election campaigns, such as for the election coming up, to be a national security issue?

Hon. David McGuinty:

NSICOP has not yet looked deeply into the whole matter of the integrity of elections, specifically the one coming up.

Mr. Pierre Paul-Hus:

Do you feel that foreign interference in elections is a matter of national security? In paragraphs 66 and 67, you say that Russia and China are two countries known to be major players in political interference. You also talk about activities designed to influence political parties as well.

It is mentioned in your report. It is a known fact.

Is NSICOP currently in a position to take measures to help stop the Chinese Communist Party trying to interfere in the coming election campaign?

Hon. David McGuinty:

Let me be clear on two things.

We included Russia and China in the report because we relied on open sources. So that is what was repeated there.

Then, we announced that one of the reviews that we will be doing in 2019 is about foreign interference. Eventually, we will have much more to say about it.

Mr. Pierre Paul-Hus:

So clearly, we will not have the information before the next campaign. Is that right?

(1545)

Hon. David McGuinty:

Probably not.

Mr. Pierre Paul-Hus:

When you undertook the study on the trip the Prime Minister took to India, it was likely because a matter of national security would normally be involved. Is that correct?

Hon. David McGuinty:

Yes.

Mr. Pierre Paul-Hus:

Minister Goodale appeared before this committee during the hearings on Bill C-59, I believe. At that time, he told us that he could not answer certain questions because it was a matter of national security. After that, in the House of Commons, Minister Goodale said the opposite. Daniel Jean also testified before our committee that it was not a matter of national security.

In your opinion, is it a matter of national security?

Hon. David McGuinty:

In the report, we included a letter to the Prime Minister in which we clearly deal with it.

We told him that, as per our terms of reference, we had examined the allegations of foreign interference, of risks to the Prime Minister’s security, and of inappropriate use of intelligence.

The report deals with those three matters specifically. The Department of Justice clearly redacted the report and revised it.

Mr. Pierre Paul-Hus:

Your report on the trip to India mentions that the Prime Minister’s Office did not screen the visitors well and that an error in judgment was probably made.

Has the Prime Minister or a member of his staff responded to your recommendations?

Hon. David McGuinty:

No, not yet. We are still waiting for a response from the government to both reports.

Mr. Pierre Paul-Hus:

So you submit your reports but there has been no follow-up or reply on the recommendations. Is that right?

Hon. David McGuinty:

NSICOP hopes that there will be some follow-up. We are still waiting for a response. We have raised the matter with the appropriate authorities.

Mr. Pierre Paul-Hus:

We certainly see that, basically, colleagues from all parties who work with you on the NSICOP have done so seriously since it was created. That is also clear as we read your report. There is a desire to take the work very seriously.

However, we still have doubts about what will come of your reports. Right from when you submit a report in which you identified serious matters, the Prime Minister basically always has the last word.

The concern we have had since the beginning, when Bill C-22 was introduced, is about the way information is transmitted. Of course, we understand that highly secret information cannot be made public.

However, when the Prime Minister himself is the subject of a study, we don’t expect a response.

As chair of the committee, do you expect at the very least a reply to your studies from the government and the Prime Minister?

Hon. David McGuinty:

Yes, Mr. Paul-Hus.

Mr. Pierre Paul-Hus:

Your notes mention Bill C-59. You make recommendations involving the Department of National Defence, DND. I know that the bill is being studied in the Senate at the moment, but I no longer recall which stage it has reached. Do you think that amendments will be proposed by the Senate or the government? Have you heard anything about that?

Hon. David McGuinty:

Our role is to submit reports to the government, and we have done that. All we can do is hope that the government will take them seriously[English]

The national security and intelligence review agency, NSIRA, once it's created under Bill C-59, will have the power to review the Department of National Defence but will not be obligated to do so on an annual basis like it will for CSIS and CSE. The committee was unanimous in calling for NSIRA to have that annual responsibility built into Bill C-59 so that the extensive activities of the Department of National Defence in intelligence were reviewed on an ongoing basis. [Translation]

Mr. Pierre Paul-Hus:

You explained that NSICOP has had a number of working sessions and that they are several hours long. What is the main subject that concerns you?

Hon. David McGuinty:

What do you mean?

Mr. Pierre Paul-Hus:

For example, when you have an investigation to conduct and you need information, do you have easy access to it?

Hon. David McGuinty:

Yes, Mr. Paul-Hus.

Mr. Pierre Paul-Hus:

The doors of all departments are open?

Hon. David McGuinty:

Sometimes, we ask for so much documentation that the members of NSICOP find it quite difficult to manage the amount. But we have an exceptional secretariat and very experienced analysts. However, from time to time, we have to put a little pressure on some departments or some agencies. But you have to remember that our committee has only been in existence for 17 or 18 months.

Do you want to add anything, Ms. Marcoux?

Ms. Rennie Marcoux:

Yes.

What we notice most is the difference between agencies that are already subject to examination and that are used to providing classified information—such as the Canadian Security Intelligence Service, CSIS, the Communications Security Establishment, CSE, and the Royal Canadian Mounted Police, the RCMP—and other departments that are not used to it.

Those other organizations, such as the Department of National Defence or other departments, first of all have to establish a triage process for the documents and make sure that their directorates or divisions accept that a committee like ours has an almost absolute right of access to classified information, including information protected by solicitor-client privilege. It really is a learning process.

(1550)

The Chair:

Thank you, Ms. Marcoux.

Mr. Paul-Hus and Mr. Dubé, you have the floor for seven minutes.

Mr. Matthew Dubé (Beloeil—Chambly, NDP):

Thank you, Mr. Chair.

My thanks to the witnesses for joining us today.

First of all, I want to thank you and all the members of the NSICOP for the work that you have done up to now. Given that this is the first experience for us all, please know that, if we are asking more technical questions on the procedure, it is in order to reach certain conclusions, it is not that we are criticizing your work, quite the contrary.

I would like to know more about the follow-up to your recommendations. As an example, when the Auditor General submits a report, the Standing Committee on Public Accounts generally makes it a point to hear from representatives of the various departments.

In your case, it is a little more complicated for two reasons. First of all, the information needed for the follow-up may well be classified. Then, you are not completely able to engage in the political jousting that is sometimes necessary to achieve good accountability.

Would it be appropriate for a committee, like ours, for example, to be given the responsibility of conducting the follow-up with some of the organizations mentioned in your recommendations?

Hon. David McGuinty:

That is a question that the members of the committee have discussed at length: how can we push a little harder and require the recommendations to be implemented?

We are considering several possibilities. We have learned, for example, that the CSE carries over recommendations that have not yet been implemented from one report to the next. That is a possibility we are looking at, but we are in contact with the people involved every day.

To go back to Mr. Paul-Hus’ question, the Department of National Defence has never yet been examined by an external committee of parliamentarians like the NSICOP, which has the authority to require all that information.

Mr. Matthew Dubé:

Yes.

Hon. David McGuinty:

Since we have had DND in our sights, they, for the first time in their history, have established a group of employees with the sole responsibility of processing all the information requested. That alone is progress.

Mr. Matthew Dubé:

Thank you.

Please forgive me if I move things along. I have a limited amount of time.

Hon. David McGuinty:

I understand.

Mr. Matthew Dubé:

I would like to focus on one other point. I am going back to the question that was asked about foreign interference.

Your study was supposed to be submitted, or at least completed, before May 3, if I am not mistaken. Did I understand correctly that it is possible that the report will not be tabled in the House before Parliament adjourns for the summer?

Hon. David McGuinty:

We are working as fast as we can and spending a lot of time on that task in order to try to finish the report. However, it deals with four topics.

The problem is that the National Security and Intelligence Committee of Parliamentarians Act stipulates that the government must table its reports, once the process of redaction, or revision, is complete, within 30 days.

Mr. Matthew Dubé:

I do not want to add to your workload and I understand that you are making every possible effort.

Is the committee satisfied with the length of time between your report arriving at the Prime Minister’s Office and it being laid before the House?

Hon. David McGuinty:

That is an excellent question. In fact, we are thinking of studying those timeframes as part of the review of the act, which has to be done five years after its coming into force. You have put your finger on a good question.

Mr. Matthew Dubé:

I am not doubting your good faith, but it is important for us to ask these kinds of questions in order to do our work, especially as the elections draw nearer.

In paragraph 49 of your report, you talk about the national intelligence expenditure report. You quote statistics from Australia, but the figures for Canada are redacted. Why did the Australians decide that it was appropriate to make those figures public to the extent that even we in our country are aware of them, but Canada did not? Are you able to answer that?

(1555)

Ms. Rennie Marcoux:

We asked the government the same question when we learned that this information was going to be redacted.

Mr. Matthew Dubé:

Have you received a response that you're able to send us?

Ms. Rennie Marcoux:

The government told us that this was classified data and that it did not want to disclose these details.

Mr. Matthew Dubé:

This is interesting, especially considering that Australia is a member of the Five Eyes.

I have another question on redacting, particularly with regard to the summary, which must remain consistent with the rest of the document. Does the NSICOP determine how the summary is written?

Ms. Rennie Marcoux:

The summary is written by the staff of our secretariat. In this case, after reviewing the sentences or sentence sections and the paragraphs that had been redacted, we decided to reformulate sentences to make them complete and therefore produce a complete summary.

Mr. Matthew Dubé:

Was your decision to use asterisks draw from the British model?

Hon. David McGuinty:

Yes, exactly.

Mr. Matthew Dubé:

Right, thank you.

I have another question on National Defence and the recommendation to amend Bill C-59 as well as on the definition of the mandate that would be given to the new committee.

Is your committee concerned about the resources that this new sister committee would have to do this monitoring? The resources are already rather limited. If the mandate is expanded, are you concerned about whether the new committee will be able to carry it out each year? I would like it to be and I agree with the recommendation, but the question is whether it will be able to do so adequately given current or planned resources.

Ms. Rennie Marcoux:

We aren't aware of the resources and budget available to the new committee. I know that this budget will be much larger than the one allocated to my secretariat because the mandate of the new committee is much broader, but we are not aware of the precise figures. That being said, we agree that resources will have to be allocated according to the mandate.

Mr. Matthew Dubé:

I have one last question, which may be obvious, but which I would like to ask in the 15 seconds I have left.

When you list the criteria—sufficient, but not necessary, or still necessary, but insufficient—according to which you have decided to initiate an investigation or study, can it be said that it is in fact only a guide to inform the public, since you do not necessarily limit yourself to these criteria as appropriate?

Hon. David McGuinty:

Absolutely.

Mr. Matthew Dubé:

Thank you. [English]

The Chair:

Thank you, Mr. Dubé.

Mr. Spengemann and then Mr. Graham.

Mr. Sven Spengemann (Mississauga—Lakeshore, Lib.):

Mr. Chair, thank you very much.

Mr. McGuinty and Madam Marcoux, thank you very much for being with us. Congratulations on tabling the report.

Mr. McGuinty, in addition to chairing the NSICOP, which is a committee of parliamentarians and not a parliamentary committee, you also chair the Canadian Group of the Inter-Parliamentary Union, or IPU, which is the umbrella organization for the world's parliaments founded in 1889.

This puts you in a very unique position to comment on the role of parliamentarians on two fundamental policy objectives that are very live around the globe today. One is the fight against terrorism and also violent extremism in all of its forms. The other is the fight for diversity and inclusion, the fight for gender equality, the fight against racism and the fight for LGBTI rights.

I'm wondering if I could invite you to comment on your perspectives, your reflections on the role of parliamentarians on these two issues, drawing on the two roles that you currently hold.

Hon. David McGuinty:

Thank you for the question.

One of the things we've been hearing as a new committee as we interface with our colleagues in Australia, the United States, Britain, New Zealand, the Five Eyes and beyond, is that parliaments worldwide are struggling with this tension between the granting of exceptional powers for security purposes and the ways in which those powers are exercised with the protection of fundamental rights to privacy, freedom, and charter rights in the Canadian context, for example.

We're not alone on this journey. Many countries have reached out to NSICOP already. Ms. Marcoux was in Europe speaking to a number of countries that are fascinated by our approach. We've been invited to countries, like Colombia, and elsewhere to help them build capacity in this regard.

I think it's not necessarily only a Canadian challenge; it's obviously a global one, with the rise of violent extremism and terrorist activity.

However, we have to make sure that we get this balance right. That's what the government's intention was when NSICOP was created, and it is certainly the informing ethic among all the members of all parties who sit on the committee now.

(1600)

Mr. Sven Spengemann:

If you were to put your finger on the one most important aspect of parliamentary dialogue in an unencumbered setting like the IPU where there is no ministerial direction—the reconciliation between these two policy objectives—what would that role be for parliamentarians such as ourselves here on the committee?

Hon. David McGuinty:

I think the secret sauce in the work that we're doing is non-partisanship. If we learned how to work together in a more non-partisan fashion in many critical areas that we're facing as a country and as a planet—security being one, climate change being another—we might do better by our respective populations, the people we represent. I think that is integral to being able to treat issues like national security in that balance between security and rights.

Mr. Sven Spengemann:

Thank you very much.

I'll hand it over to my colleague.

Mr. David de Burgh Graham (Laurentides—Labelle, Lib.):

Thank you.

Mr. McGuinty, I'd like to put it on the record that without your mentorship when I was a staffer many years ago, I probably wouldn't be at this table today. Thank you for that.

I am happy to see your considerable skills and experience being put to use in this important work, which is very far from the public eye.

Chapter 2 makes frequent reference to Canadians not appreciating the extent of our intelligence services or understanding the various roles.

What is the most important thing you want Canadians to understand that they they don't understand today?

Hon. David McGuinty:

Thanks for pointing that out, Mr. Graham.

We were struck early on in our steep learning curve about how little Canadians knew about the security and intelligence community in the country: who were the actors, what were their powers, how did they co-operate, how did they not co-operate, how could things be improved, and what are the threats facing the country.

We saw some astonishing polling results about the lack of information in Canadian society. Despite the fact that we have good agencies and departments putting out good information, Canadians are not ferreting out that information, not understanding it and not collating it.

We decided, on a foundational go-forward basis, to provide some 30 to 32 pages at the front end in this chapter to give Canadians a bit of a survey, a security and intelligence 101 course in plain English.

One of my favourite tests that I apply all the time in the committee is, if you can't stop anybody coming off of a Canadian bus or train or commuter vehicle and put this report in front of them and have them understand it, you've failed. We've tried to write and deliver information here for Canadians to understand what's going on in the country in a way that they can get it.

Canadians do get this; they get it perfectly well. It's just that I think we haven't necessarily taken the time to put it in a format and a way that they can understand and digest it. That's the purpose of those 32 or 34-odd pages, to paint a picture and a mosaic of what is going on, and at the same time to show Canadians that historically, security and intelligence has been an almost organic process.

I mentioned earlier that CSIS was spun off from the RCMP—after the RCMP was involved in some shenanigans going way back—from the Macdonald commission. It was given its own statutory footing, and CSE was given its statutory footing. Things evolved, and we think that this is an organic process in the security and intelligence field. We've tried to capture that as well.

Mr. David de Burgh Graham:

Thank you.

I have quite a lot of questions, but I probably won't have time to get through most of them.

Do we have an appropriate number of intelligence agencies? Are there too many, too few?

Before you answer that, table 1 on page 20 lists 17 organizations, and I think there might be one missing. From our work at procedure and House affairs, we've learned that the Parliamentary Protective Service has its own intelligence unit.

Would that fall under your mandate? As a parliamentarian or as a government committee, how would you see that?

Hon. David McGuinty:

Any federal actor involved in national security and intelligence falls under the mandate of NSICOP. We did not turn our minds to the sufficiency or insufficiency or perhaps over-sufficiency of the number of actors in the field so I can't comment on that.

Mr. David de Burgh Graham:

Thank you very much. I still have a few seconds.

The Chair:

Yes, you do.

Mr. David de Burgh Graham:

You mentioned plain English as an important point.

There's a whole page, page 94, describing the arguments by DND against legislative supervision. Could you boil that down into plain English for us on how that debate went?

Hon. David McGuinty:

Manoeuvrability, operational manoeuvrability. We wanted to capture in the report verbatim the submission made by DND for that very reason. We wanted Canadians to juxtapose what we think are the merits of proceeding or considering to proceed this way with a legislative basis and some of the challenges coming forth from our front-line practitioners in the Department of National Defence and the Canadian Armed Forces, so we reflected that very accurately. In a sense we wanted to give Canadians a shot at the state of the debate in this area.

(1605)

The Chair:

Thank you, Mr. Graham.

Mr. Motz, for five minutes, please.

Mr. Glen Motz (Medicine Hat—Cardston—Warner, CPC):

Thank you, Chair.

Thank you, Mr. McGuinty and Ms. Marcoux, for being here today.

Before I begin with my questions, I just want to commend you and thank you for your dedication of this report to our colleague Gord Brown who passed away just about a year ago. I know his family is really appreciative of that gesture, so thank you very much.

Hon. David McGuinty:

Thank you, sir.

Mr. Glen Motz:

I also appreciate the comments you made about the necessity to have national security issues remain non-partisan. These issues need to be non-partisan. I couldn't agree with you more and there are a lot of lessons to be learned.

Unfortunately, the 2018 terrorism report produced by the Minister of Public Safety appears to have now become mired in some partisan politics.

Would that report have come to NSICOP before it was published?

Hon. David McGuinty:

Do you want to take a shot at that?

Ms. Rennie Marcoux:

Are you referring to the 2017 or the 2018 report?

Mr. Glen Motz:

The 2018 terrorist threat.

Ms. Rennie Marcoux:

We were given a copy of the final report, I think, a day or two in advance of its publication, as a courtesy.

Mr. Glen Motz:

You were not involved in reviewing it.

Ms. Rennie Marcoux:

No.

Mr. Glen Motz:

Mr. McGuinty, does your committee intend then to evaluate the development or publication or revision of this report to determine if there was any political interference in its various iterations, in what best practices should be moving forward, or does that not fall within your mandate?

Hon. David McGuinty:

It might, but it's not something I'm in a position to comment on now. We have a full spectrum of four reviews for 2019 and we generally only pronounce on what we're working on once we announce what we're working on.

Mr. Glen Motz:

Okay, fair enough.

In the original terrorism threat report, the Minister of Public Safety named Khalistan extremism as a threat. The minister has since reworded that, but the evidence remains very dated in the report.

The only explanation that I can think of is either that the new information can't be published or that it was a political issue, not a security one. If it's the latter, if it was political and not security, then it's a significant breach of trust, in my opinion, to use terrorism threats for a political purpose.

Where should these questions be investigated? Is this committee the right one? Is your committee the right one? How do we get to the bottom of that issue, sir?

Hon. David McGuinty:

We haven't turned our minds to this question at all. We're not in a position at all to comment on the government's decision one way or the other. I think that's a question better put to the government itself and the minister.

Mr. Glen Motz:

Okay. Are your members of the committee prevented from speaking out on any errors in reports like this?

Hon. David McGuinty:

As a general rule, the membership has agreed from the very beginning that we are extremely circumspect in any public comments, and generally we only comment on the merits of the work that we've done in the form of reports.

Mr. Glen Motz:

The work you've done....

Hon. David McGuinty:

The work our committee has done. That's correct.

Mr. Glen Motz:

Okay. So—

Hon. David McGuinty:

And those reports, of course, are unanimous.

Mr. Glen Motz:

Okay, very good.

I just want to ask a more general question about the committee and how you operate now.

During study of Bill C-22, which is the legislation that created your committee, former CSIS director and national security adviser Richard Fadden said that the committee should go slow and see how the committee does.

Now that you have 16 to 18 months of operations under your belt, do you think there are aspects that the committee should consider changing in its operations, in its role or its access? I know you and Mr. Dubé just talked about the timeliness of its release once you give it to the PMO. Is there anything else you can think of? Would those changes be legislative or internal? There must be touchpoints now, some things you need to work on.

Hon. David McGuinty:

Yes, one of the areas we're learning a lot about is this question of redaction and the redaction process. We have turned our minds to this, and we reserve the right, so to speak, to say more about it in due course. We're comparing and contrasting with other redaction processes—Australia was raised, and there's the United States and other countries—to see what their practices are. We also think the redaction process may be capable of evolving. However, we always tend, as best as we can, towards providing more information, rather than less, to the Canadian public.

Mr. Glen Motz:

If I'm hearing you correctly, this committee should maybe have its own redaction rules, and because it's non-partisan and it represents the government, well, the whole House, then maybe no outside redaction should occur. Have I heard you correctly?

(1610)

Hon. David McGuinty:

Not exactly. What we're trying to get our heads around collectively as a committee of parliamentarians is how the redaction process works, how the departments fit into this, what role the national security adviser plays, the role of the Department of Justice under the Canada Evidence Act, and on. We think its capable of evolving and becoming more transparent over time.

The Chair:

Thank you Mr. Motz.

Ms. Dabrusin, you have five minutes.

Ms. Julie Dabrusin (Toronto—Danforth, Lib.):

Over the past few exchanges, we've heard a little bit about Bill C-59 and the other forms of oversight or review that might be put in place. In respect of the National Security and Intelligence Review Agency, NSIRA, how would you see the complementarity between the review agency and yourself?

Hon. David McGuinty:

I think it's fair to say that NSIRA's mandate will be chiefly based on examining the activities of different security and intelligence actors on the basis of their lawfulness and whether they're operating within the powers they have vested in them. They also have some mandatory yearly reviews to perform. They'll be becoming, as they say, a bit of a super-SIRC, so they'll have to review SIRC as well as the Communications Security Establishment on an annual basis.

Public complaints will be a big factor in terms of receiving Canadians' complaints. That will be a very large component, but we'll wait and see. We've already met with the folks at SIRC and other agencies that are in place, and we fully intend to meet up with NSIRA, when it's created. I'm sure we will be co-operating and sharing information, research, and analysis. One of the benefits of having a secretariat, which will be led by Ms. Marcoux, is that the institutional memory will remain constant, transcending any one government or any one membership of the committee.

Ms. Julie Dabrusin:

Do you think having that kind of a super-SIRC agency will result in the creation of another base of information that will help you do your work?

Hon. David McGuinty:

We think so. It's going to be in a position to have access to key information and classified materials, and I fully expect that we'll be sharing and co-operating as best we can.

Ms. Julie Dabrusin:

In paragraph 69 of your report, you talk about the threat of espionage and foreign influence that's growing in Canada, and then at the end, the last sentence refers to Australian legislation. It says, "The committee agrees and notes that Australia passed legislation in June 2018 to better prevent, investigate, and disrupt foreign interference."

I'm wondering if you'd be able to tell me a little bit about that legislation, and what you think we could learn from it.

Hon. David McGuinty:

Well, we can't learn very much as this stage, because we're actually in the throes of reviewing the government's response to foreign interference, and that's one of our major reviews for 2019. Following this 2018 report, we want to shed light on the scope of the threat of foreign interference.

We also want to assess the government's response to that threat. We want to do this particularly with respect to Canadian institutions and different ethnocultural communities in a Canadian context. We are not looking so much at electoral integrity or the acquisition of Canadian companies under the Investment Canada Act. Those are not areas or cybersecurity, not the areas that we're honing in on. We're going to be looking at who these foreign actors are, what they're up to, and how well we're responding.

Ms. Julie Dabrusin:

Is there anything you would be able to comment on about the Australian legislation? It's referenced in this paragraph, so is there something you can tell us about the Australian example?

Ms. Rennie Marcoux:

I don't have the details of the legislation in front of me, but I remember something of the discussion at committee. I was struck by the fact that Australia had enacted explicit legislation on foreign interference, whereas here in Canada, foreign interference is listed as a threat to national security under the CSIS Act. Australia felt that the threat was severe enough to draft and enact explicit legislation on it—probably a whole-of-government approach as opposed to that of a single agency.

Ms. Julie Dabrusin:

You're working on that right now, so it's something that hopefully we'll get to—

Hon. David McGuinty:

You will have more to say.

Ms. Julie Dabrusin:

—talk to you about a little bit more.

This is the last one, as I only have a minute.

You've talked a bit about the lack of awareness among Canadians about our security agencies. When you looked into it, what did you find was the biggest misunderstanding, if there was a biggest misunderstanding? There's one part you note in the report about lack of knowledge about what our agencies are, but was there anything where you actually spotted a misunderstanding as to how our agencies work?

(1615)

Hon. David McGuinty:

It was more basic than that. Very few Canadians could name our core intelligence agencies. Very few knew what CSE was. Very few really understood what CSIS was, what it was doing, how it was operating. It's an even more rudimentary lack of understanding not so much in precision about the way they act, but simply the very existence of the organizations or the number of organizations that are acting. This is very new for Canadians.

Ms. Julie Dabrusin:

A chart of all the organizations is in here, so that might help get that information out.

Hon. David McGuinty:

We hope so, thank you.

Ms. Julie Dabrusin:

Thank you.

The Chair:

Thank you, Ms. Dabrusin.

Mr. Eglinski, for five minutes, please.

Mr. Jim Eglinski (Yellowhead, CPC):

Thank you.

I'd like to thank both presenters today. Thank you for the work that you're doing for our country. It's a lot of long hours, and I appreciate what you're doing.

I noticed in your report, especially paragraphs 67 and 68 and even partially going into 69 where.... I think in 68 you mention CSIS has raised concerns about Chinese influence in Canadian elections and stuff like that. Is your agency involved in any of the preparations for the 2019 election to ensure there's no political interference from foreign agents, or could it potentially retroactively look at this issue? Are you going to look at it before...? Have there been any studies done?

Hon. David McGuinty:

Not at this time, not by NSICOP. In our foreign interference focus, as I mentioned, our first objective is to simply shed light on the breadth and the scope of the threat by foreign actors in terms of who these primary threat actors are, what threat they are posing, and what they are doing, and also, how well our country is responding to the threat. We're not focusing so much on electoral integrity in this forthcoming election as we are the general role of outside actors.

Mr. Jim Eglinski:

Your organization itself is not. Do you know if the other groups, like CSIS, are doing some active research, study or intelligence work in that area?

Ms. Rennie Marcoux:

One of the reasons we didn't look at the upcoming election in terms of foreign interference is that the government—they informed us—was doing so much work in terms of assessing the threat and then taking action to prevent the threat of foreign interference.

Mr. Jim Eglinski:

Thank you.

Being a new organization and working with our basically eight major intelligence gathering organizations in Canada, how have you found over the last year the co-operation with these outside agencies? Quite often these agencies are reluctant to give information, reluctant to trust a new organization or outside.... Has the transition been fairly good? Are they buying into the need for our national organization—you, your group?

Hon. David McGuinty:

That's a great question.

Generally yes, I think most folks we work with are very supportive, but it's new. We're building trust and building a relationship of co-operation and getting access to information, pushing and poking and prodding from time to time to get what we need.

I mentioned earlier the Department of National Defence has never had a spotlight shone on it this way in terms of its intelligence activities. That was a great learning experience, and there was a lot of trust.

This year, we're doing a major review on the Canada Border Services Agency, which has never been reviewed by an outside body of parliamentarians. We've already received roughly 15,000 to 16,000 pages of documentation from CBSA, so the co-operation is very good so far.

I think most folks think that this kind of external review is helpful in terms of how they conduct their affairs, and look forward to the findings of NSICOP because they are non-partisan, and because they are very much recommendations for improvement.

Mr. Jim Eglinski:

Thank you.

Just expanding on that, how are you finding your group being recognized by international communities?

Hon. David McGuinty:

We're very proud of the report; the annual report has been well received around the world. We've had commentary from the U.K., the United States, Australia and New Zealand. For example, we heard from New Zealand's intelligence commissioner, I think she's called—

Ms. Rennie Marcoux:

She's the inspector general.

Hon. David McGuinty:

She has said that chapter 4 on national defence—

Ms. Rennie Marcoux:

It's the intelligence priorities.

Hon. David McGuinty:

I'm sorry. The intelligence priorities will be part of the foundational examination in the commission of inquiry on the Christchurch shooting. We're reaching out as best we can, but the feedback so far is very positive.

(1620)

Mr. Jim Eglinski:

I have a quick last question.

We gave you a mandate when the group was started, and there was lots of controversy over it initially. Have we given you enough tools? I believe there was supposed to be a five-year review. Do you find, even in your first year, that we may need to look at that more quickly? Are you going to need better tools to assist your organization?

Hon. David McGuinty:

We might, but right now we're only two years or so into the five-year mandate, and I think it's going to be interrupted a bit with an election campaign in the fall—

Mr. Jim Eglinski:

Yes, it will be.

Hon. David McGuinty:

I think the committee would say that five years is an appropriate moment, but we're certainly carrying forward some of these areas, and as we practise and get more experience, I think we'll have more to say and perhaps more suggestions for improvement.

The Chair:

Thank you, Mr. Eglinski.

Mr. Graham, you have five minutes, please.

Mr. David de Burgh Graham:

Thank you.

On page 66 of the report, paragraph 170 describes defence intelligence. There is a description of the different types of intelligence. Signals intelligence is, of course, the one that gets the most interest. It's the one that all the Edward Snowden stories were about at the core. By the very nature of SIGINT, it captures everything; it's really hard not to.

In your view, and this comes down to the core reason the committee was created for political reasons, does Canada's intelligence apparatus, and our Five Eyes partners especially, take adequate safeguards to prevent unjustified or illegal collection of data by, about or between Canadians?

Hon. David McGuinty:

That's an excellent and really difficult question. I'm going to deflect it to a certain extent by letting you know that again this year, 2019, one of the major reviews we're undertaking is a special review of the Department of National Defence and the Canadian Armed Forces. We're going to be examining the collection, use, retention and dissemination of information on Canadian citizens by the Department of National Defence and the Canadian Armed Forces. We're going to try to make sure there's clarity on the legal and policy constraints around this collection of information on Canadian citizens when conducting defence intelligence activities. So it's something we're immediately seized with.

Mr. David de Burgh Graham:

Does DND have domestic intelligence or is it mostly international?

Ms. Rennie Marcoux:

They're able to collect intelligence if they have a legally mandated authority to deploy forces on a mission, whether it's in Canada in support of the RCMP or CSE for example, or on a mission abroad. They can collect in support of a mission wherever it is.

Mr. David de Burgh Graham:

Do we know if the existence of NSICOP has changed the behaviour of any of the intelligence community?

Hon. David McGuinty:

I think it has. I mentioned earlier that one of the immediate effects of examining intelligence activities at the Department of National Defence and the Canadian Armed Forces is that for the first time ever, the department set up a unit within to respond to outside review, to pull together information, to collate and to respond to the requests that we made. We've made many requests to the department and have received thousands of pages. When we think it's not satisfactory, we go back and ask for more. If something is missing, we ask why things might be missing.

We think the probity that NSICOP can bring to organizations that are involved in national security intelligence is really positive for Canadians.

Mr. David de Burgh Graham:

At the very end of your report, paragraph 265, I read a hint of frustration that the intelligence community is less than forthcoming and sometimes has to be coaxed along to provide information you're asking for. Is this changing, and will the recommendations you propose also help solve that?

Hon. David McGuinty:

Did you say paragraph 265?

Mr. David de Burgh Graham:

Paragraph 265 on page 110. It's towards the end of the report. There was a bit of frustration by the committee that you'd ask a question and you'd get a very narrow response instead of getting the answers you're looking for.

Hon. David McGuinty:

I think Ms. Marcoux is best placed to answer that question, because she is dealing with her colleagues inside these departments and agencies on a regular basis.

Ms. Rennie Marcoux:

As I think I mentioned earlier, it's a question of the departments, particularly those that are not subject to regular review, getting used to providing information, the relevant information, to the committee.

In some cases, it's perhaps about the secretariat needing to be more precise in terms of time frames or the type of information we want. It's a back and forth process that's going on. In some cases, it's just a question of the need to read the document carefully. If there's a reference, for example, to a document in a footnote, it is incumbent on them to give us that document as well. So it can be the small things as well as the big ones.

(1625)

Mr. David de Burgh Graham:

I understand.

Paragraph 107, on page 41—you don't need to go to each page; I'm just telling you where they are—discusses a case of CSIS drafting a ministerial direction minus two priorities, and it creating a bunch of confusion about whether or not intelligence can be collected.

Are they allowed to collect things outside of the priority list? Why would it create confusion? They can still do data collection, even if it's not among 10 items that are redrafted on the—

Ms. Rennie Marcoux:

It's easier for me to—

Mr. David de Burgh Graham:

Sure. It's paragraph 107, on pages41 and 42. This is excellent weekend reading, by the way.

Hon. David McGuinty:

I don't think we're in a position to give you much more insight, given the classified information that backs up that paragraph.

Mr. David de Burgh Graham:

I understand.

Ms. Rennie Marcoux:

Yes. I think it's because CSIS operates within very precise references and direction, so the more precision they get, the better it is for the officers in a region to collect. I think that's what we were trying to refer to.

Mr. David de Burgh Graham:

Thank you.

The Chair:

Thank you, Mr. Graham.

Mr. Dubé, you have three minutes. [Translation]

Mr. Matthew Dubé:

I just have two last questions. One may seem a little ridiculous, but I think it's important.

Will the format of the report be different next time so that it is easier to view on a computer—for example, to allow searching using the Ctrl-F keys? In other words, will it still be a scanned copy?

Ms. Rennie Marcoux:

This problem is related to the redaction process. You can't just cross out the information in a document and then transfer it to a computer or on the web. In fact, copies and photocopies must be made before they are posted on the website.

Mr. Matthew Dubé:

You will forgive me for saying that in 2019, we should be able to find a solution to consult the document more quickly.

Ms. Rennie Marcoux:

Yes.

We share your frustration, Mr. Dubé.

Mr. Matthew Dubé:

Excellent. Thank you. I couldn't help but mention it.

I have one last quick thing to ask you.

To go back to the first question I asked, is there a plan to formally monitor the implementation of the recommendations made by the NSICOP? I asked the same question at the beginning of my intervention, but I just want to make sure that there is a formal follow-up on these recommendations.

Hon. David McGuinty:

Yes.

The NSICOP has a plan to do exactly this kind of follow-up. We are really pleased to be here today, and perhaps be invited to the Senate later, to address your counterparts there. We think this is a good start to raise awareness among parliamentarians at the very least.

Mr. Matthew Dubé:

Excellent. Thank you.

Hon. David McGuinty:

Thank you, Mr. Dubé. [English]

The Chair:

Thank you, Mr. Dubé.

I have one last question.

In your recommendations, you talk about the process for setting intelligence priorities, the F1 recommendation, and you're complimentary about that. Then you say in F7 that the performance measurement for the security and intelligence community is not robust enough.

Intelligence priorities change all the time. The one that comes to mind is the change in priorities between terrorism and cybersecurity. A lot of intelligence analysts think that cybersecurity is a far greater threat than terrorism.

Can you describe that process, in terms of whether you're satisfied that, ultimately, we have our priorities correct?

Hon. David McGuinty:

When we undertook the intelligence priority setting review, we did it because we wanted to be, so to speak, at the top of the crow's nest for the country, examining the overall architecture of security and intelligence, while at the same time getting into the engine room, to see how these priorities were, in fact, arrived at.

One of the stumbling blocks we think we happened upon here, which is made very plain in the recommendation, is this question of standing intelligence requirements. There are over 400. It's very difficult to triage and feed 400-plus standing intelligence requirements into a cabinet process. We don't have access to cabinet confidences in this regard, but we see most of the material that has led up to those kinds of discussions and debate.

We think there's real improvement to be made, which is why we're calling on the national security and intelligence adviser to take a much more proactive role. The NSIA is pivotal in the overall architecture of security and intelligence in Canada, and she is best placed, we believe, to streamline and simplify. A lot of good front-line actors in security and intelligence in the country are looking for more clarity, and perhaps a smoother process.

The entire chapter breaks down for Canadians how this works, step by step, and we've honed in on a couple of internal fine-tuning mechanisms that we think would go a certain distance in improving the entire process.

(1630)

The Chair:

Thank you for that.

On behalf of the committee, I want to thank both of you for your presentation. It's an insight that all of us appreciate. I commend the work of your committee. I commend your report. Thank you for the very hard work that I know you have put in over the last 18 months.

With that, colleagues, I propose to suspend until we see Minister Goodale in the room, but I'm going to turn to Mr. Paul-Hus while we have a little bit of time. He wishes to deal with M-167, which is not on the agenda. I only want to deal with that if there is unanimity on the part of colleagues to deal with it now. If not, I'm just going to shut it down and deal with it—

Mr. David de Burgh Graham:

We have to be in camera for that, right?

The Chair:

Yes, we do.

Mr. David de Burgh Graham:

We can't wait for Ralph then.

The Chair:

First of all, is there an attitude that we wish to do this at the end of Minister Goodale's presentation?

An hon. member: That's fine.

The Chair: You'll be fine if I then go in camera. Is that right? I want to just make sure we are all okay.

With that, we will suspend.

(1630)

(1630)

The Chair:

We will resume. The minister and his colleagues are with us.

This is a special meeting. We agreed to invite the Minister of Public Safety and Emergency Preparedness to appear on, respond to and take questions on the “2018 Public Report on the Terrorist Threat to Canada”.

I'll turn to Minister Goodale for his opening statement and ask him to introduce his colleagues.

Hon. Ralph Goodale (Minister of Public Safety and Emergency Preparedness):

Thank you, Mr. Chair, and members of the committee. It's good to be back.

I have with me today the associate deputy minister, Vincent Rigby, the commissioner of the RCMP, Brenda Lucki, and the director of CSIS, David Vigneault.

We're happy to try to respond to your questions about the “2018 Public Report on the Terrorist Threat to Canada”.

I'd like to begin by saying that the women and men who work for our intelligence and security agencies do an incredible and very difficult job of identifying, monitoring, mitigating, and stopping threats in the interests of keeping Canadians safe. It is a 24-7, unrelenting job and the people who protect us deserve our admiration and our thanks.

The purpose of the “Public Report on the Terrorist Threat to Canada” is to provide Canadians with unclassified information about the threats we are facing. That includes threats emanating from Canada but targeted elsewhere around the world. No country wants to be an exporter of terrorism or violent extremism. Providing Canadians with a public assessment of terrorists threats is a core element of the government's commitment to transparency and accountability. While never exposing classified information, the goal is to be informative and accurate.

Before I get into the specifics of this year's report, I would like to remind committee members about the “2016 Public Report on the Terrorist Threat to Canada”. In the ministerial foreword to that report, I wrote this: It is a serious and unfortunate reality that terrorist groups, most notably the so-called Islamic State of Iraq and the Levant (ISIL), use violent extremist propaganda to encourage individuals to support their cause. This group is neither Islamic nor a state, and so will be referred to as Daesh (its Arabic acronym) in this Report.

In hindsight, that principle is something that should have better guided the authors of subsequent reports when referring to the various terrorist threats facing our country. Canadians of all faiths and backgrounds have helped to build our country and continue to be integral members of our communities and neighbourhoods. They contribute to inspiring a stronger, more equal and compassionate Canada, one that we all strive for. It is neither accurate nor fair to equate any one community or an entire religion with extremist violence or terror. To do so is simply wrong and inaccurate.

Following the issuance of the 2018 report, we heard several strong objections, particularly from the Sikh and Muslim communities in Canada, that the language in the report was not sufficiently precise. Due to its use of terms such as “Sikh extremism” or “Sunni extremism”, the report was perceived as impugning entire religions instead of properly zeroing in on the dangerous actions of a small number of people. I can assure you that broad brush was not the intent of the report. It used language that has actually been in use for years. It has appeared in places such as the previous government's 2012 counterterrorism strategy and the report in December 2018 of the all-party National Security and Intelligence Committee of Parliamentarians. Similar language also appeared on the Order Paper of the House of Commons in reference to certain proposed parliamentary business. As I have said before, language matters. Just because something has often been phrased in a certain way does not mean that it should be phrased in that way now or in the future.

As a result of the concerns presented to me, I requested a review of the language in the report, to ensure that it provides Canadians with useful, unclassified information about terrorist threats to Canada without falsely maligning any particular community. We consulted with the Sikh and Muslim communities in Canada. We consulted with the Cross-Cultural Roundtable on National Security. We consulted with our security and intelligence agencies. We also heard from many members of Parliament.

(1635)



Going forward, we will use terminology that focuses on intent or ideology, rather than an entire religion. As an example, the report now refers to “extremists who support violent means to establish an independent state within India”. This is an approach, interestingly enough, that is sometimes used by some of our allies. For instance, the 2018 national strategy for counterterrorism of the United States of America reads in part, “Babbar Khalsa International seeks, through violent means, to establish its own independent state in India”.

The objective must be to describe the threat to the public accurately and precisely, without unintentionally condemning the entire Sikh community or any other community. The vast majority of the Sikh community in Canada are peaceful and would never wish to harm anyone, not in this country or anywhere else.

Similarly, we have eliminated the use of terms such as “Shia or Sunni extremism”. Going forward, these threats will be described in a more precise manner, such as by referring directly to terrorist organizations like Hezbollah or Daesh. That is more accurate and more informative. Once again, the point is that language matters, and we must always be mindful of that fact, which is why the review will be an ongoing process.

I'm sure that every member here has seen the increasing statistics on hate crime published just a couple of weeks ago. Sadly, 2017 saw a 47% increase in police-reported hate crime in Canada. Social media platforms are making it easier and easier for hateful individuals to find each other and then to amplify their toxic rhetoric. Tragically, as we saw very recently in New Zealand, this sometimes leads to devastating and deadly consequences. The idea should be anathema to all of us that governments of any stripe might inadvertently continue to use language that can then be twisted by these nefarious and violent individuals as proof points in their minds and justifications for their hatred.

In addition to the language review, I would like to share some of the innovative things that our security agencies are doing to be accurate, effective and bias-free in their day-to-day work. That's just one example. For the past several months, the people who are tasked with making those final difficult decisions about adding someone to the SATA, the Secure Air Travel Act, or the no-fly list, in other words, have had the name and the picture of that particular person removed from the file, so that the name or the picture does not influence the final decision, not even subconsciously. The focus of the decision-makers must be on the facts that are in the file, and they must make a decision on the basis of those facts. So it's a matter of fact and not prejudice.

The women and men of our intelligence and security community are hard-working professionals, but there is not a human being alive who is not prone to some preconceived idea or bias. Government should try very hard to mitigate the effects of this very human trait.

Finally, while the updated report has been received reasonably well, there have been critics who have complained that the changes reduce the ability of our agencies to do their job. I would profoundly disagree with that. The factual content of the report has not changed. It continues to outline the threats facing and emanating from Canada. It simply does it in a manner that cannot be interpreted to denigrate entire communities or religions because of the actions of a small number of individuals who are actually behaving in a manner that is contrary to what that community holds dear. The whole community should not be condemned for that.

(1640)



Frankly, our security and intelligence agencies need the goodwill and the support of all peaceful, law-abiding members of all communities to do their jobs effectively. We cannot build those partnerships if the language we use creates division or distance or unease among those communities and our security agencies.

Mr. Chair, thank you for inviting me to be here again today. I and my officials would be pleased to try to answer your questions.

The Chair:

Thank you, Minister Goodale.

Ms. Sahota, you have seven minutes.

Ms. Ruby Sahota (Brampton North, Lib.):

Thank you, Mr. Chair.

At the outset, Minister, I'd like to thank you for appearing here today. Thank you for the work you do. We know with the RCMP and CSIS, your job is not easy. You keep our country safe, and it is much appreciated.

I have raised this issue with you, Minister, several times. My community and several stakeholders contacted me after this report was made public back in December. They were truly bewildered as to why Sikhs had been identified in this way, why other faiths—Sunni, Shia, Islamist—had been mentioned in this report. Previously in these public reports they've always focused on regions and extremist travellers. Why the change in the way this report was set up this time?

(1645)

Hon. Ralph Goodale:

Ms. Sahota, the report is the collective work of a variety of security and intelligence agencies within the Government of Canada. As you have acknowledged, they do a very difficult and very professional job of assessing the risks before the country at any given moment. That changes from time to time. Since this is a report to the government and to the public, it's perhaps not for me to comment on the input that went into it.

Perhaps, David, from CSIS's point of view, can you provide a perspective on the factors that would come into the thinking of the authors of the report in what needs to be assembled at any given moment and...?

Ms. Ruby Sahota:

If I may just add a little more to that, in your introductory remarks, Minister, you referred to the 2016 report which specifically mentioned that ISIL would no longer be used as it's neither Islamic nor a state and Daesh would be used. Why that reversal in this report? We've seen a lot of changes in the layout, the substance and the description in this report.

Hon. Ralph Goodale:

Mr. Rigby, the associate deputy minister, wants to comment.

Mr. Vincent Rigby (Associate Deputy Minister, Department of Public Safety and Emergency Preparedness):

Thanks very much, Minister.

This is a whole of security and intelligence community product. Public Safety has the technical lead, but we reach out to the community and in a very inclusive way take input from across the RCMP, from CSIS, from ITAC. We assemble the information both in threat and threat capabilities and also in the government response. We pull all that material together and then we all collectively agree at the end of the day, right up to head of agency, before it goes to the government and to the minister to sign off.

There had been, I think, a little criticism in the last couple of years that the reports had not been as detailed as people would like. They'd like it to be a little more expansive and go into a little more of the intricacies of the threat, etc. I think in our attempt perhaps to provide a little more of that detail, unfortunately some language crept into the report that, at the end of the day, we're now here to discuss. As the minister said, the language which in future we would much prefer will focus more on ideology and less on community.

That's a little of the background as to how this slipped in. Again, the language had been used in previous reports, but in some of the specific terminology the minister referred to, had not been used since 2012.

Ms. Ruby Sahota:

Okay. I know there has been some criticism about removing these words, saying that it will not be precise, but like the minister, I disagree. I think homing in on the actual terrorist organizations is being far more precise.

Can you explain to me, in the section on those who continue to support establishing an independent state within India by violent means, how this section is precise? The questions I get from stakeholders in the community is that this section, or reference to this section, has not previously been in past reports other than the mention of one organization, so why now? Why, when no events have occurred publicly that we know of, was it included in the 2018 report and never referenced before, when in that section it mainly references an incident and a time between 1982 and 1993?

(1650)

Hon. Ralph Goodale:

I think Mr. Vigneault can comment on this, but I'd just make two preliminary observations.

The material that is prepared and published in the public threat report of course has to be unclassified. Classified information has to remain classified, but there is a parliamentary avenue for some examination of that. Of course, that's the purview of your previous witness this afternoon.

Ms. Ruby Sahota:

I was thinking that myself.

Hon. Ralph Goodale:

The National Security and Intelligence Committee of Parliamentarians was created for the purpose of allowing our security agencies, when appropriate, to be able to discuss classified information with the appropriate group of parliamentarians. That is the NSICOP as opposed to a standard parliamentary committee. If the National Security and Intelligence Committee of Parliamentarians wishes to pursue an issue of this kind, that would be the appropriate venue for that discussion to happen.

I will invite David Vigneault, the director of CSIS, to comment further.

Mr. David Vigneault (Director, Canadian Security Intelligence Service):

Thank you, Minister.

Thank you for your question and for giving me an opportunity to elaborate on this topic.

As you can imagine, CSIS's national security investigations are very fluid. They're influenced by events taking place here in Canada and taking place abroad. Our mandate is to make sure that individuals here in Canada who are supporting or engaged somehow in support of the use of violence for political purposes are investigated. These fluid investigations ebb and flow, and we have been providing advice to the government, and we have been providing advice to Public Safety in the context of the report and our threat assessment.

We stand behind the assessment we've provided that there is a small group of individuals who right now are engaging in activities that are pursuing use of violent means to establish an independent state in India. It is our responsibility to make sure that we investigate these threats and that we provide advice to the RCMP and to other colleagues to make sure, based on our information and our own investigations done by CSIS, that Canada is not being used to plot terrorist activity and that we Canadians are also safe at the same time.

The Chair:

We're going to have to leave it there, Ms. Sahota.

Mr. Paul-Hus, you have seven minutes. [Translation]

Mr. Pierre Paul-Hus:

Thank you, Mr. Chair.

Mr. Goodale, I was fortunate to have the first copy of the December 11, 2018 report, which gave us some information. I understand your arguments and the whole explanation you are giving us to try to fix what, technically, we should not have had to do. I'm glad I got it, because it gives us information about national security.

For you, you're playing politics with it. What worries me a little bit is that at one point, as Canadians, we had access to information, which was then changed. We have learned that CSIS, the RCMP and other agencies have done some work and have reported important information in a Public Safety Canada report about our security. Subsequently, groups lobbied. You were initially pressured and on April 12, you amended the report. A second version has been put online on the site. Two weeks later, on April 26, another group lobbied, and you modified the report a second time. We now have a watered down version.

I want to understand the process. I know it can affect communities, but the fact remains that reports have been prepared by our security agencies and that information has been put on them that corresponds to the situation described. To what extent does politics play a role and do we water down reality so as not to hurt anyone? How does it work? [English]

Hon. Ralph Goodale:

Mr. Paul-Hus, the representations that we received, as I mentioned in my remarks, came from representatives of the Muslim community and the Sikh community in particular. We also heard from a number of members of Parliament from different political parties, not just one. In fact, all sides of the House of Commons had occasion to comment on this situation and made their views known, raising similar kinds of concerns.

In assessing the input that was coming in, contrary to the assertion in your question, it was not a partisan issue; it was a matter of accuracy, fairness and being effective.

(1655)

[Translation]

Mr. Pierre Paul-Hus:

I believe the information was accurate. The information presented still clearly indicated points concerning an existing threat. You changed some words to lighten it up.

In essence, that's what politics is all about: trying not to displease people. However, the fact remains that the first version of the agencies was clear. [English]

Hon. Ralph Goodale:

No. That is not the purpose of the changes.

Clearly, what we heard from a number of stakeholders across the country, the Cross-Cultural Roundtable on National Security, and members of Parliament of several different political parties, when you read the words in the report, was the impression that an entire religion or an entire community was a threat to national security. That is factually incorrect.

There are certain individuals that are threats to national security that need to be properly investigated, but when you report on that matter publicly, using expressions that leave the impression with people that it's an entire religion, or an entire ethnocultural community that's to be feared, that is factually incorrect. That is what needed to be corrected. [Translation]

Mr. Pierre Paul-Hus:

But we understand that we are talking about extremism. Obviously, not everyone is targeted. No matter which religions and cultural communities are involved, when we talk about radical Islam, for example, we clearly say “radical Islam”. We refer to people who are radical or radicalized. We don't attack all Muslims, of course.

Is there a way to be clear without attacking people who do not need to be targeted?

Word choice is important. It is important to avoid removing information, especially if you do not want to displease. What I want to know is the truth. [English]

Hon. Ralph Goodale:

No. The very objective here, Mr. Paul-Hus, is to do exactly what you have said, to convey the threats in a public way, in an accurate way, but not using a brush that is so broad that you condemn an entire religion, or you condemn an entire ethnocultural community.

While you have seen phrases in the report which to you were clear in narrowing the scope of what was being referred to, there were others who read that report and saw it exactly through the opposite end of the telescope, and saw the language used was broadening the brush beyond what really was the threat.

The objective of the review, the consultation, and the work we have done here is to be accurate and precise in telling Canadians what the threat is, but also to be fair in the sense that we are not condemning, impugning or maligning entire religions or entire ethnic communities. [Translation]

Mr. Pierre Paul-Hus:

To your knowledge, is this the first time interest groups have lobbied to change a national security report?

In your government or in other governments, has there ever been a case where, following official publication, groups have information changed? [English]

Hon. Ralph Goodale:

In my experience in the areas over which I have jurisdiction and responsibility, this is the first change of this nature. The reaction was sufficiently large and pointed. It lead me to the conclusion that the problem being raised was a serious one. It wasn't just a little semantic argument. It was a very serious concern that impressions were being left by the report that were not fair and accurate, and that the language needed to be modified.

When we looked at the language, we found that very similar phrases had been used in many other places at different times, including in reports that had been filed by the previous government, in reports that had been filed by the National Security and Intelligence Committee of Parliamentarians. Indeed, some of the language also appeared at one point in time on the Order Paper of the House of Commons.

The language had been in use, but just because it had been in use for a certain period of time or for certain purposes does not mean you need to continue using a phrase that is running the risk of conveying misinformation and a misimpression of entire communities or entire religions.

(1700)

The Chair:

Thank you, Mr. Paul-Hus.

It would be helpful, Minister, if from time to time you looked at the chair so that colleagues can get their questions in.

Hon. Ralph Goodale:

You are indeed a very attractive specimen, sir, but—

Voices: Oh, oh!

Hon. Ralph Goodale: —I'm admiring this entire committee.

The Chair:

I thought you'd admire my tie.

Voices: Oh, oh!

The Chair: Mr. Dubé, you have seven minutes. [Translation]

Mr. Matthew Dubé:

Thank you, Mr. Chair.[English]

Minister, thank you for being here. I want to thank my colleagues on the committee for accepting my motion to have you come and speak to this issue. As you know, I wrote to you in December when this issue first arose, and Mr. Singh and I had both written to the Prime Minister before the changes were made. Unlike what was just mentioned, the words do matter, and on that we agree, Minister.

I think the Sikh community deserves praise for standing up for itself because ultimately, the consequences are very real. There is a rise in hate crimes, and there is another form of terrorism that is happening in communities not just here in Canada but around the world, namely, going after and attacking faith communities, and other communities of course.

I think these changes are welcome, and I certainly hope the work will continue with affected communities, because there's a specific issue that was raised in this report. We know, though, that the Muslim community both here in Canada and around the world, and certainly in the United States, has faced this issue with regard to terrorism for the better part of two decades. It's a concern that has been raised. One of the reasons you've had to make changes to the no-fly list is that there is a form of profiling inherent in the way that apparatus works.

Minister, you've said a lot of the things that I think are welcome certainly by folks hoping for change in how this is done. We've asked that there be a rethink of this process, given that we are seeing a rise in hate crimes and other incidents that seriously jeopardize public safety.

Will there be a push to institutionalize the thinking that you've put forward here today? These types of mechanisms, transparency-wise, are very important but can have the opposite affect, as you've pointed out.

Hon. Ralph Goodale:

We intend to use language throughout our systems, Mr. Dubé, that is accurate, precise and fair in conveying information about terrorist threats. It has to be an ongoing process. It's not something that you can just sort of do once as a kind of blip and presume that you've addressed the issue or solved the problem.

People need to be alert to the issue all the time, partly for the reason that you mentioned, that if you're not alert to the issue, you can inadvertently be encouraging those who would be inclined towards hate crimes and using the language as a pretext for what they do. The other reason it's important, Mr. Dubé, is that if we're going to have a safe, respectful, inclusive society, there has to be a good rapport between our police and security agencies and every community in our society. If language is used that is seen to be divisive, then you won't have that rapport, and we'll have a less safe society.

(1705)

Mr. Matthew Dubé:

It's probably not the greatest point to interrupt you on, but my time is limited. I did want to get to the substantive piece, though.

Older reports are quite challenging to find in this digital age, to be fair. I think that's worth pointing out, but from what we see, it has been 17 years since the issue that was raised in this report was ever part of a similar report, so it's been quite a while.

I think one of the issues that was raised by many who were taking issue with this is not just the language that's used, which we've all addressed today, but it's also the why. I think there was a question raised to that effect.

Given that you can't divulge everything because it's classified information, as much as we always want transparency, is there not a concern that if you can't explain why, some thought needs to be put into whether it's better to leave some things classified instead of sort of going halfway without being able to provide any justification?

This was also a big issue that was taken up by some of the communities that were calling the government to account on this.

It is important to raise the question of why. There was reporting this morning, even about the Minister of Foreign Affairs getting talking points relating to specific communities on foreign trips.

There is some cynicism around that. Are you not concerned that it gets fed into by dropping something into a report and then not being able to back it up?

Hon. Ralph Goodale:

There are two imperatives, Mr. Dubé. They sometimes present a bit of a conflict. On the one side, our security agencies would want to be as forthcoming with Canadians as they can possibly be in a public report to provide information that would be useful and helpful to Canadians in understanding the various public threats. At the same time, you raise the competing issue, which is the extent to which they can actually discuss the details.

Mr. Matthew Dubé:

Right.

Hon. Ralph Goodale:

The experience will undoubtedly be borne in mind when future reports are written.

Mr. Matthew Dubé:

Minister, with the last minute I have, I just want to ask you about the fact that the consequences were, perhaps, not properly thought out. Is that a sign of a larger issue that seems to be coming more and more to the forefront, which is to say that the threat posed by another form of extremism, namely, white nationalism and white supremacy, is being understated or undervalued by our security agencies? Does more thought need to be put into what's happening there, and the consequences that it has?

Hon. Ralph Goodale:

The police and security agencies have to deal with all of it, Mr. Dubé. They are alert to all of those threats and potential risks. You will note that in this report there are frequent references to far-right-wing extremism that poses a threat as well. It is very much a part of the matrix of issues that the police and security agencies are alert to and are dealing with.

The Chair:

Thank you, Mr. Dubé.

Ms. Dabrusin, you have seven minutes.

Ms. Julie Dabrusin:

Thank you, Minister.

In fact, I'll be picking up a little bit from where Mr. Dubé left off. It's the sections in this report about right-wing extremism.

I'm from Montreal. I was a CEGEP student at the time of École Polytechnique, which was an impactful event, as far as it was clearly targeting women because of the hatred of women. Only about a month ago, I was at a vigil for the van attack on Yonge Street, which was another event that was based on the hatred of women. At least that's what we've heard from reports.

At the beginning of this year, we held a vigil outside a mosque in my community because of what happened in Christchurch, New Zealand. In fact, not so long ago, we had also had a vigil because of what had happened at the mosque shooting in Sainte-Foy.

Those are three very large events, as far as people killed. All of them would be based on right-wing extremism and that kind of a philosophy. Yet, when I'm looking at this report, it says, “However, while racism, bigotry, and misogyny may undermine the fabric of Canadian society, ultimately they do not usually result in criminal behavior or threats to national security.”

Is this type of extremism truly less dangerous than the other forms of extremism? That doesn't seem to be, at least in my experience when I look back on our recent history.

(1710)

Hon. Ralph Goodale:

Ms. Dabrusin, I'll invite both the commissioner of the RCMP and David Vigneault to comment on those issues, because it falls to them to do the investigations and to keep people safe.

I can tell you that, over the course of the last several years when I've had the vantage point of being fairly close to our security agencies, watching their activities and the shaping of their priorities and so forth, they have worked very hard on the issue of right-wing extremism. The report that is the subject of this meeting in fact makes specific reference to a number of incidents that demonstrate why this worry needs to be treated seriously.

We've had instances from outside the country, in New Zealand, in Pittsburgh, in Charlottesville, and so forth, but within our own country, the van attack on Yonge Street, the mosque attack in Sainte-Foy, the attack on police officers at Mayerthorpe and Moncton and the misogynist attacks at Dawson College and École Polytechnique are all the product of the same perverted and evil ideology that results in people being put at risk and people losing their lives. It is taken seriously.

Let me ask Brenda and David to comment.

Commissioner Brenda Lucki (Commissioner, Royal Canadian Mounted Police):

To respond, it's no less a threat than other topics within this report, but when we look at the report, one focus, the goal, amongst others, was to provide an overall assessment of the terrorist threats to Canada first. We've added in right-wing extremism because it is a threat, maybe not when we talk, as you mentioned in your quote, to national security; it's more to events and individuals.

Ms. Julie Dabrusin:

Just to clarify, the report says, “ultimately they do not usually result in criminal behaviour or threats to national security.” It seemed to me that, when we look at the list of events, in fact, you have a very long list of events that seem to be due to right-wing extremism.

Commr Brenda Lucki:

Yes, there's absolutely criminal activity, and that would be our focus. When we do our focus on criminal activity, it's conducted by groups or individuals in any category within this report or outside, most definitely. It's no less a threat.

Mr. David Vigneault:

From CSIS's perspective, the way we look at this is that any individuals or groups who are looking to use violence to achieve political, religious or ideological objectives are a threat to national security as per the definition in our act. I'm on the record in the other chamber recently, too, having said that we are focusing more of our resources on looking at the threat of different extremist groups: misogynist, white nationalist and neo-nationalist. Essentially, they are now using terrorist methods to achieve some of their goals.

As for the attack on Yonge Street, the method was publicized initially by an al Qaeda-affiliated magazine. They called it the ultimate mowing machine, essentially telling people that it is what they should be doing. You had someone who had other extremist views who used a technique that had been developed or popularized by another set of groups to essentially kill people. From our perspective, we're not marking the difference. We investigate these groups when they meet these definitions.

(1715)

Ms. Julie Dabrusin:

My only concern is that, when I was reading the rest of the report, I didn't see any other form of terrorism or criminal behaviour being kept within the context of saying that, whatever these groups, ultimately they do not usually result in criminal behaviour or threats to national security. Those kinds of terms weren't couched around other types of groups. I was just curious why the differentiation when we're looking at—

Mr. David Vigneault:

I can't speak for all the groups, but essentially, if you look at a funnel, the vast majority of the commentary, the vile commentary online, will have an impact on society but would not be admitted to the criminal threshold. Then you have a small amount of that, which may be of interest to the RCMP or to other police bodies and law enforcement in Canada. Then you have a very, very small group of people, individuals or small groups, who are looking to organize themselves and use violence to achieve some political purpose, and that would be a national security case. It is, if you want, a kind of methodology we're looking at to essentially better understand and better characterize what we're seeing in society, but it is definitely evolving.

The Chair:

Thank you, Ms. Dabrusin.

Mr. Motz, you have five minutes.

Mr. Glen Motz:

Thank you, Chair, and thank you, Minister and officials, for being here today.

In reference to this, I have some experience in threat assessments from a criminal organization perspective that fit into a national organized crime threat assessment for this country, so I understand the work and vigour it takes from our security agencies to create this.

With that in mind, Mr. Minister, I'd like to read a quote from Phil Gurski, a former CSIS analyst, and a well-respected one. He said the following with regard to this report: What about 'individuals or groups who are inspired by violent ideologies and terrorist groups, such as Daesh or al-Qaida (AQ)?' Aside from the ridiculous insistence on 'Daesh' rather than Islamic State (Minister Goodale: Daesh is Arabic for 'Islamic State' by the way), this phrase is only partially accurate. I know from my days at CSIS that yes some Canadians are inspired by these terrorist groups but there is also a huge swathe that radicalise to violence in the name of greater Sunni Islamist extremist thought (Shia Islamist extremists are a different beast altogether) that has little or nothing to do with AQ [al-Qaida] or IS [Islamic State] or any other terrorist group. Oh and guess what else? They are all Muslims—nary a Buddhist or an animist among them. Again, using the term 'Sunni Islamist extremism', which is what we called it when I was at CSIS, does not mean all Canadian Muslims are terrorists. To my mind this is just political correctness and electioneering gone mad.

I think it's important to recognize, and I know you do, sir, that national security issues are far more important for Canadians than to have politics as part of that. My question for you is this: Do you think that informing Canadians, informing the public, of the actual threats posed by terrorists, regardless of the moniker, should be beyond any electoral designs of the current government?

Hon. Ralph Goodale:

Absolutely, and that's the way I conduct myself.

Mr. Glen Motz:

Okay. How will you then dismiss Mr. Gurski's expertise so easily with regard to the changes that have been made to this report?

Hon. Ralph Goodale:

Well, I don't have his quote in front of me, but I go to the latter part of it that you referred to, where he seemed to be saying, despite some of the language that he referred to, that everybody would understand that not all of the Muslim community was being criticized. That's a rough paraphrase of what you said.

It's not at all clear, Mr. Motz, that that's in fact true. When you use broad-brush language, you can, by implication, be impugning innocent people who you do not mean to criticize, but the language gets extrapolated and extrapolated, and if you look at some of the material on the Internet, you see the distortions, the misinterpretations and the abuse.

It all gets back to the original point. Let's be very, very careful about the language used in the first place. We have to be accurate about conveying the nature of the risk, but let's not express it in such a way that we impugn people who are innocent and, by impugning them, put them at risk.

(1720)

Mr. Glen Motz:

We all agree that a threat can be an individual and it can be a small element within certain communities, but I think Canadians are astute enough to appreciate and understand that it is not the entire community at all that is subject to the very defining language that would define a terrorist threat.

I guess one of the things that I'm curious about is how many agencies contributed to this report. Who were they?

The Chair:

Very briefly, Minister.

Hon. Ralph Goodale:

I'll ask Mr. Rigby to do the calculation of adding up the numbers that were involved.

Mr. Glen Motz:

Along with that question, on the agencies that were involved in the creation of this, were they also involved in the—

The Chair:

Mr. Motz, you are stretching the chair's patience.

Mr. Glen Motz:

Were they also involved and consulted in the revision?

The Chair:

Mr. Motz, please.

Mr. Glen Motz:

That's all I'm getting at.

The Chair:

Please, a brief answer.

Hon. Ralph Goodale:

As I said, we consulted with a whole variety of agencies to get their input.

I'll ask Mr. Rigby to talk about the total numbers that are involved in the intelligence community within the Government of Canada.

I think when the people who wrote the material were using those expressions that you've just referred to, their intent was to narrow the focus, but when members of the public saw those expressions, they actually saw the situation through the other end of the telescope and thought the criticism was actually getting broader rather than narrower. That's the dilemma here of finding the language that is accurate and precise, but at the same time, fair so that we're not having consequences that we don't mean to have.

The Chair:

We're going to have to leave the answer there.

We'll go to Ms. Sahota, for five minutes, please.

Ms. Ruby Sahota:

I'm going to follow on what my colleague Julie was saying earlier.

In the right-wing extremism section, it says: It may be difficult to assess, in the short term, to what extent a specific act was ideologically driven, or comment while investigations are ongoing or cases are before the court.

To one of my previous questions, it was mentioned that there are fluid investigations ongoing and that we would not want a plot to occur on Canadian soil. I agree with you 100%. I would never want to see what had happened in 1985 ever happen on Canadian soil again. I hope you catch the people who are up to no good, because they indirectly, or directly in this case, end up impacting whole communities at times. I think all of us would be outraged if any religion, Catholicism or Protestantism, were ever brought into any organization that had committed an act, and we wouldn't do that. However, it seems as though, from this perspective, there's an insensitivity originally to other faiths that don't originate from the western world.

In short, why wasn't the “but” language, which is included in the right-wing extremism section, included in those other sections? You're saying they are fluid investigations. How do you know for sure whether they were ideologically driven? Those exceptions are definitely referred to in the right-wing extremism section.

Hon. Ralph Goodale:

David, can you comment on that?

Mr. David Vigneault:

I'm not the author of the report, so I cannot comment on exactly why the final wording is there.

However, I can say from a CSIS perspective, as I mentioned earlier, that we're not looking at a specific religion; we're looking at the activity of individuals. If the activity of individuals is plotting to use violence to achieve political, ideological or religious objectives, that's when we would be investigating.

With the example in New Zealand, that individual invoked about five, six or seven different reasons as to why he committed the activity. When you start to mix what is happening online with mental health issues, and so on, what exactly was the motivator of an individual can be extremely delicate to determine. That's why when we work in the sphere of national security, when our colleagues in law enforcement are investigating, we might not know exactly what we're dealing with initially.

I can only speak to the types of investigations. In terms of the report and why these other caveats were not added to the others, I cannot speak to that angle.

(1725)

Ms. Ruby Sahota:

Okay.

There has been a lot of skepticism since the release of the report. From my investigation and from my talks with Minister Goodale, I found out that about 17 different agencies and departments were involved in feeding into this report.

I don't think we got to that number.

Hon. Ralph Goodale:

That's approximately correct.

Ms. Ruby Sahota:

I also found out that, when compiling this report, no evidence is taken from any single source.

Can a single source be feeding allegations or evidence into all these various different departments, and therefore, when it comes out of more than a few departments, it elevates to the level of being in the report? What are your comments on that?

Mr. Vincent Rigby:

I'll defer to David in terms of some of the source reporting from a CSIS perspective, but I can only repeat what you just said. When we went out to those 17 agencies and departments representing the breadth and scope of the security intelligence community, we looked at all sources.

Everything that came up to us was intelligence, open sources, consultations with academics right across the board. What you see reflected in the report is a composite picture of all the evidence, all the intelligence, and all the analysis, open-sourced right on down across the spectrum.

Ms. Ruby Sahota:

Could it be bad intelligence coming from another country?

Mr. Vincent Rigby:

How would you define bad intelligence?

Ms. Ruby Sahota:

Is it verified intelligence by our own independent agencies?

Mr. Vincent Rigby:

I'll defer to David on this, but we are in regular consultation, without a doubt, with our allied partners, particularly in a Five Eyes context, so we're often looking at the intelligence they provide as well.

I should stop here and let David finish it off, but we are going to make our own assessments. We will certainly look at what our allies are saying, but this is a Canadian assessment at the end of the day.

The Chair:

Mr. Vigneault is going to have to finish it off very quickly.

Mr. David Vigneault:

Mr. Rigby described the way it is done very well. I mentioned in my first answer to you, Ms. Sahota, that it was based on our own investigations. I want to be very clear that they were CSIS-led investigations.

The Chair:

I want to thank the minister and his colleagues for their attendance and a thorough discussion of this issue.

We're going to suspend and then go in camera.

[Proceedings continue in camera]

Comité permanent de la sécurité publique et nationale

(1525)

[Traduction]

Le président (L'hon. John McKay (Scarborough—Guildwood, Lib.)):

La séance est ouverte.

Bienvenue à cette 162e réunion du Comité permanent de la sécurité publique et nationale.

Nous accueillons aujourd'hui l'honorable David McGuinty et Mme Rennie Marcoux. Merci à tous les deux d'être des nôtres pour nous présenter le rapport annuel du Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR). Je suis convaincu que M. McGuinty saura nous expliquer dans son style bien à lui le rôle exact de ce comité.

Bienvenue, monsieur McGuinty. Je vous cède la parole pour vos observations préliminaires.

L’hon. David McGuinty (président, Comité des parlementaires sur la sécurité nationale et le renseignement):

Merci beaucoup, monsieur le président.

Bonjour, chers collègues, et merci de nous avoir invités à comparaître devant votre comité. Je suis accompagné de Mme Rennie Marcoux, directrice générale du Secrétariat du CPSNR.

C'est un privilège pour nous de pouvoir discuter avec vous aujourd'hui du rapport annuel du Comité des parlementaires sur la sécurité nationale et le renseignement pour 2018.

Ce premier rapport annuel est le fruit du travail, du dévouement et de l'engagement de tous mes collègues faisant partie de ce comité. Nous souhaitons que ce rapport puisse contribuer à un débat éclairé entre Canadiens quant aux difficultés qui nous attendent lorsqu'il s'agit de conférer aux organisations de sécurité et de renseignement les pouvoirs exceptionnels nécessaires pour cerner et contrer les menaces qui pèsent sur la nation tout en veillant à ce que leurs activités soient menées de manière à respecter et à protéger nos droits démocratiques.[Français]

Le CPSNR a pour mandat d'examiner l'ensemble du cadre de la sécurité nationale et du renseignement au Canada, soit les lois, les règlements, la stratégie, l'administration et les finances.

Il peut aussi examiner toute activité menée par un ministère lié à la sécurité nationale ou au renseignement.

Enfin, il peut examiner toute question se rapportant à la sécurité nationale ou au renseignement qu'un ministre nous confie.[Traduction]

Les membres de notre comité possèdent tous une cote de sécurité de niveau « très secret ». Nous prêtons serment et nous sommes astreints au secret à perpétuité. Nous pouvons en outre jeter un éclairage tout à fait particulier sur ces enjeux primordiaux du fait que nous comptons des membres de plusieurs partis, aussi bien à la Chambre des communes qu'au Sénat, qui nous font bénéficier d'une gamme variée d'expériences.

Nous pouvons accéder à tout renseignement se rapportant à notre mandat afin d'exécuter notre travail. Il y a cependant des exceptions. C'est le cas notamment des documents confidentiels du Cabinet, de l'identité de sources confidentielles ou de témoins protégés, et des enquêtes menées par les forces de l'ordre pouvant conduire à des poursuites judiciaires.

L'année 2018 en été une d'apprentissage pour le comité. Nous avons consacré plusieurs heures et réunions au développement d'une meilleure compréhension de notre mandat et du fonctionnement des organismes chargés de protéger le Canada et les Canadiens. Des fonctionnaires des différents secteurs de la sécurité et du renseignement ont informé les membres du comité, et nous avons visité les sept principaux ministères et organismes concernés. Nous avons rencontré plusieurs fois la conseillère à la sécurité nationale et au renseignement auprès du premier ministre. Le comité a également décidé de faire enquête concernant les diverses allégations entourant le voyage du premier ministre en Inde en février 2018.

En 2018, le comité s'est réuni à 54 reprises, en moyenne quatre heures à chaque fois. Vous trouverez à l'annexe C du rapport la liste des représentants du gouvernement, du milieu universitaire et des groupes de défense des libertés civiles que le comité a eu le plaisir de rencontrer en 2018.

Notre rapport annuel est l'aboutissement de nombreuses séances d'information, écrites et orales, d'une analyse de plus de 8 000 pages de documents, de dizaines de rencontres entre les analystes du CPSNR et les représentants du gouvernement, d'un travail approfondi de recherche et d'analyse, et de délibérations réfléchies et détaillées entre les membres du comité.

Il faut aussi préciser que ce rapport est unanime. En tout et partout, nous avons tiré 11 conclusions et formulé sept recommandations à l'intention du gouvernement. Le comité s'est bien assuré d'aborder ces questions en adoptant une approche non partisane. Nous osons espérer que nos conclusions et recommandations contribueront à renforcer la reddition de comptes et l'efficacité au sein de l'appareil de la sécurité et du renseignement au Canada.

(1530)

[Français]

Le rapport qui vous est présenté aujourd'hui contient cinq chapitres, dont certains portent sur les deux examens de fond menés par le CPSNR.

Le premier chapitre décrit les origines du CPSNR, son mandat et sa façon d'aborder le travail, y compris les facteurs qu'il examine ou considère au moment de choisir les examens à effectuer.

Le deuxième chapitre présente un aperçu des organismes de la sécurité et du renseignement au Canada et des menaces pour la sécurité du Canada ainsi que la manière dont ces organismes collaborent afin d'assurer la sécurité du Canada et des Canadiens et de promouvoir les intérêts du pays.

Les chapitres suivants présentent les deux examens de fond entrepris par le CPSNR en 2018.[Traduction]

Au chapitre 3, le comité a examiné la façon dont le gouvernement du Canada établit ses priorités en matière de renseignement. Pourquoi est-ce important? Pour trois raisons.

Premièrement, ce processus est le moyen privilégié pour guider le travail des collecteurs et des évaluateurs de renseignement du Canada afin de veiller à ce qu'ils canalisent leurs efforts en fonction des grandes priorités du gouvernement et de notre pays.

Deuxièmement, c'est un processus essentiel pour s'assurer qu'il y a reddition de comptes au sein de l'appareil du renseignement, lequel accomplit un travail hautement confidentiel. Grâce à ce processus, le gouvernement bénéficie de mises à jour régulières sur les opérations de renseignement dans une optique de gestion pangouvernementale.

Troisièmement, ce processus aide le gouvernement à gérer le risque. Lorsque le gouvernement approuve les priorités en matière de renseignement, il accepte le risque de se concentrer sur certaines cibles en même temps que le risque de ne pas mettre l'accent sur d'autres objectifs. [Français]

Le CPSNR a conclu que le processus, de la détermination des priorités à l'orientation pratique, et de la transmission de l'information aux ministres à l'obtention de leur approbation, repose sur des bases solides. Cela étant dit, on peut améliorer n'importe quel processus.

En particulier, le CPSNR recommande que la conseillère à la sécurité nationale et au renseignement auprès du premier ministre joue un rôle plus net de chef de file durant le processus afin d'assurer que le Cabinet possède les meilleurs renseignements qui soient pour être en mesure de prendre les décisions importantes, par exemple en ce qui a trait aux secteurs sur lesquels le Canada devrait axer ses activités de renseignement et ses ressources[Traduction]

Je passe maintenant au chapitre 4 qui traite des activités de renseignement du ministère de la Défense nationale et des Forces armées canadiennes. La politique de défense du gouvernement, Protection, Sécurité, Engagement, stipule que ces deux organisations constituent « l'unique entité du gouvernement du Canada à utiliser le spectre complet des activités de collecte de renseignements tout en assurant une analyse multisources. »

Nous reconnaissons que les activités de renseignement de la Défense sont essentielles à la sécurité des troupes et à la réussite des activités militaires canadiennes, y compris celles menées à l'étranger, et qu'elles devraient prendre de l'expansion. Quand le gouvernement décide de déployer les forces armées, le ministère de la Défense et les Forces armées canadiennes ont l'autorité implicite de mener leurs activités de renseignement de défense. Dans les deux cas, c'est la prérogative de la Couronne qui confère cette autorité. Cette structure diffère de celle des autres organismes de renseignement, le Centre de la sécurité des télécommunications (CST) et le Service canadien du renseignement de sécurité (SCRS), qui mènent leurs activités en vertu de pouvoirs clairs conférés par une loi et sont assujettis à des examens externes indépendants.

C'est donc à l'issue d'un examen complexe que le comité a formulé quatre conclusions et trois recommandations.

Notre première recommandation est axée sur les secteurs où le ministère de la Défense nationale et les Forces armées canadiennes pourraient apporter des changements à l'interne en vue de renforcer la structure de gouvernance de leurs activités de renseignement et la reddition de comptes de la part du ministre.

Nos deux autres recommandations exigeraient du gouvernement qu'il modifie ou adopte des lois. Le comité a expliqué les raisons pour lesquelles il en est venu à la conclusion qu'un examen indépendant régulier des activités de renseignements du ministère de la Défense nationale et des Forces armées canadiennes permettrait une plus grande responsabilisation.

Étant donné que le projet de loi C-59 est encore devant le Sénat, nous croyons que le gouvernement a ici l'occasion de le modifier afin que l'on fasse rapport chaque année des activités de renseignement ou de sécurité nationale du ministère de la Défense nationale et des Forces armées canadiennes, comme on l'exige du CST et du SCRS.

Le comité est également d'avis que son examen confirme la nécessité pour le gouvernement d'envisager très sérieusement d'accorder un pouvoir législatif explicite en matière d'activités de renseignement de défense. Ce type de renseignement est essentiel aux opérations des Forces armées canadiennes et comporte, comme toutes les activités de renseignement, des risques inhérents.

Dans le cadre de notre examen, nous avons entendu les préoccupations des fonctionnaires du ministère de la Défense nationale quant à l'importance de maintenir une flexibilité opérationnelle suffisante aux fins des activités de renseignement à l'appui des opérations militaires. Nous avons donc jugé nécessaire d'exposer les risques et les avantages de l'établissement d'une assise législative claire pour le renseignement de défense.

Nos recommandations sont le fruit de notre analyse de ces enjeux importants.

(1535)

[Français]

C'est avec plaisir que nous répondrons à vos questions.[Traduction]

Merci.

Le président:

Merci, monsieur McGuinty.

Monsieur Picard, vous avez sept minutes. [Français]

M. Michel Picard (Montarville, Lib.):

Merci.

Je souhaite la bienvenue aux témoins.

C'est ma première expérience à ce comité, ce que je fais avec beaucoup d'enthousiasme.

Monsieur McGuinty, j'ai tout d'abord une question élémentaire, simplement pour amorcer la discussion.

Le CPSNR est un nouvel organisme et sa courbe d'apprentissage est actuellement en progression. C'est un ajout à nos structures actuelles.

Pour nous aider à mieux comprendre ce que nos organismes de renseignement font, pouvez-vous nous expliquer en quoi cet organisme, le CPSNR, constitue une valeur ajoutée par rapport à ce qui se faisait par le passé, avant sa création?

L’hon. David McGuinty:

Merci de la question.

Je commencerais par dire que la valeur ajoutée vient d'abord du fait que les membres du CPSNR ont accès à toutes le matériel classifié, à toute la documentation, aux présentations et aux témoins. Cela aide énormément quand on a accès aux informations les plus approfondies.

Ensuite, je crois que le CPSNR a démontré, cette année, que c'est très possible pour les parlementaires, tous partis confondus et qu'ils viennent de l'une ou l'autre des deux Chambres du Parlement du Canada, de travailler ensemble d'une façon non partisane. Je crois que cela se fait dans un contexte où il y a actuellement énormément de partisanerie.

Nous avons décidé, dès le début, mes collègues et moi, que nous laisserions à la porte cette approche partisane étant donné l'importance du travail. Les questions qui entourent la sécurité nationale sont simplement trop importantes pour que nous prenions part aux tiraillements normaux de la scène politique au quotidien.

L'année n'a pas été facile parce que, d'une certaine façon, il fallait faire voler l'avion tout en le pilotant. Nous avons formé un secrétariat. Nous avons embauché une dizaine de personnes à temps plein, et notre budget est de 3,5 millions de dollars par année.

Nous sommes fiers. Nous sommes fiers des débuts du CPSNR, de cette première année.

M. Michel Picard:

Merci.

Je vais alors vous poser une question d'ordre plus technique. J'aimerais revenir sur votre commentaire à l'égard du renseignement militaire.

Vous avez fait une comparaison entre, d'une part, les services de renseignement ou les agences qui travaillent dans le renseignement, notamment le Service canadien du renseignement de sécurité, ou SCRS, et le Centre de la sécurité des télécommunications, ou CST, et, d'autre part, d'autres agences qui sont aussi engagées dans des activités de renseignement.

Lorsque vous parlez du renseignement militaire, vous dites que le ministère de la Défense nationale abrite le spectre global des services de renseignement. Les services sont-ils similaires à tel point que nous puissions les comparer d'égal à égal?

En quoi les activités du renseignement militaire sont-elles plus larges que ce qui constitue le spectre du renseignement dans les autres agences?

Sur quelles comparaisons le gouvernement peut-il s'appuyer pour évaluer la question du renseignement militaire? Par exemple, peut-il se fier aux pratiques exemplaires qui ont cours dans d'autres pays pour évaluer à sa juste valeur les besoins quant au renseignement militaire?

L’hon. David McGuinty:

En premier lieu, il ne faut pas oublier que le fondement législatif du ministère de la Défense nationale reste toujours la prérogative de la Couronne.

(1540)

[Traduction]

Nous savons que la prérogative de la Couronne est un concept qui date de plusieurs siècles. C'est un pouvoir très ancien dont bénéficie la Couronne pour permettre à un pays de déployer des troupes, de faire la guerre et d'appliquer sa politique étrangère, entre autres exemples.

Les pouvoirs conférés notamment aujourd'hui au SCRS et au CST tirent aussi leur origine de ce concept ancien de la prérogative de la Couronne. Les choses ont toutefois évolué de telle sorte que ces deux organisations fonctionnent désormais dans le cadre bien défini de leurs lois habilitantes respectives. Dans sa propre politique de défense, le gouvernement indique que le ministère de la Défense nationale est la seule organisation au pays à utiliser le spectre complet des capacités de renseignement. Autrement dit, il mène toutes les activités de renseignement que le SCRS, le CST et la GRC réalisent chacun de leur côté.

Au cours des prochaines années, le ministère compte également ajouter 300 employés à son personnel affecté au renseignement. Il est donc un acteur de tout premier plan dans ce domaine.

Nous avons examiné de très près l'assise législative servant de base à son fonctionnement et avons commencé à poser certaines questions difficiles qui revêtent une importance capitale. Notre rapport essaie d'établir un juste équilibre entre les avantages pour le gouvernement d'envisager l'adoption d'une loi pouvant offrir ce fondement juridique et quelques-uns des risques inhérents portés à notre attention par le ministère. Nous avons mis tout en oeuvre pour expliquer tout cela le plus clairement possible dans le rapport de telle sorte que chacun puisse bien le comprendre. Nous voulions ainsi mettre cet enjeu en lumière et susciter un débat, non seulement entre les parlementaires, mais au sein de la société canadienne dans son ensemble.

M. Michel Picard:

J'ai une dernière question portant sur vos conclusions. On peut lire à la page 59 de votre rapport: C7. La mesure du rendement pour l'appareil de la sécurité et du renseignement n'est pas suffisamment robuste pour fournir au Cabinet le contexte requis pour comprendre l'efficience et l'efficacité de l'appareil de la sécurité et du renseignement.

Pouvez-vous nous donner un exemple des préjudices causés par ce manque d'efficacité? Pourriez-vous nous en dire plus long au sujet de cette conclusion?

Mme Rennie Marcoux (directrice générale, Secrétariat du Comité des parlementaires sur la sécurité nationale et le renseignement):

Je vais répondre.

Nous avons indiqué dans le rapport que nous n'avions pas accès aux documents du Cabinet, car la loi nous impose des restrictions en la matière. Nous avons pu prendre connaissance de l'ensemble des discussions, des documents d'information et des procès-verbaux de réunions qui ont mené à l'élaboration de ces documents. Je crois que c'est pour le processus dans son entier, du début à la fin, que nous avons noté le manque d'efficacité du Cabinet à répondre aux questions qui se posaient: Quels sont les risques? Quels sont les avantages? Quelles sont les lacunes en matière de collecte de renseignement? En quoi l'évaluation est-elle déficiente? Pourrions-nous apporter une plus grande contribution à l'alliance?

Nous avions donc l'impression que nous aurions dû pouvoir compter sur une gamme d'information de meilleure qualité pour évaluer le rendement de l'appareil de la sécurité et du renseignement.

M. Michel Picard:

Merci.

Le président:

Merci, monsieur Picard.

Nous passons à M. Paul-Hus pour les sept prochaines minutes. [Français]

M. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, PCC):

Merci, monsieur le président.

Merci, monsieur McGuinty et madame Marcoux.

Dans la version française de votre rapport, au paragraphe 66 de la page 29, vous parlez d'espionnage et d'influence étrangère.

Lorsqu'on parle d'élections, des élections à venir entre autres, considérez-vous qu'une campagne électorale est un enjeu de sécurité nationale?

L’hon. David McGuinty:

Le CPSNR n'a pas examiné de façon approfondie la question de tout ce qui touche l'intégrité électorale, notamment des prochaines élections.

M. Pierre Paul-Hus:

Considérez-vous que l'aspect de l'ingérence possible dans les élections soit un enjeu de sécurité nationale? Aux paragraphes 66 et 67, vous mentionnez que la Russie et la Chine sont deux pays reconnus comme étant des acteurs importants de l'ingérence politique, et vous parlez d'activités d'influence visant les partis politiques également.

C'est mentionné dans votre rapport, c'est un fait reconnu.

Le CPSNR est-il actuellement capable de prendre des mesures pour aider à empêcher le Parti communiste chinois de tenter de se livrer à des activités d'ingérence à l'occasion de la prochaine campagne électorale?

L’hon. David McGuinty:

Je veux préciser deux choses.

Nous avons fait état de la Russie et de la Chine dans le rapport parce que nous nous sommes fiés à des sources ouvertes. C'est donc ce qui y a été répété.

De plus, nous avons annoncé que l'une des revues que nous entreprenons en 2019 touche la question de l'ingérence étrangère. Éventuellement, nous aurons beaucoup plus à dire sur ce sujet.

M. Pierre Paul-Hus:

Nous n'aurons évidemment pas l'information avant la prochaine campagne. N'est-ce pas?

(1545)

L’hon. David McGuinty:

Probablement pas.

M. Pierre Paul-Hus:

Lorsque vous avez entrepris l'étude au sujet du voyage du premier ministre en Inde, c'était parce que, normalement, il devait y avoir une question de sécurité nationale en jeu, est-ce bien le cas?

L’hon. David McGuinty:

Oui.

M. Pierre Paul-Hus:

Le ministre Goodale a comparu devant ce comité lors des séances portant sur le projet de loi C-59, je crois. À ce moment-là, il nous a dit qu'il ne pouvait pas répondre à certaines questions parce qu'il s'agissait d'un sujet lié à la sécurité nationale. Par la suite, à la Chambre des communes, le ministre Goodale a dit le contraire. M. Daniel Jean a aussi témoigné devant notre comité pour dire que ce n'était pas une question de sécurité nationale.

Selon vous, s'agit-il d'un enjeu de sécurité nationale?

L’hon. David McGuinty:

Dans le rapport, nous avons inclus une lettre destinée au premier ministre dans laquelle nous l'indiquons clairement.

Nous lui avons dit que, tel qu'il était mentionné dans notre cadre de référence, nous avions examiné les allégations d'ingérence étrangère, de risque à la sécurité du premier ministre et d'utilisation inappropriée de renseignements.

Le rapport traite de ces trois questions précisément. Le ministère de la Justice a évidemment caviardé le rapport et celui-ci a été révisé.

M. Pierre Paul-Hus:

Concernant le voyage en Inde, il est mentionné dans votre rapport que le Cabinet du premier ministre n'avait pas bien trié les visiteurs et qu'il y aurait eu une erreur de jugement.

Est-ce que le premier ministre ou un membre de son personnel a répondu aux recommandations du CPSNR?

L’hon. David McGuinty:

Non, pas encore. Nous attendons toujours une réponse du gouvernement concernant les deux rapports.

M. Pierre Paul-Hus:

Vous présentez donc vos rapports, mais il n'y a pas eu de suivi ni de réponse quant aux recommandations. Est-ce bien cela?

L’hon. David McGuinty:

Le CPSNR espère qu'il y aura un suivi. Nous attendons toujours une réponse. Nous avons soulevé cette question auprès des autorités appropriées.

M. Pierre Paul-Hus:

Nous constatons bien que, au fond, les collègues de tous les partis qui travaillent avec vous au CPSNR le font avec sérieux depuis la création de celui-ci. Cela est aussi manifeste à la lecture de votre rapport. Il y a une volonté de faire le travail de façon très sérieuse.

Toutefois, nous avons toujours eu un doute quant à la suite qui sera donnée au rapport. À partir du moment où un rapport est présenté, où des choses sérieuses ont été circonscrites, le premier ministre a toujours le dernier mot, au bout du compte.

L'inquiétude que nous avions dès le début, lorsque le projet de loi C-22 a été proposé, concernait l'information transmise. Nous comprenons, bien sûr, que de l'information très secrète ne peut pas être rendue publique.

Cependant, lorsque le premier ministre lui-même est visé dans une étude, on ne s'attend pas à ce qu'il y ait des réponses.

En tant que président du CPSNR, vous attendez-vous à un minimum de la part du gouvernement et du premier ministre, en réponse à vos études?

L’hon. David McGuinty:

Oui, monsieur Paul-Hus.

M. Pierre Paul-Hus:

Vos notes mentionnent le projet de loi C-59. Vous faites état de recommandations concernant le ministère de la Défense nationale, ou MDN. Je sais que ce projet de loi est en ce moment à l'étude au Sénat, mais je ne me rappelle plus à quelle étape il est rendu. Pensez-vous que des amendements seront proposés par le Sénat ou par le gouvernement? En avez-vous entendu parler?

L’hon. David McGuinty:

Notre rôle est de présenter les rapports au gouvernement, ce que nous avons fait. Il nous reste à espérer que le gouvernement les considère sérieusement.[Traduction]

Une fois qu'il aura été créé avec l'adoption du projet de loi C-59, l'Office de surveillance des activités en matière de sécurité nationale et de renseignement aura le pouvoir d'examiner les activités du ministère de la Défense nationale, mais ne sera pas tenu de le faire chaque année comme ce sera le cas pour le SCRS et le CST. Notre comité a réclamé unanimement que cette responsabilité annuelle soit ajoutée au mandat de l'Office dans le projet de loi C-59 de telle sorte que l'on puisse examiner régulièrement l'ensemble des activités de renseignement du ministère de la Défense nationale. [Français]

M. Pierre Paul-Hus:

Vous avez expliqué que le CPSNR tenait plusieurs séances de travail auxquelles il consacre plusieurs heures. Quel est le principal sujet qui vous préoccupe?

L’hon. David McGuinty:

Que voulez-vous dire?

M. Pierre Paul-Hus:

Par exemple, lorsque vous avez une enquête à faire et que vous avez besoin d'information, y avez-vous accès facilement?

L’hon. David McGuinty:

Oui, monsieur Paul-Hus.

M. Pierre Paul-Hus:

Toutes les portes des ministères sont-elles ouvertes?

L’hon. David McGuinty:

Nous exigeons parfois tellement de documentation que les membres du CPSNR trouvent assez difficile d'en gérer le volume, mais nous avons un secrétariat exceptionnel et des analystes très expérimentés. Cela dit, nous devons de temps en temps exercer un peu de pression sur certains ministères ou certaines agences. Il faut toutefois rappeler que cela ne fait que 17 ou 18 mois que notre comité existe.

Voulez-vous ajouter quelque chose, madame Marcoux?

Mme Rennie Marcoux:

Oui.

Nous remarquons surtout la différence entre les agences qui sont déjà sujettes à examen et qui ont l'habitude de fournir de l'information classifiée, comme le Service canadien du renseignement de sécurité, ou SCRS, le Centre de la sécurité des télécommunications, ou CST et la Gendarmerie royale du Canada, ou GRC, et les autres ministères qui n'y sont pas habitués.

Ces autres organismes, comme le ministère de la Défense nationale ou d'autres ministères, doivent donc d'abord établir un processus pour trier les documents et s'assurer que leurs directions ou leurs divisions acceptent qu'un comité comme le nôtre a un droit d'accès presque absolu à l'information classifiée, y compris celle protégée par le secret professionnel qui lie un avocat à son client. Il s'agit vraiment d'une question d'apprentissage.

(1550)

Le président:

Merci, madame Marcoux.

Messieurs Paul-Hus et Dubé, vous avez la parole pour sept minutes.

M. Matthew Dubé (Beloeil—Chambly, NPD):

Merci, monsieur le président.

Merci aux témoins d'être présents aujourd'hui.

Je veux tout d'abord vous remercier, ainsi que les membres du CPSNR, du travail que vous avez accompli jusqu'ici. Étant donné qu'il s'agit de notre première expérience à tous, sachez que si nous posons des questions plus techniques sur la procédure pour en arriver à certaines conclusions, cela ne se veut nullement une critique de votre travail, bien au contraire.

J'aimerais en savoir plus en ce qui concerne le suivi de vos recommandations. À titre d'exemple, quand le vérificateur général dépose un rapport, le Comité permanent des comptes publics se charge habituellement d'entendre les représentants des différents ministères.

De votre côté, c'est un peu plus compliqué pour deux raisons. Tout d'abord, les informations nécessaires pour ce suivi sont peut-être classifiées. Ensuite, vous n'êtes pas totalement en mesure de vous livrer aux joutes politiques qui sont parfois nécessaires pour une bonne reddition de comptes.

Serait-il approprié de confier à un comité — par exemple le nôtre — la responsabilité d'effectuer un suivi auprès de certains des organismes visés par vos recommandations?

L’hon. David McGuinty:

Il s'agit d'une question dont les membres du CPSNR ont discuté longuement: comment pousser un peu plus fort et exiger la mise en oeuvre des recommandations?

Nous considérons plusieurs possibilités. Nous avons notamment appris que le CST répète d'un rapport annuel à l'autre les recommandations qui n'ont pas encore été mises en oeuvre. C'est une des possibilités que nous étudions, mais nous sommes tous les jours en contact avec les personnes visées.

Pour en revenir à la question de M. Paul-Hus, le ministère de la Défense nationale n'avait encore jamais été examiné de l'extérieur par un comité de parlementaires comme le CPSNR, qui a l'autorité d'exiger toutes ces informations.

M. Matthew Dubé:

Oui.

L’hon. David McGuinty:

Depuis que nous avons braqué nos caméras sur le MDN, celui-ci a pour la première fois de son histoire mis sur pied un groupe d'employés consacré au traitement de toute l'information demandée. Cela constitue tout de même du progrès.

M. Matthew Dubé:

Merci.

Veuillez me pardonner si je vais vite: le temps est limité.

L’hon. David McGuinty:

Je comprends.

M. Matthew Dubé:

Il y a un autre élément sur lequel je voudrais me pencher. Je reviens à la question qui a été posée en rapport avec l'ingérence étrangère.

Votre étude devait être remise — ou à tout le moins terminée — avant le 3 mai, si je ne me trompe pas. Ai-je bien compris qu'il est possible que le rapport ne soit pas déposé à la Chambre avant que le Parlement n'ajourne ses travaux pour l'été?

L’hon. David McGuinty:

Nous travaillons d'arrache-pied et nous consacrons beaucoup d'heures à cette tâche pour essayer de finir le rapport. Ce dernier couvre quand même quatre sujets.

Le problème, c'est que la Loi sur le Comité des parlementaires sur la sécurité nationale et le renseignement prévoit que le gouvernement doit déposer ses rapports, une fois que le processus de caviardage ou de révision est terminé, dans les 30 jours.

M. Matthew Dubé:

Je ne veux pas ajouter à votre charge de travail et je comprends que vous faites tous les efforts possibles.

Le Comité est-il satisfait du délai entre le moment où votre rapport arrive au Cabinet du premier ministre et celui où il est déposé à la Chambre?

L’hon. David McGuinty:

C'est une excellente question. Nous songeons effectivement à étudier ces échéanciers dans le cadre de la révision de la Loi, qui doit être effectuée cinq ans après son entrée en vigueur. Vous avez donc mis le doigt sur une bonne question.

M. Matthew Dubé:

Je ne doute pas de votre bonne foi, mais c'est important que nous posions ce genre de questions pour faire notre travail, surtout à l'approche des élections.

Au paragraphe 49 de votre rapport, vous parlez de l'Examen national des dépenses en renseignement. Des statistiques relatives à l'Australie y sont citées, mais les chiffres concernant le Canada sont caviardés. Pourquoi, contrairement au Canada, les Australiens ont-ils décidé qu'il était approprié de rendre ces chiffres publics, au point où même notre pays en a pris connaissance? Êtes-vous en mesure de répondre à cela?

(1555)

Mme Rennie Marcoux:

Nous avons posé cette même question au gouvernement lorsque nous avons appris que cette information allait être caviardée.

M. Matthew Dubé:

Avez-vous reçu une réponse que vous êtes en mesure de nous transmettre?

Mme Rennie Marcoux:

Le gouvernement nous a dit qu'il s'agissait de données classifiées et qu'il ne voulait pas divulguer ces détails.

M. Matthew Dubé:

C'est intéressant, surtout lorsqu'on sait que l'Australie est membre du Groupe des cinq.

J'ai une autre question sur le caviardage, particulièrement en ce qui a trait au sommaire, qui doit demeurer cohérent quant au reste du document. Est-ce le CPSNR qui détermine de quelle façon le sommaire est écrit?

Mme Rennie Marcoux:

C'est le personnel de notre secrétariat qui rédige le sommaire. Dans le cas présent, après avoir pris connaissance des phrases ou des sections de phrases ainsi que des paragraphes qui avaient été caviardés, nous avons décidé de reformuler des phrases pour les rendre complètes et produire ainsi un résumé complet.

M. Matthew Dubé:

Quant à la décision d'utiliser des astérisques, vous êtes-vous inspirés du modèle britannique?

L’hon. David McGuinty:

Oui, exactement.

M. Matthew Dubé:

D'accord, merci.

J'ai une autre question sur la Défense nationale et la recommandation d'amender le projet de loi C-59 ainsi que sur la définition du mandat qui serait confié au nouveau comité.

Votre comité s'inquiète-t-il des ressources dont disposerait ce nouveau comité frère pour faire cette surveillance? Les moyens sont déjà plutôt limités. Si le mandat est élargi, vous inquiétez-vous de savoir si le nouveau comité sera en mesure de s'en acquitter chaque année? Je souhaite qu'il le soit et je suis d'accord avec la recommandation, mais il s'agit de savoir s'il sera en mesure de s'en acquitter de façon adéquate compte tenu des ressources actuelles ou de celles prévues.

Mme Rennie Marcoux:

Nous ne sommes pas au courant des ressources ni du budget dont disposera le nouveau comité. Je sais que ce budget sera beaucoup plus important que celui alloué à mon secrétariat parce que le mandat du nouveau comité est beaucoup plus large, mais nous ne sommes pas au courant des chiffres précis. Cela dit, nous sommes d'accord sur le fait qu'il va falloir prévoir les ressources en fonction du mandat.

M. Matthew Dubé:

J'ai une dernière question, laquelle va peut-être de soi, mais que je me permets de poser dans les quinze secondes qu'il me reste.

Quand vous énumérez les critères — suffisants, mais pas nécessaires, ou encore nécessaires, mais insuffisants — suivant lesquels vous avez décidé de déclencher une enquête ou une étude, peut-on dire qu'il ne s'agit en fait que d'un guide visant à informer le public, puisque vous ne vous limitez pas nécessairement à ces critères selon les cas?

L’hon. David McGuinty:

Absolument.

M. Matthew Dubé:

Merci. [Traduction]

Le président:

Merci, monsieur Dubé.

M. Spengemann, puis M. Graham.

M. Sven Spengemann (Mississauga—Lakeshore, Lib.):

Merci, monsieur le président.

Monsieur McGuinty et madame Marcoux, merci beaucoup d'être des nôtres aujourd'hui. Félicitations pour ce rapport que vous avez déposé.

Monsieur McGuinty, en plus de présider le CPSNR, qui est un comité de parlementaires, et non un comité parlementaire, vous assumez la présidence du Groupe canadien de l'Union interparlementaire, l'organisation fondée en 1889 pour regrouper tous les parlements de la planète.

Vous vous retrouvez ainsi dans une position tout à fait privilégiée pour nous parler du rôle des parlementaires à l'égard de deux objectifs stratégiques fondamentaux qui sont au cœur des efforts déployés actuellement à l'échelle mondiale. Il y a d'abord la lutte contre le terrorisme et l'extrémisme violent sous toutes ses formes. Il y a aussi la bataille pour la diversité et l'inclusion ainsi que l'égalité entre les sexes, la défense des droits de la communauté LGBTI. et le combat contre le racisme.

À la lumière des deux fonctions que vous occupez actuellement, pourriez-vous nous dire ce que vous pensez du rôle des parlementaires dans ces deux dossiers?

L’hon. David McGuinty:

Merci pour la question.

Dans nos interactions avec nos collègues australiens, américains, britanniques et néo-zélandais du Groupe des cinq ainsi qu'avec d'autres nouveaux homologues, nous avons pu nous rendre compte que tous les parlements du monde doivent composer avec cette tension qui existe entre l'octroi de pouvoirs exceptionnels à des fins de sécurité et la nécessité de voir à ce que lesdits pouvoirs soient exercés en assurant la protection des droits fondamentaux relativement à la vie privée, à la liberté et aux autres considérations prévues dans la Charte, si l'on prend l'exemple du contexte canadien.

Nous sommes loin de faire cavalier seul. De nombreux pays ont déjà communiqué avec le CPSNR. Mme Marcoux s'est d'ailleurs rendue en Europe pour parler aux représentants de différents pays que notre approche intéresse vivement. Nous avons aussi été invités à nous rendre dans des pays comme la Colombie qui souhaitent obtenir de l'aide pour se doter des capacités voulues à cette fin.

Ce n'est certes pas un défi qui se pose uniquement pour le Canada. Compte tenu de la montée de l'extrémisme violent et des activités terroristes, c'est bien sûr toute la planète qui est interpellée.

Il faut toutefois nous assurer de parvenir à ce juste équilibre. C'était l'intention visée par le gouvernement lorsqu'il a mis sur pied le CPSNR, et c'est assurément ce qui guide le travail de tous les membres de notre comité multipartite.

(1600)

M. Sven Spengemann:

Quel pourrait être selon vous l'aspect le plus important qui ressort des échanges tenus au sein d'une entité sans entrave et sans orientation ministérielle comme l'Union interparlementaire relativement au rôle que peuvent jouer des parlementaires comme nous pour aider à concilier ces deux objectifs stratégiques?

L’hon. David McGuinty:

Je crois que c'est l'absence de partisanerie politique dans notre travail qui est l'ingrédient secret. Si nous apprenions à travailler ensemble sans tenir compte des considérations partisanes dans bon nombre des dossiers cruciaux avec lesquels notre pays et notre planète doivent composer — comme la sécurité et le changement climatique — nous pourrions mieux servir nos populations respectives, les gens que nous représentons. J'estime que c'est un élément essentiel pour traiter de questions comme la sécurité nationale en assurant un juste équilibre entre la protection des gens et celle des droits.

M. Sven Spengemann:

Merci beaucoup.

Je cède la parole à mon collègue.

M. David de Burgh Graham (Laurentides—Labelle, Lib.):

Merci.

Monsieur McGuinty, je tiens à ce que tous sachent bien que sans le mentorat que vous m'avez offert alors que j'étais membre de votre personnel il y a bien des années déjà, je ne serais sans doute pas assis ici aujourd'hui. Je veux vous en remercier.

Je me réjouis de constater que tout votre bagage de compétences et d'expérience est mis à contribution pour cet important travail qui s'effectue dans l'ombre.

Dans le chapitre 2, on indique à plusieurs reprises que les Canadiens ne saisissent pas vraiment toute l'ampleur de nos services de renseignement et ne comprennent pas les rôles des différents intervenants.

Quelle est la chose la plus importante que vous voudriez que les Canadiens comprennent mieux?

L’hon. David McGuinty:

Merci de signaler cet élément, monsieur Graham.

Dès l'amorce de notre courbe d'apprentissage assez abrupte, nous avons été surpris de constater à quel point les Canadiens en savaient peu au sujet de l'appareil de la sécurité et du renseignement de notre pays. On n'a pas vraiment idée de qui sont les intervenants et qui détient les pouvoirs, de la mesure dans laquelle il y a coopération, des améliorations qui pourraient être apportées et des menaces qui pèsent sur le Canada.

Nous avons pris connaissance de résultats de sondage assez stupéfiants quant au manque d'information au sein de la société canadienne, et ce, malgré la contribution d'organismes et de ministères efficaces qui rendent accessibles des données de qualité. Cependant, les Canadiens ne vont pas chercher cette information, ne la comprennent pas ou n'établissent pas les liens nécessaires.

Afin d'offrir une base pour l'avenir, nous avons décidé de débuter ce chapitre par une trentaine de pages offrant aux Canadiens dans un langage clair et simple un aperçu de la situation de nos services de sécurité et de renseignement.

Il y a un critère que j'aime particulièrement rappeler aux membres de notre comité à ce sujet. Si vous présentez ce rapport à n'importe quel citoyen sortant d'un autobus, d'un train ou de son véhicule et qu'il n'y comprend rien, vous avez failli à la tâche. Nous nous sommes donc efforcés de présenter cette information de manière à ce que tous les Canadiens puissent comprendre ce qui se passe au pays.

Les Canadiens sont tout à fait à même de saisir ces choses-là. C'est sans doute simplement que nous n'avons pas nécessairement pris le temps de présenter le tout dans un format à la fois compréhensible et digestible. C'est pour cette raison que nous avons utilisé cette trentaine de pages afin de brosser un tableau de la situation tout en montrant aux Canadiens que les efforts en matière de sécurité et de renseignement se sont toujours inscrits dans un processus tout à fait naturel.

J'ai mentionné précédemment que le SCRS a vu le jour à l'époque de la commission Macdonald après que la GRC eut été impliquée dans quelques manigances. On lui a ensuite donné sa propre assise législative, et on a fait de même pour le CST. Les choses ont évolué dans le cadre d'un processus que nous jugeons tout à fait naturel dans le domaine de la sécurité et du renseignement. Nous avons tenté de faire ressortir cette évolution également.

M. David de Burgh Graham:

Merci.

J'ai un grand nombre de questions, mais je n'aurai sans doute pas le temps de vous poser la plupart d'entre elles.

Avons-nous suffisamment d'agences de renseignement? Y en a-t-il trop?

Avant de vous laisser répondre, je vous signale qu'il semble manquer une organisation à la liste de 17 fournie au tableau 1 de la page 22. Notre travail au sein du Comité de la procédure et des affaires de la Chambre nous a appris que le Service de protection parlementaire a sa propre unité de renseignement.

Est-ce que cette unité relève de votre mandat à titre de parlementaire ou de comité du gouvernement? Comment voyez-vous les choses?

L’hon. David McGuinty:

Toutes les instances fédérales jouant un rôle en matière de sécurité nationale et de renseignement relèvent du mandat du CPSNR. Nous ne nous sommes pas interrogés quant à savoir s'il y avait un nombre suffisant ou non d'intervenants dans ce secteur. Je ne peux donc pas vraiment vous répondre à ce sujet.

M. David de Burgh Graham:

Merci beaucoup. Il me reste encore quelques secondes.

Le président:

Oui, quelques secondes.

M. David de Burgh Graham:

Vous avez parlé de l'importance d'utiliser un langage clair et simple.

Il y a toute une section, autour de la page 100, qui présente les arguments du ministère de la Défense nationale à l'encontre d'un cadre législatif. Pourriez-vous nous expliquer en langage clair et simple les arguments avancés de part et d'autre?

L’hon. David McGuinty:

On a beaucoup parlé de la souplesse opérationnelle. C'est justement pour cette raison que nous souhaitions reproduire mot à mot dans notre rapport le mémoire soumis par le ministère. Nous souhaitions que les Canadiens puissent prendre connaissance à la fois des avantages d'un cadre législatif et de quelques-unes des difficultés que cela entraîne pour nos intervenants de première ligne au sein du ministère de la Défense nationale et des Forces armées canadiennes. Nous avons donc repris très fidèlement les arguments de la Défense. Nous voulions en quelque sorte que les Canadiens puissent se faire une bonne idée de l'évolution du débat à ce sujet.

(1605)

Le président:

Merci, monsieur Graham.

Monsieur Motz, vous avez cinq minutes.

M. Glen Motz (Medicine Hat—Cardston—Warner, PCC):

Merci, monsieur le président.

Merci, monsieur McGuinty et madame Marcoux, de votre présence aujourd'hui.

Avant de vous poser mes questions, je tiens à vous féliciter et à vous remercier d'avoir dédié ce rapport à la mémoire de notre collègue Gord Brown qui nous a quittés il y a environ un an. Je sais que sa famille a beaucoup apprécié ce geste et je veux vous en remercier du fond du coeur.

L’hon. David McGuinty:

Merci, monsieur.

M. Glen Motz:

Moi aussi, j'ai aimé ce que vous avez dit sur le fait que la sécurité nationale doit demeurer une question non partisane. Elle doit être abordée de façon impartiale. Je ne saurais être plus d'accord avec vous, et il y a beaucoup de leçons à tirer de cela.

Malheureusement, le rapport sur le terrorisme produit en 2018 par le ministre de la Sécurité publique semble maintenant dégoulinant de partisanerie.

Ce rapport a-t-il dû être soumis au CPSNR avant d'être publié?

L’hon. David McGuinty:

Voulez-vous répondre à cette question?

Mme Rennie Marcoux:

Parlez-vous du rapport de 2017 ou de celui de 2018?

M. Glen Motz:

Du rapport de 2018 sur la menace terroriste.

Mme Rennie Marcoux:

On nous a remis une copie de la version finale du rapport une journée ou deux avant qu'il ne soit publié, si je ne me trompe pas, par courtoisie.

M. Glen Motz:

Vous n'avez pas participé à son examen.

Mme Rennie Marcoux:

Non.

M. Glen Motz:

Monsieur McGuinty, votre comité a-t-il l'intention d'évaluer la préparation, la publication ou la révision de ce rapport pour déterminer s'il y a eu ingérence politique dans ses diverses versions, sur les pratiques exemplaires à privilégier, ou cela ne fait-il pas partie de votre mandat?

L’hon. David McGuinty:

C'est possible, mais je ne peux pas me prononcer sur la question aujourd'hui. Nous avons un programme complet de quatre examens prévus en 2019, et nous ne nous prononçons généralement pas sur les questions sur lesquelles nous nous pencherons avant d'en avoir fait l'annonce.

M. Glen Motz:

Très bien, je comprends.

Dans la version originale de son rapport sur la menace terroriste, le ministre de la Sécurité publique avait qualifié de menace l'extrémisme pour la création du Khalistan. Le ministre a reformulé sa position depuis, mais les faits sur lesquels il se fonde dans ce rapport restent très vieux.

La seule explication à laquelle je puisse penser, c'est que soit il a reçu de nouveaux renseignements qui ne peuvent être divulgués, soit c'est une question politique plutôt qu'une question de sécurité. Le cas échéant, si c'était une question politique plutôt que de sécurité, cela représente un abus de confiance important, à mon avis, que d'utiliser la menace terroriste à des fins politiques.

Qui devrait enquêter là-dessus? Ce comité? Le vôtre? Comment pouvons-nous aller au fond des choses, monsieur?

L’hon. David McGuinty:

Nous n'avons absolument pas réfléchi à cette question. Nous ne sommes pas du tout en mesure de commenter la décision du gouvernement d'une manière ou d'une autre. Je pense que vous feriez mieux de poser cette question au ministre et à son gouvernement eux-mêmes.

M. Glen Motz:

D'accord. Est-il interdit aux membres de votre comité de dénoncer des erreurs qui pourraient s'être glissées dans des rapports comme celui-ci?

L’hon. David McGuinty:

En règle générale, les membres ont accepté en début de mandat d'être extrêmement circonspects dans leurs commentaires publics, et généralement, nous ne nous exprimerons que sur la base du travail que nous avons fait, sous la forme de rapports.

M. Glen Motz:

Le travail que vous avez fait...

L’hon. David McGuinty:

Le travail que notre comité a fait. C'est juste.

M. Glen Motz:

D'accord. Donc...

L’hon. David McGuinty:

Et bien sûr, nos rapports sont unanimes.

M. Glen Motz:

Très bien.

J'aimerais vous poser une question plus générale sur le comité et son fonctionnement.

Pendant l'étude du projet de loi C-22, qui portait création de votre comité, l'ancien directeur du SCRS et conseiller en matière de sécurité nationale, Richard Fadden, a dit que ce comité devrait commencer son travail doucement, puis que nous verrions comment il évolue.

Après 16 à 18 mois d'activités, croyez-vous qu'il y a des éléments de son fonctionnement que le comité devrait envisager de changer, des aspects de son rôle ou de ses droits d'accès? Je sais que M. Dubé et vous venez tout juste de parler de la rapidité à laquelle les rapports sont publiés après que vous les ayez remis au Cabinet du premier ministre. Y a-t-il autre chose qui vous vienne à l'esprit? Cela relèverait-il de changements législatifs ou internes? Il doit y avoir des petits accrocs ici et là, des choses à améliorer.

L’hon. David McGuinty:

Oui, nous en apprenons beaucoup sur la rédaction, sur le processus de rédaction. Nous y avons réfléchi et nous nous réservons le droit, pour ainsi dire, d'en dire plus à ce sujet en temps et lieu. Nous comparons notre façon de faire avec d'autres démarches rédactionnelles, nous regardons ce qui se fait ailleurs, comme en Australie, aux États-Unis et dans d'autres pays. Nous croyons aussi que le processus de rédaction peut évoluer. Cependant, nous avons toujours tendance, dans la mesure du possible, à fournir plus d'information, plutôt que moins, au public canadien.

M. Glen Motz:

Si je vous comprends bien, votre comité devrait peut-être revoir ses propres règles rédactionnelles, parce que c'est un comité non partisan et qu'il représente le gouvernement ou toute la Chambre, en fait, et qu'il ne devrait peut-être pas y avoir de contribution externe. Est-ce que je vous ai bien compris?

(1610)

L’hon. David McGuinty:

Pas tout à fait. Ce que nous essayons de déterminer, collectivement, à titre de comité composé de parlementaires, c'est comment le processus rédactionnel fonctionne, quelle est la place des ministères dans ce processus, quel est le rôle du conseiller en matière de sécurité nationale, celui du ministère de la Justice sous le régime de la Loi sur la preuve au Canada, etc. Nous pensons que ce processus peut évoluer et devenir plus transparent avec le temps.

Le président:

Merci, monsieur Motz.

Madame Dabrusin, vous avez cinq minutes.

Mme Julie Dabrusin (Toronto—Danforth, Lib.):

Pendant les quelques derniers échanges, nous avons entendu un peu parler du projet de loi C-59 et des autres formes de surveillance ou de révision qui peuvent avoir lieu. Concernant l'Office de surveillance des activités en matière de sécurité nationale et de renseignement, l'OSSNR, quelle forme de complémentarité voyez-vous entre l'Office et vous?

L’hon. David McGuinty:

Je pense qu'on peut dire que le mandat de l'OSSNR consiste principalement à examiner les activités des divers acteurs du domaine de la sécurité et du renseignement, pour en évaluer la légitimité et vérifier s'ils respectent les pouvoirs qui leur sont conférés. Il doit également obligatoirement effectuer des examens annuels. À la longue, il deviendra, comme ses membres le disent, un genre de super-CSARS, donc il devra également surveiller chaque année les activités du CSARS et du Centre de la sécurité des télécommunications.

Les plaintes reçues du public canadien joueront un rôle important. Ce sera une composante de premier plan, mais nous verrons. Nous avons déjà rencontré les gens du CSARS et d'autres organismes existants, et nous avons fermement l'intention de rencontrer les gens de l'OSSNR dès qu'il sera créé. Je suis certain que nous coopérerons et que nous nous communiquerons de l'information, des recherches et des analyses. L'un des avantages du secrétariat qui sera dirigé par Mme Marcoux, c'est qu'il permettra de conserver une mémoire institutionnelle qui transcendera les cycles gouvernementaux, de même que les arrivées et les départs des membres du comité.

Mme Julie Dabrusin:

Pensez-vous que ce genre de super-CSARS permettra de créer une autre base d'information qui vous aidera dans votre travail?

L’hon. David McGuinty:

Nous le pensons. Il aura accès à l'information clé, aux documents classifiés, et je m'attends vraiment à ce que nous nous communiquions de l'information et à ce que nous coopérions le mieux possible.

Mme Julie Dabrusin:

Au paragraphe 69 de votre rapport, vous parlez de la menace que représentent l'espionnage et l'influence étrangère, qui gagnent en ampleur au Canada. À la toute fin, dans la dernière phrase, vous faites mention de la loi adoptée par l'Australie. Vous écrivez: « Le Comité est du même avis et note que l'Australie a adopté une loi en juin 2018 afin de mieux prévenir et perturber l'ingérence étrangère et faire enquête sur celle-ci. »

J'aimerais savoir si vous pouvez me parler un peu de cette loi et me dire ce que nous pourrions en retenir, d'après vous.

L’hon. David McGuinty:

Eh bien, nous ne pouvons pas en retenir grand-chose pour l'instant, puisque nous sommes en train d'examiner la réponse du gouvernement sur l'ingérence étrangère, qui est le thème de l'une des grandes études que nous mènerons en 2019. Après ce rapport de 2018, nous voulons faire la lumière sur l'ampleur de la menace que représente l'ingérence étrangère.

Nous voulons aussi évaluer la réponse du gouvernement à cette menace, spécialement à l'égard des institutions canadiennes et des différentes communautés ethnoculturelles en contexte canadien. Nous ne nous penchons pas en tant que tel sur l'intégrité des élections ni sur l'acquisition d'entreprises canadiennes en vertu de la Loi sur Investissement Canada. Ces questions ou la cybersécurité ne sont pas celles sur lesquelles nous nous concentrons. Nous cherchons plutôt à déterminer qui sont les acteurs étrangers qui font de l'ingérence, ce qu'ils complotent et comment nous y réagissons.

Mme Julie Dabrusin:

Pouvez-vous nous dire quoi que ce soit sur la loi australienne? Vous en faites mention dans ce paragraphe, donc y a-t-il quelque chose que vous puissiez nous dire sur l'exemple australien?

Mme Rennie Marcoux:

Je n'ai pas toute l'information sur cette loi sous les yeux, mais je me rappelle un peu la discussion que nous avons eue en comité. J'étais étonnée que l'Australie ait adopté une loi explicite sur l'ingérence étrangère, alors qu'ici, au Canada, l'ingérence étrangère fait partie de toute une liste de menaces à la sécurité nationale dans la Loi sur le SCRS. L'Australie a déterminé que cette menace était assez grave pour faire l'objet d'une loi explicite à part et probablement établir une approche pangouvernementale plutôt que de miser sur un organisme unique.

Mme Julie Dabrusin:

Vous êtes en train d'étudier la chose en ce moment même, donc nous pouvons espérer que nous aurons...

L’hon. David McGuinty:

Vous pourrez nous en reparler.

Mme Julie Dabrusin:

... nous pourrons vous en parler un peu plus.

C'est ma dernière question, puisque je n'ai qu'une minute encore.

Vous avez parlé un peu du fait que les Canadiens connaissent mal nos organismes de sécurité. Quand vous vous êtes penchés sur la question, quelles sont les plus grandes incompréhensions auxquelles vous vous êtes heurtés? Y a-t-il un élément qui ressort en particulier? Vous mentionnez quelque part dans votre rapport que nos organismes sont méconnus, mais avez-vous remarqué une incompréhension quelconque de leur fonctionnement?

(1615)

L’hon. David McGuinty:

C'est encore plus rudimentaire que cela. Très peu de Canadiens peuvent nommer nos principaux organismes du renseignement. Très peu connaissent le CST. Très peu comprennent vraiment ce qu'est le SCRS, ce qu'il fait, comment il fonctionne. C'est un manque de connaissances encore plus rudimentaire. Ce n'est pas qu'ils ne savent pas précisément comment ces organismes fonctionnent, mais simplement qu'ils ne sont pas au courant de leur existence même ni du nombre d'organisations qui existent. C'est très nouveau pour les Canadiens.

Mme Julie Dabrusin:

On trouve ici un tableau présentant toutes ces organisations, donc cela pourrait nous aider à les faire connaître.

L’hon. David McGuinty:

Nous l'espérons, merci.

Mme Julie Dabrusin:

Merci.

Le président:

Merci, madame Dabrusin.

Monsieur Eglinski, vous avez cinq minutes, s'il vous plaît.

M. Jim Eglinski (Yellowhead, PCC):

Merci.

Je remercie nos deux témoins d'aujourd'hui. Je vous remercie de tout le travail que vous faites pour notre pays. Vous travaillez de longues heures, et je vous en suis reconnaissant.

J'ai remarqué dans votre rapport, particulièrement aux paragraphes 67 et 68, et même un peu au paragraphe 69 que... Je pense que c'est dans le 68 que vous mentionnez que le SCRS a exprimé des inquiétudes quant à l'influence exercée par la Chine sur les élections canadiennes et tout et tout. Votre organisme joue-t-il un rôle en préparation aux élections de 2019, pour qu'il n'y ait pas d'ingérence politique étrangère ou pourrait-il ensuite examiner rétroactivement ce qui ce sera passé? Vous pencherez-vous sur la question en amont? Y a-t-il déjà des études qui ont été faites?

L’hon. David McGuinty:

Pas pour l'instant, pas le CPSNR. Comme je l'ai mentionné, dans notre étude sur l'ingérence étrangère, nous avons pour principal objectif de faire la lumière sur l'étendue et la portée de la menace que présentent les acteurs étrangers; nous voulons identifier les principaux acteurs menaçants, évaluer la menace qu'ils présentent, ce qu'ils font et l'efficacité des mesures que prend notre pays pour y réagir. Nous ne mettons pas tellement l'accent sur l'intégrité des élections en vue des prochaines élections, puisque nous exerçons plutôt un rôle externe à cet égard.

M. Jim Eglinski:

Votre organisation ne le fait peut-être pas, mais savez-vous s'il y a d'autres groupes, comme le SCRS, qui enquêtent, étudient activement la chose ou recueillent des renseignements à cet égard?

Mme Rennie Marcoux:

L'une des raisons pour lesquelles nous avons décidé de ne pas nous concentrer sur l'ingérence étrangère dans les prochaines élections, c'est que le gouvernement, d'après l'information qu'il nous a donnée, prend déjà beaucoup de mesures pour évaluer la menace d'ingérence étrangère et la prévenir.

M. Jim Eglinski:

Merci.

Votre organisation est encore toute jeune. Comment avez-vous trouvé la coopération avec nos huit grandes organisations de renseignement au Canada au cours de la dernière année? Bien souvent, ces organisations rechignent à fournir de l'information et à accorder leur confiance à une nouvelle organisation extérieure. La transition se passe-t-elle assez bien? Vos homologues comprennent-ils le bien-fondé de cette organisation nationale, de votre groupe?

L’hon. David McGuinty:

C'est une excellente question.

De manière générale, je dirais que oui, la plupart des personnes avec qui nous travaillons nous appuient beaucoup, mais c'est nouveau. Nous sommes toujours en train de gagner leur confiance et d'établir une relation de coopération pour avoir accès à l'information, et il nous faut parfois pousser un peu et insister pour obtenir ce dont nous avons besoin.

J'ai déjà mentionné que le ministère de la Défense nationale n'avait jamais vu de tels projecteurs se braquer sur ses activités de renseignement. Cela a été une grande occasion d'apprentissage, et il y avait beaucoup de confiance.

Cette année, nous effectuons un examen en profondeur de l'Agence des services frontaliers du Canada, qui n'a jamais fait l'objet d'un examen d'un comité externe composé de parlementaires. Nous avons déjà reçu à peu près 15 000 ou 16 000 pages de documentation de l'ASFC, donc la coopération à ce jour est très bonne.

Je pense que la plupart de gens estiment que ce genre d'examen externe peut les aider à mener leurs activités, et nous avons hâte de voir les conclusions que tirera le CPSNR parce que c'est un comité non partisan qui fait véritablement des recommandations d'améliorations.

M. Jim Eglinski:

Merci.

Dans la même veine, comment votre groupe est-il accueilli ailleurs dans le monde?

L’hon. David McGuinty:

Nous sommes très fiers de ce rapport. Notre rapport annuel a été bien accueilli dans le monde. Nous avons reçu des commentaires du Royaume-Uni, des États-Unis, de l'Australie et de la Nouvelle-Zélande. Par exemple, nous avons reçu des commentaires de la commissaire au renseignement de la Nouvelle-Zélande, je pense que son titre est...

Mme Rennie Marcoux:

Elle est inspectrice générale.

L’hon. David McGuinty:

Elle a dit que le chapitre 4, sur la défense nationale...

Mme Rennie Marcoux:

C'est sur les priorités en matière de renseignement.

L’hon. David McGuinty:

Je m'excuse. Les priorités en matière de renseignement feront partie de l'enquête sur les motivations du tireur de Christchurch. Nous tissons le plus de liens possible, et jusqu'à maintenant, la réaction est très positive.

(1620)

M. Jim Eglinski:

J'ai une brève question à vous poser.

Nous vous avons donné un mandat quand ce groupe a été fondé, et il avait créé beaucoup de controverse au départ. Est-ce que nous vous avons donné assez d'outils? Je pense qu'il doit y avoir un examen au bout de cinq ans. Trouvez-vous, déjà pendant votre première année, que nous devrions peut-être nous pencher sur la question plus vite? Aurez-vous besoin de meilleurs outils pour faire votre travail?

L’hon. David McGuinty:

Peut-être, mais nous n'avons qu'environ deux années de faites sur un mandat de cinq ans, et je pense qu'il sera un peu interrompu par une campagne électorale à l'automne...

M. Jim Eglinski:

Effectivement, il le sera.

L’hon. David McGuinty:

Je pense que le comité vous dirait que l'horizon de cinq ans est adéquat, mais nous creusons tout cela, et plus nous gagnons en expérience et mettons nos compétences en pratique, plus nous nous positionnons. Je pense que nous en aurons plus à dire à ce sujet en temps et lieu et que nous pourrions recommander des améliorations.

Le président:

Merci, monsieur Eglinski.

Monsieur Graham, vous avez cinq minutes, s'il vous plaît.

M. David de Burgh Graham:

Merci.

À la page 70 du rapport, au paragraphe 170, il est question du renseignement de défense. On y trouve une description des différents types de renseignements. Le renseignement électromagnétique est bien sûr celui qui suscite le plus d'intérêt. C'est celui à la base de toutes les histoires d'Edward Snowden. De par sa nature, le SIGINT capte tout, donc ce serait difficile de ne pas s'y intéresser.

À votre avis, et c'est la principale raison pour laquelle ce comité a été créé, pour des raisons politiques, l'appareil de renseignement du Canada et nos partenaires du Groupe des cinq, en particulier, prennent-ils des mesures adéquates pour prévenir la collecte injustifiée ou illégale de données par des Canadiens, sur eux ou entre eux?

L’hon. David McGuinty:

C'est une excellente question, à laquelle il est très difficile de répondre. Je vais la contourner un peu et répéter que cette année, en 2019, l'un de nos principaux examens sera l'examen spécial du ministère de la Défense nationale et des Forces armées canadiennes. Nous examinerons la collecte, l'utilisation, la conservation et la diffusion d'informations sur les citoyens canadiens par le ministère de la Défense nationale et les Forces armées canadiennes. Nous essaierons de bien clarifier les contraintes juridiques et politiques à la collecte de données sur les citoyens canadiens dans le cadre des activités de renseignement de défense. Nous sommes donc saisis de la question en ce moment même.

M. David de Burgh Graham:

Le ministère de la Défense nationale mène-t-il des activités de renseignement au Canada ou ses activités se font-elles surtout à l'étranger?

Mme Rennie Marcoux:

Il peut recueillir des renseignements s'il a le mandat officiel de déployer des forces dans le cadre d'une mission, que ce soit au Canada, en appui à la GRC ou au CST, par exemple, ou à l'étranger. Il peut recueillir des données à l'appui d'une mission, où qu'elle se tienne.

M. David de Burgh Graham:

Savons-nous si l'existence du CPSNR a changé le comportement des divers acteurs du milieu du renseignement?

L’hon. David McGuinty:

Je pense que oui. J'ai mentionné un peu plus tôt que l'un des effets immédiats de notre examen des activités de renseignement du ministère de la Défense nationale et des Forces armées canadiennes, c'est que pour la toute première fois, le ministère a créé une unité interne en réaction à cet examen externe. Elle a le mandat de recueillir l'information nécessaire, de rassembler les données et de répondre aux demandes qui lui sont présentées. Nous avons présenté beaucoup de demandes au ministère, et nous avons reçu des milliers de pages de documentation. Quand nous jugeons ces documents insatisfaisants, nous en demandons d'autres. S'il manque quelque chose, nous demandons pourquoi il manque des choses.

Nous croyons que le degré de probité que le CPSNR confère aux organisations qui recueillent ou utilisent des renseignements en matière de sécurité nationale est très positif pour les Canadiens.

M. David de Burgh Graham:

À la toute fin de votre rapport, au paragraphe 265, je sens un peu de frustration. Vous semblez dire que les gens du milieu du renseignement ne sont pas très coopératifs et que parfois, vous devez insister beaucoup pour qu'ils vous fournissent l'information demandée. Est-ce que cela change? Les recommandations que vous faites contribuent-elles à résoudre le problème?

L’hon. David McGuinty:

Avez-vous dit le paragraphe 265?

M. David de Burgh Graham:

C'est le paragraphe 265, à la page 118. C'est vers la fin du rapport. Il y avait un sentiment de frustration au sein du comité lorsqu'il posait une question et qu'il obtenait une réponse très restreinte plutôt que la réponse qu'il souhaitait obtenir.

L’hon. David McGuinty:

Je crois que Mme Marcoux est mieux placée pour répondre à cette question, car elle est régulièrement en communication avec ses collègues au sein de ces ministères et organismes.

Mme Rennie Marcoux:

Comme je l'ai mentionné plus tôt, je pense, c'est attribuable au fait que les ministères, particulièrement ceux qui ne sont pas assujettis à un examen régulier, doivent s'habituer à fournir au comité de l'information, l'information pertinente.

Dans certains cas, c'est peut-être que le secrétariat doit être plus précis en ce qui concerne les délais ou le type d'information que nous souhaitons obtenir. C'est un processus qui implique des échanges. Dans d'autres cas, c'est attribuable au fait qu'il faut lire le document attentivement. Si on fait référence, par exemple, à un document dans une note de bas de page, ils ont la responsabilité de nous fournir ce document également. C'est donc attribuable à des détails ou à des éléments plus importants.

(1625)

M. David de Burgh Graham:

Je comprends.

Au paragraphe 107, à la page 47 — vous n'avez pas à aller à chacune des pages; je vous mentionne seulement où cela se trouve — on explique que le SCRS a rédigé une directive ministérielle qui excluait deux priorités, ce qui a semé la confusion au SCRS à savoir si ses agents pouvaient recueillir ou non du renseignement.

Est-ce que les agents sont autorisés à recueillir de l'information qui n'est pas reliée aux priorités établies? Pourquoi est-ce que cela a semé de la confusion? Ils peuvent recueillir des données, même si elles ne portent pas sur les 10 points...

Mme Rennie Marcoux:

Ce serait plus facile pour moi si...

M. David de Burgh Graham:

Bien sûr. Il s'agit du paragraphe 107, à la page 47. C'est une excellente lecture pour le week-end, soit dit en passant.

L’hon. David McGuinty:

Je ne pense pas que nous sommes en mesure de vous en dire davantage, étant donné les renseignements classifiés qui y sont liés.

M. David de Burgh Graham:

Je comprends.

Mme Rennie Marcoux:

Je crois que c'est parce que le SCRS doit respecter des directives très précises, donc, plus les directives sont précises, plus il est facile pour les agents de déterminer ce qu'ils peuvent recueillir. Je crois que c'est ce que nous voulions expliquer.

M. David de Burgh Graham:

Je vous remercie.

Le président:

Merci, monsieur Graham.

Monsieur Dubé, vous avez trois minutes. [Français]

M. Matthew Dubé:

Il me reste juste deux dernières questions. L'une peut sembler un peu ridicule, mais, à mon avis, elle est importante.

Est-ce que le format du rapport sera différent la prochaine fois de sorte qu'il soit plus facile à consulter sur un ordinateur — pour permettre, par exemple, la recherche au moyen des touches Ctrl-F? Autrement dit, s'agira-t-il encore d'une copie numérisée?

Mme Rennie Marcoux:

Ce problème est lié au processus de caviardage. On ne peut pas simplement biffer l'information dans un document, puis le transférer à l'ordinateur ou sur le Web. En fait, il faut faire des copies et des photocopies avant de les diffuser ensuite sur le site Web.

M. Matthew Dubé:

Vous allez me pardonner de dire qu'en 2019, on devrait pouvoir trouver une solution pour consulter le document plus rapidement.

Mme Rennie Marcoux:

Oui.

Nous partageons votre frustration, monsieur.

M. Matthew Dubé:

Excellent. Merci. Je ne pouvais pas m'empêcher de le noter.

J'ai une dernière petite chose à vous demander.

Pour revenir à la première question que j'ai posée, existe-t-il un plan visant le suivi officiel de la mise en oeuvre des recommandations formulées par le CPSNR? J'ai un peu posé la même question au début de mon intervention, mais je veux juste m'assurer qu'il y a un suivi officiel de ces recommandations.

L’hon. David McGuinty:

Oui.

Le CPSNR dispose d'un plan pour faire exactement ce genre de suivi. Nous sommes vraiment contents d'être ici aujourd'hui, et d'être peut-être invités au Sénat plus tard, pour nous adresser à vos homologues. Nous pensons que c'est un bon début pour, à tout le au moins, sensibiliser les parlementaires.

M. Matthew Dubé:

Excellent. Je vous remercie.

L’hon. David McGuinty:

Merci, monsieur Dubé. [Traduction]

Le président:

Merci, monsieur Dubé.

J'ai une dernière question à poser.

Dans l'une de vos recommandations, la R1, vous parlez du processus d'établissement des priorités en matière de renseignement. À la conclusion 7, vous dites que la mesure du rendement pour l'appareil de la sécurité et du renseignement n'est pas suffisamment robuste.

Les priorités en matière de renseignement changent constamment. Le changement qui me vient à l'esprit est celui qui concerne les priorités que sont le terrorisme et la cybersécurité. Un grand nombre d'analystes du renseignement croient que la cybersécurité constitue une menace beaucoup plus importante que le terrorisme.

Pouvez-vous décrire ce processus et nous dire si vous estimez que les priorités établies sont les bonnes?

L’hon. David McGuinty:

Nous avons entrepris l'examen de l'établissement des priorités en matière de renseignement parce que nous voulions avoir une vue d'ensemble de l'appareil de la sécurité et du renseignement et en examiner les rouages, par le fait même, pour voir comment les priorités étaient en fait établies.

L'un des problèmes que nous avons constatés, qui fait très clairement l'objet d'une recommandation, ce sont les exigences permanentes en matière de renseignement. Il y en a plus de 400. Il est très difficile de faire un tri et d'inclure plus de 400 exigences dans un processus du Cabinet. Nous n'avons pas accès aux documents confidentiels du Cabinet, mais nous avons accès à la plupart des documents qui ont donné lieu aux discussions et au débat.

Nous croyons qu'il y a des améliorations à apporter, et c'est pourquoi nous demandons à la conseillère à la sécurité nationale et au renseignement de jouer un rôle plus proactif. La conseillère joue un rôle essentiel au sein de l'appareil de la sécurité et du renseignement au Canada, et elle est la mieux placée, selon nous, pour rationaliser et simplifier les choses. Un grand nombre d'acteurs de première ligne dans le secteur de la sécurité et du renseignement au pays souhaitent davantage de clarté et sans doute un processus plus harmonieux.

L'ensemble du chapitre explique le fonctionnement aux Canadiens, étape par étape, et nous nous sommes concentrés sur quelques mécanismes internes de peaufinage qui, selon nous, permettraient dans une certaine mesure d'améliorer l'ensemble du processus.

(1630)

Le président:

Je vous remercie.

Au nom du Comité, je vous remercie tous les deux pour votre comparution. Nous vous sommes reconnaissants de nous avoir donné cette vue d'ensemble. Je félicite votre comité pour son travail et son rapport. Je vous remercie également pour le travail acharné que vous avez effectué au cours des 18 derniers mois.

Chers collègues, nous allons faire une pause jusqu'à ce que le ministre Goodale arrive. Comme nous avons un peu de temps, je vais m'adresser à M. Paul-Hus. Il souhaite que nous examinions la motion M-167, qui ne figure pas à l'ordre du jour. Nous allons l'examiner seulement si tous les membres souhaitent l'étudier maintenant. Sinon, je vais mettre cela de côté et...

M. David de Burgh Graham:

Nous devons faire cela à huis clos, n'est-ce pas?

Le président:

Oui.

M. David de Burgh Graham:

Nous ne pouvons pas attendre que M. Goodale soit là alors.

Le président:

Premièrement, souhaitons-nous nous occuper de cela après la comparution du ministre?

Un député: Oui, ça irait.

Le président: Vous seriez d'accord pour qu'on passe alors à huis clos? Je veux seulement m'assurer que nous sommes tous d'accord.

Nous allons maintenant faire une pause.

(1630)

(1630)

Le président:

Nous allons reprendre. Le ministre et ses collègues sont ici.

C'est une réunion spéciale. Nous avons invité le ministre de la Sécurité publique et de la Protection civile à comparaître au sujet du Rapport public de 2018 sur la menace terroriste pour le Canada et à répondre aux questions à ce sujet.

Je vais maintenant demander au ministre Goodale de faire sa déclaration liminaire et de nous présenter ses collègues.

L'hon. Ralph Goodale (ministre de la Sécurité publique et de la Protection civile):

Je vous remercie, monsieur le président, et je remercie les membres du Comité. Je suis heureux de comparaître à nouveau devant vous.

Je suis accompagné aujourd'hui du sous-ministre délégué, Vincent Rigby, de la commissaire de la Gendarmerie royale du Canada, Brenda Lucki, et du directeur du Service canadien du renseignement de sécurité, David Vigneault.

Nous serons ravis d'essayer de répondre à vos questions au sujet du Rapport public de 2018 sur la menace terroriste pour le Canada.

Je tiens d'abord à dire que les hommes et les femmes qui travaillent au sein de nos organismes chargés de la sécurité et du renseignement ont la tâche importante et très difficile de repérer, de surveiller, d'atténuer et de stopper les menaces afin d'assurer la protection des Canadiens. Ils effectuent ce travail sans relâche, 24 heures par jour, 7 jours par semaine, pour nous protéger, et ils méritent notre admiration et nos remerciements.

L'objectif du Rapport public sur la menace terroriste pour le Canada est de fournir aux Canadiens des renseignements non classifiés à propos des menaces auxquelles nous sommes confrontés. Il s'agit notamment de menaces qui proviennent du Canada, mais qui visent d'autres pays dans le monde. Aucun pays ne souhaite être une pépinière de terroristes ou d'extrémistes violents. Présenter aux Canadiens un rapport public sur la menace terroriste est un élément central de l'engagement du gouvernement en matière de transparence et de reddition de comptes. L'objectif est d'informer avec exactitude, sans toutefois révéler de renseignements classifiés.

Avant d'entrer dans les détails du rapport de cette année, j'aimerais revenir sur le Rapport public de 2016 sur la menace terroriste pour le Canada. Dans l'avant-propos ministériel de ce rapport, j'ai écrit ceci: C'est une grave et triste réalité que des groupes terroristes, en particulier le soi-disant État islamique en Iraq et au Levant (EIIL), aient recours à la propagande extrémiste violente pour encourager des personnes à soutenir leur cause. Ce groupe n'est ni islamique, ni un État, et sera donc appelé Daesh (son acronyme arabe) dans le présent rapport.

En rétrospective, je peux dire que ce principe aurait dû mieux guider les auteurs des rapports subséquents lorsqu'ils faisaient référence aux diverses menaces terroristes auxquelles fait face notre pays. Des Canadiens de diverses confessions et origines ont contribué à bâtir notre pays et ils font partie intégrante de nos collectivités et de nos quartiers. Ils contribuent à faire du Canada un pays plus fort, plus égalitaire et plus compatissant, un pays auquel nous aspirons. Il est inapproprié et injuste d'associer une collectivité en particulier ou un groupe religieux entier au terrorisme ou à la violence extrémiste. C'est tout simplement inacceptable et inapproprié.

À la suite de la publication du rapport de 2018, plusieurs communautés, particulièrement les communautés sikhes et musulmanes du Canada, ont fait valoir vigoureusement que le vocabulaire utilisé dans le rapport n'était pas suffisamment précis. L'utilisation de termes tels que « extrémisme sikh » ou « extrémisme sunnite » dans le rapport donnait l'impression qu'on visait des groupes religieux entiers plutôt que de cibler des actes dangereux commis par un petit nombre de personnes. Je peux vous assurer que l'intention n'était pas de généraliser. On a utilisé des termes qui sont employés depuis des années. Ces termes ont été utilisés notamment dans le cadre de la stratégie antiterroriste lancée en 2012 par le gouvernement précédent et dans le rapport de décembre 2018 du Comité des parlementaires sur la sécurité nationale et le renseignement. Des termes semblables ont également figuré dans le Feuilleton de la Chambre des communes relativement à certains travaux parlementaires proposés. Comme je l'ai dit plus tôt, le choix des termes est important. Ce n'est pas parce qu'on a souvent utilisé une certaine formulation qu'il faudrait continuer de l'utiliser maintenant ou dans l'avenir.

En raison des préoccupations qui ont été portées à mon attention, j'ai demandé qu'on examine le vocabulaire employé dans le rapport pour s'assurer qu'il fournit aux Canadiens des renseignements utiles non classifiés à propos de la menace terroriste pour le Canada sans nuire à une communauté en particulier. Nous avons consulté les communautés sikhes et musulmanes du Canada. Nous avons aussi consulté la Table ronde transculturelle sur la sécurité, nos organismes responsables de la sécurité et du renseignement ainsi que de nombreux députés.

(1635)



À l'avenir, nous utiliserons une terminologie axée sur l'intention ou l'idéologie, plutôt que sur un groupe religieux entier. Par exemple, dans le rapport, nous parlons maintenant des « extrémistes qui préconisent la violence pour établir un État indépendant à l'intérieur de l'Inde ». Fait intéressant, c'est une approche qui est parfois utilisée par certains de nos alliés. Par exemple, dans la stratégie nationale antiterroriste de 2018 des États-Unis d'Amérique, on peut lire notamment ceci: « Babbar Khalsa International cherche, par la violence, à établir son propre État indépendant en Inde. »

L'objectif est de décrire la menace à l'intention du public avec exactitude et précision, sans condamner involontairement l'ensemble de la communauté sikhe ou toute autre communauté. La vaste majorité de la communauté sikhe au Canada est pacifique et ne souhaiterait jamais causer du tort à qui que ce soit, ni au Canada ni ailleurs.

De même, nous avons cessé d'utiliser des termes comme « extrémisme chiite ou sunnite ». À l'avenir, ces menaces seront décrites d'une façon plus précise, notamment en faisant référence directement à des organisations terroristes comme le Hezbollah ou Daech. Ce sera plus exact et plus instructif. Je le répète, le vocabulaire employé est important, et nous devons toujours garder cela à l'esprit. C'est pourquoi nous procéderons continuellement à ce genre d'examen.

Je suis certain que tous les membres du Comité ont pris connaissance des statistiques révélant une augmentation des crimes haineux, qui ont été publiées il y a deux semaines. Malheureusement, en 2017, on a enregistré au Canada une hausse de 47 % des crimes haineux déclarés par la police. Les médias sociaux font en sorte qu'il est de plus en plus facile pour les personnes remplies de haine de communiquer entre elles et d'amplifier leur discours toxique. Ce qui est tragique, c'est que, parfois, cela a des conséquences désastreuses et mortelles, comme on l'a vu très récemment en Nouvelle-Zélande. Cela devrait être un anathème pour nous tous. Les gouvernements, peu importe leur allégeance, pourraient, par inadvertance, continuer d'utiliser des termes que ces individus infâmes et violents pourraient considérer dans leur esprit comme étant la preuve qu'ils ont raison de fomenter la haine.

En plus de procéder à un examen du vocabulaire utilisé, nos organismes chargés de la sécurité prennent également certaines mesures novatrices afin d'accomplir leur travail quotidien avec exactitude, efficacité et objectivité. Je vais vous en donner un exemple. Depuis quelques mois, les personnes qui ont pour tâche de prendre la difficile décision finale d'inscrire le nom d'une personne sur la liste établie en vertu de Loi sur la sûreté des déplacements aériens, autrement dit, la liste d'interdiction de vol, ne voit plus le nom et la photo de la personne en question dans le dossier. Ainsi, ni le nom ni la photo ne peut influencer la décision finale, pas même inconsciemment. Ceux qui prennent la décision doivent s'attarder aux faits exposés dans le dossier et ils doivent prendre une décision en fonction de ces faits. Il est donc question de faits et non de préjugés.

Les hommes et les femmes qui travaillent au sein des organismes responsables de la sécurité et du renseignement sont des professionnels vaillants, mais aucun être humain n'est à l'abri de certaines idées préconçues. Le gouvernement devrait s'efforcer d'atténuer les conséquences de ce trait de la nature humaine.

Enfin, bien que la version actualisée du rapport ait été raisonnablement bien accueillie, certaines personnes ont critiqué les changements, faisant valoir qu'ils diminuent la capacité de nos organismes d'effectuer leur travail. Je suis profondément en désaccord. Le contenu factuel du rapport n'a pas changé. Le rapport continue de décrire la menace à laquelle le Canada fait face et la menace qui provient du Canada. Il le fait simplement d'une manière qui ne peut pas donner à penser qu'on dénigre des communautés ou des groupes religieux entiers à cause des actes d'un petit nombre de personnes, qui se comportent d'une façon qui va à l'encontre des valeurs d'une communauté en particulier. L'ensemble de cette communauté ne devrait pas être condamnée à cause de ces individus.

(1640)



Honnêtement, je dois dire que nos organismes chargés de la sécurité et du renseignement ont besoin de la bonne volonté et du soutien de l'ensemble des membres pacifiques et respectueux des lois de toutes les communautés pour pouvoir effectuer leur travail efficacement. Nous ne pouvons pas établir des partenariats si les termes que nous utilisons créent un fossé, une distance ou un malaise entre les communautés et nos organismes responsables de la sécurité.

Monsieur le président, je vous remercie de m'avoir invité à comparaître à nouveau devant le Comité. Je serai heureux d'essayer de répondre à vos questions avec l'aide des personnes qui m'accompagnent.

Le président:

Je vous remercie, monsieur Goodale.

Madame Sahota, vous avez sept minutes.

Mme Ruby Sahota (Brampton-Nord, Lib.):

Merci, monsieur le président.

Tout d'abord, monsieur le ministre, je tiens à vous remercier de comparaître aujourd'hui. Je vous remercie également pour le travail que vous accomplissez. Nous savons que la partie de votre travail qui concerne la GRC et le SCRS n'est pas facile. Vous veillez à protéger notre pays, et nous vous en sommes reconnaissants.

Je vous ai déjà parlé de ce problème à plusieurs reprises. Des gens de ma communauté et plusieurs intervenants ont communiqué avec moi après que le rapport a été rendu public en décembre. Ils étaient vraiment abasourdis, car ils ne comprenaient pas pourquoi les sikhs avaient été ciblés de cette façon et pourquoi d'autres confessions — sunnites, chiites, islamistes — ont été mentionnées dans le rapport. Auparavant, dans ces rapports publics, on mettait toujours l'accent sur des régions et des voyageurs extrémistes. Pourquoi y a-t-il eu un changement à cet égard cette fois-ci?

(1645)

L'hon. Ralph Goodale:

Madame Sahota, le rapport est le fruit du travail de différents organismes chargés de la sécurité et du renseignement au sein du gouvernement du Canada. Comme vous l'avez reconnu, ils accomplissent de façon très professionnelle un travail très difficile, qui consiste à évaluer les risques auxquels le pays est confronté à tout moment. Ces risques ne sont pas toujours les mêmes. Puisqu'il s'agit d'un rapport qui s'adresse au gouvernement et au public, il ne m'appartient sans doute pas de commenter le travail effectué pour produire ce rapport.

Peut-être que vous pourriez, monsieur Vigneault, expliquer, du point de vue du SCRS, les facteurs dont tiennent compte les auteurs du rapport lorsqu'il s'agit de déterminer le contenu à quelque moment que ce soit et...?

Mme Ruby Sahota:

Permettez-moi d'ajouter que, dans votre déclaration liminaire, monsieur le ministre, vous avez parlé du rapport de 2016, qui précise qu'on ne ferait plus mention de l'EIIL, car ce groupe n'est ni islamique, ni un État. Vous avez dit qu'il sera donc appelé Daech. Pourquoi ce revirement dans ce rapport? Nous avons vu que beaucoup de changements ont été apportés sur les plans de la présentation, de la teneur et des descriptions.

L'hon. Ralph Goodale:

M. Rigby, le sous-ministre délégué, souhaite commenter.

M. Vincent Rigby (sous-ministre délégué, ministère de la Sécurité publique et de la Protection civile):

Je vous remercie beaucoup, monsieur le ministre.

Il s'agit d'un rapport auquel a contribué l'ensemble des organismes chargés de la sécurité et du renseignement. Le ministère de la Sécurité publique est le responsable, mais il s'adresse aux organismes pour obtenir les commentaires de la GRC, du SCRS et du CIET. Nous rassemblons l'information concernant la menace et ses capacités et celle que contient la réponse du gouvernement. Nous rassemblons toute cette information, puis nous nous entendons collectivement, en incluant le dirigeant de l'organisme, sur le contenu avant de le soumettre à l'approbation du gouvernement et du ministre.

Au cours des dernières années, je pense que certaines personnes ont critiqué le fait que les rapports n'étaient pas aussi détaillés que les gens l'auraient souhaité. Ils auraient voulu que le rapport s'étende un peu plus sur les subtilités de la menace, etc. Je crois qu'en tentant de fournir davantage de détails, nous avons malheureusement introduit dans le rapport certains termes, et nous sommes ici aujourd'hui pour en discuter. Comme le ministre l'a dit, la terminologie que nous utiliserons à l'avenir sera axée davantage sur l'idéologie que sur les communautés.

Cela vous explique un peu comment ces termes se sont glissés dans le rapport. Je le répète, ces termes ont déjà été utilisés dans des rapports précédents, mais certains termes précis dont le ministre a parlé n'avaient pas été utilisés depuis 2012.

Mme Ruby Sahota:

D'accord. Je sais que le retrait de ces termes a été critiqué. On a dit que ce n'était pas assez précis, mais comme le ministre, je ne suis pas de cet avis. Je crois qu'on est bien plus précis si l'on se concentre sur les organisations terroristes.

Pouvez-vous m'expliquer en quoi la partie qui porte sur les personnes qui continuent de préconiser la violence pour établir un état indépendant à l'intérieur de l'Inde est précise? Des intervenants de la collectivité me posent des questions à ce sujet. Ils disent que cette partie ou ce dont il y est question ne figuraient pas dans des rapports précédents, mis à part qu'une organisation était mentionnée, et ils se demandent alors pourquoi on le fait maintenant. Pourquoi, si aucun événement ne s'est produit, à notre connaissance, cela a été inclus dans le rapport de 2018 et qu'on n'en avait jamais fait mention auparavant, alors que cette partie porte principalement sur un incident et une période, soit entre 1982 et 1993?

(1650)

L'hon. Ralph Goodale:

Je crois que M. Vigneault peut répondre à la question, mais je vais faire seulement deux observations préliminaires.

Bien entendu, le contenu préparé et publié dans le rapport public sur la menace doit être non classifié. L'information classifiée doit demeurer classifiée, mais il y a un moyen parlementaire d'en faire un examen. Bien entendu, cela relève de la compétence du témoin qui a comparu précédemment.

Mme Ruby Sahota:

C'est ce que je pensais.

L'hon. Ralph Goodale:

Le Comité des parlementaires sur la sécurité nationale et le renseignement a été créé dans le but de permettre à nos organismes de sécurité, au besoin, de discuter des renseignements classifiés avec le groupe de parlementaires approprié. Il s'agit du Comité des parlementaires sur la sécurité nationale et le renseignement plutôt que d'un comité parlementaire régulier. Si le comité des parlementaires souhaite examiner une question de ce type, c'est dans ce cadre qu'il conviendrait de le faire.

J'invite le directeur du SCRS, David Vigneault, à en dire davantage.

M. David Vigneault (directeur, Service canadien du renseignement de sécurité):

Merci, monsieur le ministre.

Je vous remercie d'avoir posé la question et de me donner l'occasion d'en dire plus à ce sujet.

Comme vous pouvez l'imaginer, les enquêtes de sécurité nationale du SCRS sont en constante évolution. Elles sont influencées par des événements qui se passent ici, au Canada, et à l'étranger. Notre mandat consiste à nous assurer que les gens, ici au Canada, qui appuient le recours à la violence à des fins politiques ou qui y participent en quelque sorte, font l'objet d'une enquête. Ces enquêtes évoluent, et nous donnons des conseils au gouvernement, et nous en donnons à Sécurité publique Canada dans le contexte du rapport et de notre évaluation des menaces.

Nous soutenons l'évaluation que nous avons faite, soit qu'il y a un petit groupe d'individus qui, à l'heure actuelle, participent à des activités qui consistent à utiliser la violence pour établir un État indépendant en Inde. Il nous incombe de nous assurer d'enquêter sur ces menaces et de donner des conseils à la GRC et à d'autres collègues pour faire en sorte que, selon les renseignements et les enquêtes du SCRS, le Canada ne soit pas utilisé pour planifier un acte terroriste et que parallèlement, nous, les Canadiens, soyons en sécurité.

Le président:

Nous allons nous arrêter ici, madame Sahota.

Monsieur Paul-Hus, vous disposez de sept minutes. [Français]

M. Pierre Paul-Hus:

Merci, monsieur le président.

Monsieur Goodale, j'ai eu la chance d'avoir la première copie du rapport du 11 décembre 2018, qui nous a donné une certaine information. Je comprends vos arguments et toute l'explication que vous nous fournissez pour tenter de réparer ce que, techniquement, nous n'aurions pas dû avoir. Je suis content de l'avoir eue, parce que cela nous donne des informations au sujet de la sécurité nationale.

Quant à vous, vous faites de la politique avec cela. Ce qui m'inquiète un peu, c'est de savoir qu'à un moment donné, comme Canadiens, nous avons eu accès à de l'information, qui a ensuite été modifiée. Nous avons appris que le SCRS, la GRC et d'autres agences ont fait un certain travail et qu'ils ont signalé, dans un rapport de Sécurité publique Canada, des informations importantes sur notre sécurité. Par la suite, des groupes ont fait pression. On a exercé une première pression sur vous et, le 12 avril, vous avez modifié le rapport. Une deuxième version a été mise en ligne sur le site. Deux semaines plus tard, le 26 avril, un autre groupe a fait pression et vous avez modifié le rapport une deuxième fois. Nous avons maintenant une version édulcorée.

Je veux bien comprendre le processus. Je sais que cela peut toucher des communautés, mais il reste que des rapports ont été établis par nos agences de sécurité et que l'on y a mis de l'information qui correspond à ce qu'il en est quant à la situation décrite. À quel point la politique joue-t-elle un rôle et édulcore-t-on la réalité pour ne blesser personne? Comment cela fonctionne-t-il? [Traduction]

L'hon. Ralph Goodale:

Monsieur Paul-Hus, comme je l'ai mentionné dans ma déclaration préliminaire, les observations qui nous ont été présentées provenaient des communautés musulmane et sikhe en particulier. De plus, nous avons entendu le point de vue d'un certain nombre de députés de différents partis politiques, et non pas d'un seul parti. En fait, à la Chambre des communes, tous les partis ont eu l'occasion de faire des observations sur la situation et ont fait connaître leur point de vue, et ils ont soulevé des préoccupations similaires.

Nous avons évalué les commentaires que nous avons reçus, et contrairement à l'affirmation que vous avez faite dans votre question, il ne s'agissait pas d'une question partisane; c'était plutôt une question de précision, d'équité et d'efficacité.

(1655)

[Français]

M. Pierre Paul-Hus:

Je crois que l'information était précise. L'information présentée signalait quand même clairement des points concernant une menace existante. Vous avez changé des mots pour alléger le tout.

Dans le fond, c'est cela, faire de la politique; c'est essayer de ne pas déplaire aux gens. Toutefois, il reste que la première version des agences était claire. [Traduction]

L'hon. Ralph Goodale:

Non. Ce n'est pas ce que visent les changements.

Manifestement, ce que nous ont dit un certain nombre d'intervenants de partout au pays, la Table ronde transculturelle sur la sécurité nationale et des députés de plusieurs partis politiques, c'est que les mots employés dans le rapport donnaient l'impression que tout un groupe religieux ou toute une communauté représentaient une menace pour la sécurité nationale. C'est faux.

Certains individus représentent une menace pour la sécurité nationale et doivent faire l'objet d'enquêtes, mais lorsqu'on publie un rapport sur le sujet qui contient des expressions qui donnent l'impression qu'il faut craindre un groupe religieux entier ou une communauté ethnoculturelle entière, cela ne correspond pas à la réalité. C'est ce qu'il fallait corriger. [Français]

M. Pierre Paul-Hus:

Pourtant, on comprend qu'on parle d'extrémisme. Évidemment, ce n'est pas tout le monde qui est visé. Peu importent les religions et les communautés culturelles, quand on parle de l'Islam radical, par exemple, on dit clairement « Islam radical ». On désigne les gens qui sont radicaux ou radicalisés. On ne s'attaque pas à tous les musulmans, bien entendu.

Y a-t-il moyen d'être clair sans s'attaquer aux gens qui n'ont pas à être visés?

Le choix des mots est important. Il faut éviter d'enlever des informations, surtout pour ne pas déplaire. Ce que je veux savoir, c'est la vérité. [Traduction]

L'hon. Ralph Goodale:

Non. L'objectif ici, monsieur Paul-Hus, c'est de faire exactement ce que vous avez dit, soit mettre le public au courant des menaces de façon précise sans généraliser au point de condamner une religion ou une communauté ethnoculturelle entières.

Vous avez vu des formulations dans le rapport qui vous ont semblé restreindre la portée de ce dont il était question, mais d'autres personnes, en lisant le rapport, ont vu exactement l'opposé et ont vu que les termes utilisés allaient au-delà ce qu'était la menace réelle.

L'objectif de notre examen, de nos consultations et de nos travaux, c'est de dire exactement aux Canadiens quelle est la menace, mais aussi d'être justes en ce sens que nous ne condamnons ou ne critiquons pas des religions ou des communautés ethniques entières. [Français]

M. Pierre Paul-Hus:

À votre connaissance, est-ce la première fois que des groupes d'intérêts font pression pour faire modifier un rapport sur la sécurité nationale?

Dans votre gouvernement ou dans d'autres gouvernements, est-il déjà arrivé que, à la suite d'une publication officielle, des groupes fassent modifier des informations? [Traduction]

L'hon. Ralph Goodale:

À ma connaissance, dans ce qui relève de ma compétence, c'est la première modification de cette nature. La réponse a été suffisamment vaste et critique. J'en ai conclu que le problème qui était soulevé était sérieux. Il ne s'agissait pas d'un petit débat sémantique. On craignait grandement que le rapport donne une impression injuste et inexacte et on disait qu'il fallait modifier le vocabulaire.

En examinant le vocabulaire, nous avons constaté que des expressions très similaires avaient été utilisées à bien d'autres endroits à différents moments, y compris dans des rapports qui avaient été présentés par le gouvernement précédent, dans des rapports qui avaient été présentés par le Comité des parlementaires sur la sécurité nationale et le renseignement. En effet, certaines expressions ont également figuré au Feuilleton de la Chambre des communes à un moment donné .

Le vocabulaire avait été utilisé, mais ce n'est pas parce qu'il a été utilisé à une certaine période ou à certaines fins qu'il faut continuer d'utiliser des expressions qui risquent de faire en sorte qu'on communique de fausses informations et qu'on donne une fausse impression de communautés et de religions entières.

(1700)

Le président:

Merci, monsieur Paul-Hus.

Il serait bon, monsieur le ministre, que vous regardiez la présidence de temps en temps pour que vos collègues puissent poser leurs questions.

L'hon. Ralph Goodale:

Vous êtes, en effet, un très beau spécimen, monsieur, mais...

Des voix: Ha, ha!

L'hon. Ralph Goodale: ... j'admire le Comité dans son ensemble.

Le président:

Je croyais que vous admiriez ma cravate.

Des voix: Ha, ha!

Le président: Monsieur Dubé, vous disposez de sept minutes. [Français]

M. Matthew Dubé:

Merci, monsieur le président.[Traduction]

Monsieur le ministre, je vous remercie de votre présence. Je veux remercier mes collègues du Comité d'avoir accepté la motion que j'ai présentée pour vous inviter à venir témoigner sur cette question. Comme vous le savez, je vous ai écrit, en décembre, lorsque cette question a été soulevée, et M. Singh et moi avions tous les deux écrit au premier ministre avant que les modifications soient apportées. Contrairement à ce qu'on vient de dire, le choix des mots est important, et nous nous entendons là-dessus, monsieur le ministre.

Je crois que la communauté sikhe mérite des félicitations pour s'être défendue, car, au bout du compte, il y a des conséquences bien concrètes. On assiste à une montée des crimes haineux, et une autre forme de terrorisme est pratiquée non seulement au Canada, mais ailleurs dans le monde. Elle consiste à s'attaquer à des groupes confessionnels et à d'autres communautés, bien sûr.

Je pense que ces changements sont les bienvenus, et j'espère certainement que l'on continuera à travailler avec les communautés touchées, car un problème particulier a été soulevé dans le rapport. Nous savons, cependant, que la communauté musulmane, tant au Canada qu'ailleurs dans le monde, et certainement aux États-Unis, est confrontée à ce problème en ce qui concerne le terrorisme depuis presque 20 ans. Cela a été soulevé. Si des changements ont été apportés à la liste d'interdiction de vol, c'est entre autres parce qu'il y a une forme de profilage qui est inhérente à la façon dont cette structure fonctionne.

Monsieur le ministre, vous avez dit une bonne partie des choses qui sont certainement bien accueillies, je crois, par des gens qui espèrent des changements dans la façon de procéder. Nous avons demandé à ce que ce processus soit repensé, étant donné que nous assistons à une montée des crimes haineux et d'autres incidents qui menacent sérieusement la sécurité publique.

Est-ce que des efforts seront déployés pour institutionnaliser la pensée que vous avez mise de l'avant aujourd'hui? Ces types de mécanismes, sur le plan de la transparence, sont très importants, mais comme vous l'avez souligné, ils peuvent avoir l'effet contraire.

L'hon. Ralph Goodale:

Dans nos systèmes, monsieur Dubé, nous voulons employer des termes qui sont exacts, précis et justes lorsque nous communiquons des renseignements sur des menaces terroristes. Il doit s'agir d'un processus permanent. On ne peut faire ce genre de choses qu'une seule fois, en quelque sorte, et penser qu'on a réglé le problème.

Les gens doivent toujours être conscients du problème, en partie pour la raison que vous avez mentionnée, soit que si l'on n'est pas conscient du problème, on peut involontairement encourager les gens qui ont une propension à commettre des crimes haineux et utiliser les termes comme prétexte pour ce qu'ils font. L'autre raison pour laquelle c'est important, monsieur Dubé, c'est que si nous voulons avoir une société sûre, respectueuse et inclusive, il faut que nos services de police et de sécurité et chaque communauté de notre société aient de bonnes relations. Si des termes sont utilisés d'une façon qui suscite la division, alors ces bonnes relations n'existeront pas, et notre société sera moins bien protégée.

(1705)

M. Matthew Dubé:

Ce n'est probablement pas le moment idéal pour vous interrompre, mais le temps dont je dispose est limité. Je voulais toutefois parler de la question de fond.

Honnêtement, à l'ère numérique, il est assez difficile de trouver d'anciens rapports. Je crois qu'il vaut la peine de le souligner, mais d'après ce que nous constatons, cela fait 17 ans que la question qui a été soulevée dans ce rapport a fait partie d'un rapport similaire. Cela fait donc un bon moment.

Je pense que l'une des questions soulevées par bon nombre de ceux qui s'opposaient à cela ne concernait pas seulement les termes utilisés, dont nous avons parlé aujourd'hui, mais les raisons. Je crois qu'une question a été soulevée à cet égard.

Étant donné que vous ne pouvez pas tout divulguer parce qu'il s'agit de renseignements classifiés — même si nous voulons toujours de la transparence —, n'y a-t-il pas lieu de se demander, si vous ne pouvez pas expliquer les raisons, s'il vaut mieux laisser certaines choses classifiées plutôt que d'aller à mi-chemin en quelque sorte sans pouvoir ne fournir aucune justification?

C'est également une question importante qui a été soulevée par certaines des communautés qui demandaient des comptes au gouvernement à ce sujet.

Il est important de soulever la question. Il était question, ce matin, du fait que la ministre des Affaires étrangères obtenait des points de discussion au sujet de certaines communautés lors de voyages à l'étranger.

Il existe un certain cynisme à cet égard. Ne craignez-vous pas qu'on l'alimente en incluant de l'information dans un rapport sans pouvoir l'étayer?

L'hon. Ralph Goodale:

Il y a deux choses essentielles, monsieur Dubé. Parfois, elles entrent quelque peu en conflit. D'un côté, nos organismes de sécurité voudraient, dans un rapport public, fournir le plus possible des informations aux Canadiens qui les aideraient à comprendre les différentes menaces à la sécurité publique. En même temps, vous soulevez la question opposée, soit la mesure dans laquelle ils peuvent parler des détails.

M. Matthew Dubé:

Oui.

L'hon. Ralph Goodale:

Nul doute qu'on se rappellera l'expérience lorsque d'autres rapports seront rédigés.

M. Matthew Dubé:

Monsieur le ministre, pour la dernière minute qu'il me reste, je veux vous poser une question sur le fait qu'on n'a peut-être pas bien réfléchi aux conséquences. Est-ce là le signe d'un problème plus vaste qui semble de plus en plus à l'avant-plan, c'est-à-dire que la menace posée par une autre forme d'extrémisme, à savoir, le nationalisme blanc et la suprématie blanche, est sous-estimée par nos organismes de sécurité? Faut-il réfléchir davantage à ce qui se passe à cet égard et aux conséquences?

L'hon. Ralph Goodale:

Les services de police et les organismes de sécurité doivent s'occuper de tout cela, monsieur Dubé. Ils sont conscients de toutes ces menaces et de tous ces risques potentiels. Vous remarquerez que dans ce rapport, on fait souvent référence à l'extrémisme de droite, qui constitue également une menace. C'est un élément important de l'ensemble des problèmes dont les services de police et les organismes de sécurité sont conscients et dont ils s'occupent.

Le président:

Merci, monsieur Dubé.

Madame Dabrusin, vous disposez de sept minutes.

Mme Julie Dabrusin:

Merci, monsieur le ministre.

En fait, je vais poursuivre un peu dans la même veine que M. Dubé. Je veux parler de ce qui est dit sur l'extrémisme de droite dans le rapport.

Je viens de Montréal. J'étudiais au cégep à l'époque du drame survenu à l'École polytechnique, un événement marquant, où des femmes étaient ciblées en raison de la haine éprouvée à leur égard. Il y a à peine un mois, j'ai participé à une vigile qui a été tenue pour les victimes de l'attaque au camion-bélier survenue sur la rue Yonge, un autre acte de violence fondé sur la haine des femmes. C'est du moins ce qu'on nous a appris.

Au début de l'année, nous avons tenu une vigile à l'extérieur d'une mosquée dans ma communauté en raison de ce qui s'est passé à Christchurch, en Nouvelle-Zélande. En fait, il n'y a pas tellement longtemps, nous en avons tenu une également pour les victimes de la tuerie survenue à la mosquée de Sainte-Foy.

Ce sont trois événements qui ont causé des décès. Tous les trois étaient fondés sur l'extrémisme de droite et ce type de philosophie. Pourtant, dans le rapport, on dit ce qui suit: « [t]outefois, même si le racisme, le sectarisme et la misogynie peuvent porter atteinte à la cohésion de la société canadienne, en fin de compte, ils ne conduisent pas habituellement à des comportements criminels ou à des menaces à la sécurité nationale ».

Ce type d'extrémisme est-il vraiment moins dangereux que les autres formes d'extrémisme? Il me semble que ce ne soit pas le cas, du moins d'après mon expérience, quand je pense à notre histoire récente.

(1710)

L'hon. Ralph Goodale:

Madame Dabrusin, j'invite la commissaire de la GRC et David Vigneault à formuler des commentaires sur ces questions,car il leur incombe de mener des enquêtes à cet égard et de protéger la population.

Je peux vous dire qu'au cours des dernières années, pendant que je travaillais à proximité de nos organismes chargés de la sécurité, j'ai eu l'occasion d'observer leurs activités et l'établissement de leurs priorités, et j'ai constaté que leurs intervenants travaillaient très fort sur la question de l'extrémisme de droite. Le rapport sur lequel porte la réunion d'aujourd'hui mentionne spécifiquement plusieurs incidents qui démontrent les raisons pour lesquelles ces inquiétudes doivent être prises au sérieux.

De tels incidents se sont produits à l'extérieur du pays, par exemple en Nouvelle-Zélande, à Pittsburgh, à Charlottesville et à d'autres endroits, mais dans notre pays, l'attaque menée avec une fourgonnette sur la rue Yonge, l'attaque dans une mosquée de Sainte-Foy, les attaques menées contre des policiers à Mayerthorpe et à Moncton et les attaques misogynes commises à Dawson College et à l'École Polytechnique découlent toutes de la même idéologie perverse et néfaste qui met des personnes à risque et en tuent d'autres. Ce sujet est donc pris au sérieux.

Permettez-moi de demander à Mme Lucki et à M. Vigneault de formuler des commentaires sur cette question.

Commissaire Brenda Lucki (commissaire, Gendarmerie royale du Canada):

Pour répondre à la question, cette menace n'est pas moins importante que les autres menaces mentionnées dans le rapport, mais lorsque nous examinons le rapport, nous constatons que l'un des objectifs est de fournir une évaluation globale des menaces terroristes qui pèsent, tout d'abord, sur le Canada. Nous avons ajouté l'extrémisme de droite, car il s'agit d'une menace, mais qui ne pèse peut-être pas, comme vous l'avez mentionné dans votre citation, sur la sécurité nationale. Cela concerne plutôt des événements et des individus.

Mme Julie Dabrusin:

Aux fins d'éclaircissements, le rapport indique que ces activités « ... ne conduisent pas habituellement à des comportements criminels ou à des menaces à la sécurité nationale. » Il me semble que lorsqu'on examine la liste des événements concernés, il y a en fait de nombreux événements qui semblent être attribuables à l'extrémisme de droite.

Comm. Brenda Lucki:

Oui, il y a certainement des activités criminelles, et nous nous concentrons là-dessus. Lorsque nous nous concentrons sur les activités criminelles, nous visons certainement les groupes ou les individus de toutes les catégories mentionnées dans le rapport ou ailleurs. Ce n'est pas une menace moins importante.

M. David Vigneault:

Selon le point de vue du SCRS, tout individu ou groupe qui envisage d'avoir recours à la violence pour atteindre des objectifs politiques, religieux ou idéologiques représente une menace à la sécurité nationale en vertu de la définition contenue dans notre Loi. Le compte rendu de l'autre endroit démontrera que j'ai également dit, là-bas, que nous consacrons une plus grande partie de nos ressources à la surveillance de la menace posée par différents groupes extrémistes, par exemple les groupes misogynes, les nationalistes blancs et les néonationalistes. Ces groupes utilisent maintenant des méthodes essentiellement terroristes pour atteindre certains de leurs objectifs.

En ce qui concerne l'attaque menée sur la rue Yonge, la méthode utilisée a d'abord été publicisée dans un magazine affilié à Al-Qaïda, qui l'a appelée la tondeuse ultime, en disant essentiellement aux gens que c'est ce qu'ils devraient faire. Un autre individu favorisant un autre type d'extrémisme a utilisé une technique mise au point ou popularisée par une autre série de groupes pour tuer des gens. Pour nous, il n'y a aucune différence. Nous enquêtons sur ces groupes lorsqu'ils correspondent à ces définitions.

(1715)

Mme Julie Dabrusin:

Ce qui me préoccupe, c'est que lorsque j'ai lu le reste du rapport, je n'ai vu aucun autre type de terrorisme ou de comportement criminel auquel on avait appliqué ce contexte selon lequel les activités de ces groupes, au bout du compte, ne débouchent pas sur des comportements criminels ou des menaces à la sécurité nationale. Ce type de description n'était appliqué à aucun autre type de groupe. Je me demandais donc pourquoi on avait établi cette différence lorsqu'il s'agit de...

M. David Vigneault:

Je ne peux pas parler pour tous les groupes, mais essentiellement, pour utiliser l'image d'un entonnoir, la grande majorité des commentaires odieux formulés en ligne auront des répercussions sur la société, mais ils ne passeraient pas le seuil criminel. Ensuite, une petite partie de ces commentaires seraient susceptibles d'intéresser la GRC ou les services de police et les organismes d'application de la loi au Canada. Enfin, un très petit groupe de personnes, qu'il s'agisse d'individus ou de groupes, tentent de s'organiser et d'utiliser la violence pour atteindre un objectif politique quelconque; il s'agit dans ce cas d'une affaire de sécurité nationale. C'est en quelque sorte la méthode utilisée pour mieux comprendre et définir ce que nous observons dans la société, mais cette méthode est certainement en évolution.

Le président:

Merci, madame Dabrusin.

Monsieur Motz, vous avez cinq minutes.

M. Glen Motz:

Merci, monsieur le président. J'aimerais également remercier le ministre et les représentants ministériels d'être ici aujourd'hui.

À ce sujet, j'ai une certaine expérience en matière d'évaluation des menaces liées aux organisations criminelles qui s'inscrivent dans le cadre d'une évaluation de la menace nationale que représentent les organisations criminelles pour notre pays, et je comprends donc le travail et les efforts que nos organismes de sécurité doivent fournir pour créer ce cadre.

En tenant compte de cela, monsieur le ministre, j'aimerais vous lire une citation de Phil Gurski, un ancien analyste très respecté du SCRS. Concernant le rapport, il a dit ceci: Qu'en est-il des « personnes ou (...) groupes qui sont inspirés par des idéologies et des groupes terroristes violents tels que Daech et Al-Qaïda (AQ) »? À part l'obstination à parler de « Daech » plutôt que de l'État islamique (monsieur le ministre Goodale, j'aimerais préciser que Daech est le mot arabe pour « État islamique », soit dit en passant), cette expression n'est que partiellement exacte. D'après mon expérience au SCRS, je sais que, oui, certains Canadiens s'inspirent de ces groupes terroristes, mais ils sont également très nombreux à se radicaliser à la violence au nom d'un extrémisme islamiste sunnite encore plus vaste (l'extrémisme islamiste chiite est un tout autre sujet) qui a peu ou rien à voir avec Al-Qaïda ou l'État islamique ou tout autre groupe terroriste. Oh et une dernière chose: ils sont tous musulmans — il n'y a aucun bouddhiste ou animiste parmi eux. Encore une fois, l'utilisation de l'expression « extrémisme islamiste sunnite » — et c'est le nom que nous utilisions lorsque j'étais au SCRS — ne signifie pas que tous les musulmans canadiens sont des terroristes. À mon avis, il s'agit seulement de rectitude politique et de propagande électorale débridées.

Je pense qu'il est important de reconnaître — et je sais que vous le reconnaissez, monsieur — que les enjeux de sécurité nationale sont beaucoup plus importants pour les Canadiens que les considérations politiques à cet égard. Voici donc ma question. À votre avis, le fait d'informer les Canadiens sur les menaces réelles posées par les terroristes, peu importe les noms qu'on leur donne, devrait-il dépasser tout projet électoral du gouvernement actuel?

L'hon. Ralph Goodale:

Certainement, et c'est la ligne de conduite que j'ai moi-même adoptée.

M. Glen Motz:

D'accord. Dans ce cas, comment rejeterez-vous l'expertise de M. Gurski aussi facilement en ce qui concerne les changements qui ont été apportés à ce rapport?

L'hon. Ralph Goodale:

Eh bien, je n'ai pas ce qu'il a dit devant moi, mais je reviens sur la dernière partie, lorsqu'il semble dire, malgré certains mots auxquels il fait référence, que tout le monde comprend que ce ne sont pas tous les membres de la communauté islamique qui sont visés par les critiques. C'est à peu près ce que vous avez dit.

Mais il n'est pas du tout certain, monsieur Motz, que c'est effectivement le cas. Lorsqu'on utilise un vocabulaire vague on peut, implicitement, porter atteinte à des personnes innocentes qu'on n'avait pas l'intention de critiquer, mais les mots utilisés sont extrapolés de plus en plus, et si vous jetez un coup d'oeil à ce qui est publié sur Internet, vous verrez des distorsions, des fausses interprétations et de l'abus.

Tout cela revient au point qu'on faisait valoir au début. Il faut être extrêmement prudent avec les mots utilisés, et ce, dès le départ. Nous devons communiquer la nature du risque avec exactitude, tout en évitant de l'exprimer de façon à porter atteinte à des gens innocents et, ce faisant, de les exposer à des risques.

(1720)

M. Glen Motz:

Nous convenons tous qu'une menace peut être constituée d'un individu ou d'un petit nombre de personnes au sein de certaines communautés, mais je pense que les Canadiens sont suffisamment intelligents pour comprendre que l'ensemble d'une communauté n'est pas visé par les mots très précis qui servent à définir une menace terroriste.

Je présume que l'une des choses que j'aimerais savoir, c'est le nombre d'organismes qui ont contribué à ce rapport. De quels organismes s'agit-il?

Le président:

Veuillez répondre très brièvement, monsieur le ministre.

L'hon. Ralph Goodale:

Je demanderais à M. Rigby de calculer le nombre d'organismes participants.

M. Glen Motz:

Pour poursuivre cette question, les organismes qui ont participé à la production de ce rapport ont-ils également participé à...

Le président:

Monsieur Motz, vous abusez de la patience du président.

M. Glen Motz:

Ont-ils également participé à sa révision, et ont-ils été consultés à cette étape?

Le président:

Monsieur Motz, s'il vous plaît.

M. Glen Motz:

C'est tout ce que je tente de savoir.

Le président:

Veuillez répondre brièvement, s'il vous plaît.

L'hon. Ralph Goodale:

Comme je l'ai dit, nous avons consulté un large éventail d'organismes pour obtenir leur contribution.

Je demanderais à M. Rigby de parler du nombre total d'organismes qui aident la communauté du renseignement au sein du gouvernement du Canada.

Je pense que lorsque les rédacteurs de ces documents ont utilisé les expressions dont vous venez de parler, leur intention était de cibler le champ d'intérêt, mais lorsque les membres du public ont vu ces expressions, ils ont abordé la situation à l'autre extrémité du spectre, et ils ont cru que la portée des critiques s'élargissait plutôt que de devenir plus précise. C'est le dilemme qui se pose dans ce cas-ci, lorsqu'il s'agit de trouver des mots exacts et précis tout en restant justes, afin de ne pas engendrer des conséquences imprévues.

Le président:

Nous devons nous arrêter ici.

La parole est maintenant à Mme Sahota. Elle a cinq minutes.

Mme Ruby Sahota:

J'aimerais faire le suivi de ce que disait ma collègue, Mme Dabrusin, plus tôt.

Dans la partie sur l'extrémisme de droite, on indique ceci: Il peut être difficile toutefois d'évaluer, à court terme, dans quelle mesure un acte donné était d'origine idéologique, ou de commenter pendant que les enquêtes suivent leur cours ou que les affaires sont devant les tribunaux.

Pour revenir sur l'une de mes questions précédentes, il a été mentionné que les enquêtes en cours étaient en évolution et que nous ne souhaitions pas qu'un complot se trame en sol canadien. Je suis tout à fait d'accord avec vous, c'est-à-dire que je ne voudrais jamais que ce qui s'est produit en 1985 se produise à nouveau en sol canadien. J'espère que vous appréhenderez les individus qui préparent un mauvais coup, car au bout du compte, ils ont parfois des répercussions indirectes, ou dans ce cas-ci des répercussions directes, sur l'ensemble d'une communauté. Je pense que nous serions tous outrés si n'importe quelle religion, par exemple le catholicisme ou le protestantisme, était associée à une organisation qui avait commis des actes que nous ne commettrions pas nous-mêmes. Toutefois, de ce point de vue, il semble qu'on manifeste un certain détachement, au départ, à l'égard d'autres religions qui ne sont pas d'origine occidentale.

En résumé, pourquoi ce discours nuancé, qui a été utilisé dans la partie sur l'extrémisme de droite, n'a-t-il pas été aussi utilisé dans les autres parties? Vous dites que les enquêtes en cours sont en constante évolution. Comment avez-vous la certitude qu'elles étaient poussées par une idéologie? On mentionne certainement ces exceptions dans la partie sur l'extrémisme de droite.

L'hon. Ralph Goodale:

David, pouvez-vous formuler des commentaires sur cette question?

M. David Vigneault:

Je ne suis pas l'auteur du rapport, et je ne peux donc pas formuler de commentaires sur les raisons pour lesquelles il a été écrit d'une certaine façon au bout du compte.

Toutefois, comme je l'ai mentionné plus tôt, je peux affirmer que le SCRS ne vise pas une religion en particulier. En effet, nous examinons les activités des individus. Si ces activités consistent à comploter en vue d'avoir recours à la violence pour atteindre des objectifs politiques, idéologiques ou religieux, nous mènerons une enquête.

Dans l'exemple de la Nouvelle-Zélande, l'individu responsable a invoqué cinq, six ou sept raisons différentes pour justifier son geste. Lorsqu'on commence à tenir compte de ce qui se passe en ligne et des troubles de santé mentale et d'autres facteurs, il peut être extrêmement ardu de déterminer le motif exact d'un individu. C'est la raison pour laquelle, lorsque nous travaillons dans le domaine de la sécurité nationale et que nos collègues des organismes d'application de la loi mènent leur enquête, nous ne savons pas toujours exactement à quoi nous avons affaire au début.

Je peux seulement parler des types d'enquêtes. Je ne peux pas me prononcer sur les raisons pour lesquelles ces remarques n'ont pas été appliquées aux autres communautés dans le rapport.

(1725)

Mme Ruby Sahota:

D'accord.

Le rapport a fait l'objet d'un grand scepticisme depuis sa publication. Dans le cadre de mon enquête et de mes discussions avec le ministre Goodale, j'ai appris qu'environ 17 organismes et ministères différents avaient contribué au rapport.

Je ne pense pas que nous ayons abordé ce chiffre.

L'hon. Ralph Goodale:

C'est à peu près exact.

Mme Ruby Sahota:

J'ai également appris que pendant la rédaction de ce rapport, aucune preuve n'est prise d'une seule source.

Est-il possible qu'une source unique fournisse toutes les allégations ou les preuves aux divers ministères et que lorsqu'un certain nombre de ministères disent tous la même chose, ces renseignements sont ajoutés au rapport? Quel est votre avis sur cette question?

M. Vincent Rigby:

Je demanderais à M. Vigneault de vous parler de certaines des sources liées au SCRS, mais je peux seulement répéter ce que vous venez de dire. Lorsque nous avons consulté ces 17 organismes et ministères qui forment l'étendue et la portée de la communauté du renseignement de sécurité, nous avons examiné toutes les sources.

Tout ce qui nous a été communiqué provenait de renseignements, de sources ouvertes et de consultations auprès d'universitaires. Ce que vous voyez dans le rapport est un portrait global de toutes les preuves, de tous les renseignements et de toutes les analyses qui proviennent de sources ouvertes sur l'ensemble du spectre.

Mme Ruby Sahota:

Pourrait-il s'agir de renseignements erronés fournis par un autre pays?

M. Vincent Rigby:

Qu'entendez-vous par des renseignements erronés?

Mme Ruby Sahota:

S'agit-il de renseignements vérifiés par nos propres organismes indépendants?

M. Vincent Rigby:

Je demanderais à M. Vigneault de répondre à cette question, mais il ne fait aucun doute que nous consultons régulièrement nos partenaires alliés, surtout ceux du Groupe des cinq, et nous examinons donc souvent les renseignements qu'ils nous fournissent.

Je devrais m'arrêter ici et laisser M. Vigneault poursuivre la discussion, mais nous ferons nos propres évaluations. Nous tiendrons certainement compte de l'opinion de nos alliés, mais au bout du compte, il s'agit d'une évaluation canadienne.

Le président:

M. Vigneault devra conclure très rapidement.

M. David Vigneault:

M. Rigby a très bien décrit la façon de procéder. Dans la première réponse que je vous ai donnée, madame Sahota, j'ai mentionné que c'était fondé sur nos propres enquêtes. Je tiens à préciser qu'il s'agissait d'enquêtes menées par le SCRS.

Le président:

J'aimerais remercier le ministre et ses collègues d'avoir assisté à la réunion d'aujourd'hui et d'avoir participé à une discussion approfondie sur cet enjeu.

Nous suspendrons la séance et nous nous réunirons ensuite à huis clos.

[La séance se poursuit à huis clos.]

Hansard Hansard

committee foss hansard secu 36325 words - whole entry and permanent link. Posted at 22:44 on May 13, 2019

2019-05-08 SECU 161

Standing Committee on Public Safety and National Security

(1615)

[English]

The Chair (Hon. John McKay (Scarborough—Guildwood, Lib.)):

Ladies and gentlemen, I call this meeting to order.

Again, I apologize to our witnesses for the interruptions, but both of you being sophisticated witnesses, you will know exactly what's going on here.

Colleagues, the likelihood is that we'll be interrupted again.

I propose to run the meeting to the next set of bells. Either at that time, or a little later if there's some interest in carrying on past the bells with unanimous consent, or before we all adjourn, I propose that we then move the motion as to whether we refer it back to the finance committee with or without recommendations or amendments.

With that, I think we will start and ask the officials for their opening statements. We'll watch the clock and hopefully get through some of the testimony and questions and answers.

Mr. Koops, are you going first?

Mr. Randall Koops (Director General, Policing Policy, Department of Public Safety and Emergency Preparedness):

Sure.

Good afternoon. I'm Randall Koops, the director general of policing and firearms policy at Public Safety Canada.[Translation]

I am accompanied by Jacques Talbot. He is a lawyer and legal counsel for the Department of Justice.[English]

We're happy to appear today to assist the committee in its examination of division 10 of part 4 of Bill C-97. This bill would make amendments to the Royal Canadian Mounted Police Act to establish in law a new management advisory board to advise the commissioner of the RCMP on the administration and management of the force.[Translation]

The bill sets out the Board's mandate, composition, administration, and other requirements.

In January 2019, the government accepted the recommendations contained in two reports on harassment at the RCMP: one from the Civilian Review and Complaints Commission for the RCMP, or CRCC, and the other from the former Auditor General of Canada, Sheila Fraser.

These reports, as others have before them, identified governance change as a necessary part of stamping out harassment within the ranks of the RCMP.

The government agreed and committed to establishing a management advisory board to guide the RCMP transformation agenda, which proposes major points of intervention for the government to reshape the foundations of the RCMP and orient it towards better long-term outcomes.

The proposed management advisory board would support the Commissioner of the RCMP in accomplishing her mandate commitment to lead the force through a period of transformation, to modernize it, and to reform its culture; in ensuring the sound overall management of the RCMP; in protecting the health and safety of RCMP employees; and in making sure that the RCMP delivers high-quality police services based on appropriate priorities, to keep Canadians safe and protect their civil liberties.[English]

The mandate of the board would be to advise the commissioner of the RCMP on the force's administration and management, including its human resources, management controls, corporate planning and budgets. The composition of the management advisory board would be up to 13 members, including a chairperson and a vice-chairperson appointed by the Governor in Council on a part-time basis for a period of no more than four years.

In selecting these members, the government has indicated that it will consider regional and gender diversity, reconciliation with indigenous peoples, and executive management skills, experiences and competencies, for example, human resources and labour relations, information technology, change management and innovation. The bill would permit the minister to consult provincial and territorial governments that have contracted the services of the RCMP about these appointments. Also, the bill sets out the grounds of ineligibility, most importantly to avoid real, potential or apparent conflicts of interest for board members.[Translation]

Regarding its operations, the management advisory board would be able to set its own priorities, work plans, and procedures. The Deputy Minister of Public Safety Canada and the Commissioner of the RCMP may attend all board meetings as observers, but will not vote.

To make certain that the board is able to advise on anything in its mandate, the RCMP will be obliged to provide the board with information it considers necessary. In addition, the board would be able to share with the minister any advice given to the commissioner. [English]

Most importantly, under this legislation the establishment of the management advisory board would not change the existing roles, responsibilities or accountabilities of the Minister of Public Safety and Emergency Preparedness, who will remain accountable to Parliament for the RCMP and retain the authority to direct the commissioner and to establish strategic priorities for the RCMP; of the commissioner of the RCMP, who will retain control and management of the force; nor of the existing RCMP review bodies and existing national security review bodies whose mandates will remain unchanged. Neither will it change the responsibilities of the Treasury Board, which will remain the RCMP's employer.

Bill C-7, which was assented to in 2017, provided for the unionization of RCMP members and reservists. This process is now under way. In C-7, Parliament has reaffirmed the Treasury Board as the force's employer and nothing in these amendments revisits Parliament's decision or disrupts those relationships.

The proposed legislation fully respects a fundamental principle of Canadian policing, which is that police independence underpins the rule of law. The board will not, in any way, impinge upon the independence of RCMP policing operations. It will not be authorized to ask for information that might hinder or compromise an investigation or a prosecution and personal information and cabinet confidences are also out of bounds.

Assuming the bill receives royal assent, the amendments will become effective on a date prescribed by the Governor in Council.

However, if the government creates an interim board in the meantime using its existing authorities under the Public Service Employment Act, then a transitional provision included here in Bill C-97 would continue the tenure of those appointments under the new provisions in the RCMP Act.

In conclusion, the commissioner of the RCMP has said that the creation of a management advisory board is a critical step to help modernize and support a diverse, healthy and effective RCMP. Bill C-97 would make that role permanent to support the current commissioner in her mandate commitment to lead the RCMP through a period of transformation and to support future commissioners in maintaining a force that is trusted by Canadians for its policing excellence.

(1620)



We would be happy to respond to any questions the committee may have.

The Chair:

Thank you, Mr. Koops.

Again, I'm conscious of our time limitations. My suggestion to colleagues would be that we do five minute rounds.

With that, we have Mr. Graham for five minutes, please.

Mr. David de Burgh Graham (Laurentides—Labelle, Lib.):

Mr. Koops, would advice from the board be in any way binding on the RCMP?

Mr. Randall Koops:

Not at all. The role of the board would be to support the commissioner by providing her with advice. The commissioner retains command and control of the RCMP under the direction of the minister and nothing in the bill would alter that relationship.

Mr. David de Burgh Graham:

What kind of experience is required for a board member to become a board member? What kind of training is provided to them once they're there?

Mr. Randall Koops:

Training would be a question that the RCMP and the board will want to discuss once the board is in place. I think it would be open to the board to have views on what kinds of training would be useful to them, both about police operations and about management. It would also be open to the RCMP to offer that to the board.

On your first question about qualifications, the minister has said that the qualifications that would be considered would include representative qualifications, for example, to reflect the diversity of Canada and geographic representation. Also, the membership that are being sought are folks who have significant experience in leading and guiding transformation in major national institutions.

Mr. David de Burgh Graham:

The proposed changes would provide the right for the board to proactively provide advice that is not necessarily solicited, is that correct?

Mr. Randall Koops:

That's correct. The bill would leave the board open to determine its own priorities and determine its own ways of working. We would foresee an arrangement similar to what would exist between many other advisory boards, or boards of management, and a deputy head, which is a healthy dialogue between the two about where advice would be necessary and welcome.

Mr. David de Burgh Graham:

What are some of the most pressing issues the board is looking at, or do you have sense of that? You mentioned harassment. Are there other things as well?

Mr. Randall Koops:

If we look at the government response to the CRCC and Fraser reports that was made public in January 2019, the things that the Minister of Public Safety highlighted included transparent and accountable governance structures, trusted harassment prevention and resolution mechanisms, the leadership development within the RCMP and the RCMP's enterprise-wide commitment to diversity and inclusion.

Mr. David de Burgh Graham:

On harassment, do you think this board will help restore confidence among the rank and file?

Mr. Randall Koops:

The board has a role to play in supporting the commissioner in ensuring that the HR practices that are in place within the RCMP build a healthy workforce and a safe workplace. It would provide the commissioner with guidance on the adequacy of any new arrangements and on adapting them, going forward.

I think, more broadly, the board can provide the commissioner with expertise and guidance on leading the kind of cultural transformation that needs to occur within the RCMP.

Mr. David de Burgh Graham:

You mentioned that board members would not have access to, for example, cabinet secrets. What level of access will they have?

Mr. Randall Koops:

The bill would provide that the RCMP would provide to the board whatever information the board believes is necessary for it to do its job. There's a positive obligation in the bill on the RCMP to provide that information, subject to a few constraints. Those would include, as we discussed, personal information, cabinet confidences and information related to ongoing law enforcement investigations or prosecutions.

Mr. David de Burgh Graham:

Thank you.

I'm going to pass the bit of time I have left to Sven.

Mr. Sven Spengemann (Mississauga—Lakeshore, Lib.):

Thank you very much, Mr. Graham.

(1625)

The Chair:

You have a little over a minute.

Mr. Sven Spengemann:

In practice, how would the dynamics unfold? I suspect there are a number of different ways to structure that board to create an overall vision of which direction the board should go in.

Should it be a board that has previous policing experience and connections, or should it be a board composed of laypersons who inject a completely fresh perspective, or is that up to the government of the day to decide?

Then, when the board makes recommendations and gives advice is there a reasons requirement? Is there some scrutiny that the RCMP would have to exercise to respond to those recommendations? What obligation is there to take on, at least, the thought process that the committee has developed?

Mr. Randall Koops:

On the first point, the government of the day would be open to selecting board members that it felt responded to the current needs of the board, given the kind of experience that was necessary to help the commissioner.

For your example of police experience, I think the minister has said that the government would look for some measure of police experience on the board, but it should probably be broader than just former police officers.

You will note that in the bill there is a provision that current members of the RCMP are ineligible, as are employees of provincial or municipal governments, so it will not be a board of serving police officers.

The board is free to provide advice to the commissioner in the form that it best sees fit. How they do that would be open to discussion between the board and the commissioner.

The deputy minister of public safety will serve as an ex officio member of the board and, in that sense, the minister is represented at the board, even when the minister is not present at the board.

The Chair:

Mr. Motz, you have five minutes.

Mr. Glen Motz (Medicine Hat—Cardston—Warner, CPC):

Thank you for being here today.

We know that there's a lot of oversight already with the RCMP, a lot of committees that they're involved in—the oversight committee, the review committee, their management committee, their committees related to security.

The challenges they face, as we know, are significant. It's unclear to me, and maybe to Canadians as well, how this new management committee is going to address those issues that face the RCMP.

One of the issues that I get in my riding is about being understaffed. I don't understand this—and I'm sure Canadians are going to be asking. How can the solution to the issues—severely understaffed rural detachments, poor communication, the lack of equipment, the internal harassment complaints that we continue to see repeatedly and the cultural challenges that they continue to face—be addressed by developing an advisory committee?

How do we see those issues being resolved with this new advisory committee?

Mr. Randall Koops:

I think what the government is doing in response to a long series of recommendations going back many years about the need to fix cultural problems in the RCMP, in part, is by changing the governance of the RCMP.

In this instance, what the government has proposed is a board that can give the commissioner advice about leading enterprise-wide change in that organization. That will result, over time, in better management decisions and a healthier workforce, all of which contribute, in the long run, to fixing the kinds of issues that you've identified as things that need—

Mr. Glen Motz:

You said, in response to my colleague's question, that the commissioner of the RCMP is not obligated to take any of the advice given by the advisory committee and implement it. Is that correct?

Mr. Randall Koops:

That's correct.

Mr. Glen Motz:

Are there repercussions if she doesn't?

Mr. Randall Koops:

That is a discussion between the commissioner and the board and the commissioner and the minister. What the government has proposed is that rather than create a board that has decision-making or directive power over the commissioner—

Mr. Glen Motz:

Straight advisory.

Mr. Randall Koops:

—it has given the commissioner of the RCMP, in her mandate letter, a very clear mandate to lead transformation of the RCMP—

Mr. Glen Motz:

No, that's true, and I—

Mr. Randall Koops:

—and then to equip her with the tools to support her in doing that.

Mr. Glen Motz:

Right, but having said that, what I find interesting is that this management advisory board has been asked to deal with these cultural issues, with the harassment. Internal harassment is one of those cultural issues that continue to be facing the RCMP. But as I hear what you say, and I see the legislation, the board doesn't have a direct mandate to deal with that issue specifically. I'm curious to know why that was silent.

(1630)

Mr. Randall Koops:

The board's mandate is not to fix those issues. The board's mandate is to give expert advice to the commissioner in her mandate to fix those issues.

Mr. Glen Motz:

Okay, so I chose the wrong words when I talked about fixing those problems. Still, if the mandate of the advisory committee is that we would like you to look at this specific issue, because it's a cultural issue that's occurred for decades within the organization and that it's something to focus on, I find it intriguing that this legislation is silent on that.

Mr. Randall Koops:

That's the choice the government of the day has made, to give that mandate very clearly to the commissioner and then to support her with tools to deliver on the mandate, rather than at this point upset or alter the existing relationships—

Mr. Glen Motz:

Okay. Fair enough.

Mr. Randall Koops:

—in relation to who is the employer and who has financial authorities, etc.

Mr. Glen Motz:

Obviously, you believe there are benefits to the development of creating this management board. Obviously, there are probably some disadvantages as well. Do you believe the work of the management advisory board will lead to improved governance, and if so, how?

Mr. Randall Koops:

As we said, the benefit comes to the commissioner in having a broader set of experts who can help her with very complex issues about a very complex national organization.

Mr. Glen Motz:

But that goes back to Mr. Graham's question about what the composition is of this advisory board. If you don't have a broad section of experts to do that...and “broad” means not just policing, but you need to have a policing context to fall back on.

Mr. Randall Koops:

Of course you do.

Mr. Glen Motz:

You need a legal framework. You need HR expertise. You need corporate experience for the management of such a big organization with that mandate. Is that the goal, that we will have that breadth of experience on this committee?

Mr. Randall Koops:

Very much so. Mr. Goodale has spoken publicly about the process under way to find the composition of a board that does those very things.

Mr. Glen Motz:

Non-partisan, I hope.

The Chair:

Thank you, Mr. Motz.

Mr. Dubé, you have five minutes, please. [Translation]

Mr. Matthew Dubé (Beloeil—Chambly, NDP):

Thank you, Mr. Chair.

Thank you, sir, for being here today.

You answered in the negative when you were asked if the RCMP had to implement the advice they receive or to respond to it.

As indicated in the bill, the board's mission is to act “on its own or following a request of the latter”, the latter being the commissioner. In theory, the RCMP is not obliged to consult the board, unless they decide to share information or unless the RCMP decides to proactively ask for any information, but not as a legal obligation. Is that correct? [English]

Mr. Randall Koops:

Or, in the third scenario, the Minister of Public Safety requests or directs the commissioner of the RCMP to seek the view of the management advisory committee. [Translation]

Mr. Matthew Dubé:

At the end of the day, neither side has a legal obligation to consult the board. [English]

Mr. Randall Koops:

Correct. [Translation]

Mr. Matthew Dubé:

Thank you.

I have another question for you. Maybe this is in your document and I did not see it. If that is the case, please forgive me.

Is there an obligation or a reporting mechanism, a public report that the minister or some other authority has to table, which would make the public and RCMP members aware of the advice that was given and the interactions that took place?

Mr. Randall Koops:

The answer is no, because the board's goal is to make recommendations to the commissioner, not to have a public role.[English]

It's not involved in the administration of a statute. It is not a review body. Parliament is not delegating to it the responsibility to administer a statute or carry out another role. Those are generally the things that attract the responsibility to make a public report. [Translation]

Mr. Matthew Dubé:

If RCMP members wished to lodge a human resources complaint based on the points in the board's mission that deal with human resources, they could do so by going through the union, as the situation evolved. Otherwise, they could go through the CRCC's other oversight mechanism. RCMP members have access to those mechanisms if ever they want to register a complaint.

Mr. Randall Koops:

That's right.

Mr. Matthew Dubé:

Okay.

Here are my last two questions. The management advisory board's mission is stated in paragraph 45.18(2) of the amended act. In paragraph 45.18(2)(a), you will find the implementation of transformation and modernization plans. In paragraph 45.18(2)(b), the effective and efficient use of resources; and in paragraph 45.18(2)(e), the development and the implementation of corporate and strategic plans.

Why were these terms chosen? This is all well and good for the current government, but it could also lead to workforce cuts or reductions that would have a harmful impact on the very employees that the board is apparently supposed to be championing.

(1635)

Mr. Jacques Talbot (Counsel, Department of Justice):

What is described here are the normal activities for any organization. The terminology is neutral and it applies to all organizations, be they departments, agencies or, in this case, the RCMP.

These are things that the RCMP is currently doing and will have to continue to do in 10 years and in 100 years.

Mr. Matthew Dubé:

So I understand that the board's mission will be set based on the objectives of the government in office, with the resources...

Mr. Jacques Talbot:

The board's mission will not change with time. It will have to notify and advise the commissioner based on the reality the commissioner will have to face.

Mr. Matthew Dubé:

It could be a financial or political reality, or some other kind.

Mr. Jacques Talbot:

That will depend on the government in place at that time.

Mr. Matthew Dubé:

Here is my last question.

We haven't yet had the opportunity to study Bill C-98 in depth, because it was tabled yesterday. Will it affect the section of the omnibus bill that we are currently studying? [English]

Mr. Randall Koops:

No. Nothing here would change the role of what's proposed in the following bill, or vice versa. [Translation]

Mr. Matthew Dubé:

Thank you. [English]

The Chair:

Thank you, Mr. Dubé.

Mr. Picard, please, for five minutes. [Translation]

Mr. Michel Picard (Montarville, Lib.):

Thank you, gentlemen, for taking part in this exercise.

Is it common practice for a government institution or agency to use advisory boards like this one?

Mr. Randall Koops:

Could I ask you to repeat the question, please?

Mr. Michel Picard:

Is it common practice for government institutions and independent agencies to use advisory boards as part of their management?

Mr. Randall Koops:

What is being proposed for the RCMP is indeed new. However, there are many advisory boards within the federal government.

Mr. Michel Picard:

Do any of the advisory boards include the minister or a minister's representative among their members?

Mr. Randall Koops:

No ministers, but there is often a representative, usually the deputy minister.

Mr. Michel Picard:

So we can conclude that, among the members selected, there will be a member of cabinet, either the deputy minister or a person representing the minister. Is that correct?

Mr. Jacques Talbot:

I want to point out that, in this case, it's a member who will not have the right to vote, so more of an observer than a member.

Mr. Michel Picard:

Does the presence of the minister, through a delegate, not add to the balance of power within the advisory board simply because of the minister's presence, given that the RCMP is still trying to have independent management?

Mr. Jacques Talbot:

In fact, observers will be available to board members to answer their questions, provide assistance and explain certain points or issues on which members are called upon to provide advice to the commissioner.

Mr. Michel Picard:

Okay.[English]

I'm done, Chair.[Translation]

Thank you. [English]

The Chair:

As colleagues know, the bells are ringing. I propose that we go for another 15 minutes, if that's all right with people. They are half-hour bells.

Up until about three seconds ago, I had thought that there were going to be no amendments or recommendations. Ms. Sahota has some recommendations, and I would like to give the committee some chance to at least absorb those recommendations and think about them, so we can continue with questioning and come back another day and do that, or we can look at these amendments.

I've been working on the assumption that the opposition doesn't have any amendments or recommendations.

Mr. Matthew Dubé:

I have one.

The Chair:

You have one?

Mr. Jim Eglinski (Yellowhead, CPC):

I'd rather deal with the questioning and come back to deal with the amendments on another day. Otherwise, we are being loaded down with everything again in a short period of time.

The Chair:

We don't have to report until May 17, so we do have time. It may require a special meeting, because we are chockablock for the next two meetings.

We'll go to the next round, and then we'll deal with amendments at some future date.

Is that good?

Are you fine with that, Mr. Dubé?

(1640)

Mr. Matthew Dubé:

I'm just wondering how many questions colleagues have left, or if we could use that time to get to the amendments.

Ms. Ruby Sahota (Brampton North, Lib.):

Yes.

The Chair:

Mr. Eglinski certainly wants....

Do you want to go, Ms. Sahota?

Ms. Ruby Sahota:

I wanted to speak to my suggestions in the motion.

After hearing from the witnesses, I think I have a fourth one to add from the floor, but we might be in agreement about what that fourth one is, because I'm actually picking it off of some of your questions, Mr. Motz.

The Chair:

Let's go with Mr. Eglinski, and we'll see whether anybody else has any other questions.

After Mr. Eglinski, we'll start discussing these and then we'll go from there.

Is that fine?

Mr. Matthew Dubé:

Yes.

The Chair:

Mr. Eglinski.

Mr. Jim Eglinski:

Thank you, and my thanks to both the witnesses.

In my past experience as an RCMP officer for 35 years, I think the majority of the membership would appreciate this committee, but I do have some concerns. The mandate of the board would be to advise the commissioner of the RCMP on the force's administration and management, including resources, management controls, corporate planning and budgets. What power would this committee have to advise the appropriate ministries within the government on funding for the RCMP?

They can make all the recommendations they want to the RCMP, but without the support of Treasury Board or the public safety minister's office to respect what they are saying to the commissioner and supporting the board on those recommendations.... I don't see anything in here saying that they have the authority to go back to the two ministries who are going to be responsible overall.

Mr. Randall Koops:

Ultimately, the board would give its advice to the commissioner. As foreseen, the commissioner, in turn, supported by that advice, can help make better decisions and present better business cases. If we take the example in (f),“the development and implementation of operating and capital budgets”, she has expertise available to her to present—

Mr. Jim Eglinski:

But the expertise is only as good as the support that that expertise gets if they pass the information on. I remember that when I was in a force, we were always within the top three salary-wise in Canada. Things drastically changed over the years, and now we're somewhere around 50—I don't know, I can't count that far, as I don't have enough fingers and toes—but we need the two relevant ministries to support the committee they want to form, and yet you have nothing in here saying that they're going to give that support to the committee.

They're going to make recommendations and then the commissioner is going to have to come back and fight with the public safety minister and the Treasury Board to get the funding.

Mr. Randall Koops:

The bill includes a provision that the management advisory board may also provide the minister with a copy of any advice that it is giving the commissioner. On those types of issues where there are large, difficult decisions being made—you used an example about capital budgeting and those kinds of things—the board may well see fit to share that advice with the minister to ensure that they also know the advice it has given the commissioner.

Mr. Jim Eglinski:

That's my main concern. I just wanted to hear it from you. I guess we have to wait to see what takes place.

Mr. Randall Koops:

The other provisions are, as we mentioned in response to a question from the other side, that the deputy minister is also present in the meetings of the board and therefore is aware and informed by the discussions and deliberations of the board.

Mr. Jim Eglinski:

I want to mention here on the record that one of the biggest problems facing the RCMP over the last 20 years has been funding and keeping up the resources to the level that they think they should be. They can't do that, though, because they don't have that funding. It all comes down to budgeting and putting the money where the best resources are.

Thank you, that's all I have for questions.

The Chair:

Thank you, Mr. Eglinski.

Does anyone on the government side have questions?

Mr. Motz, you can ask one or two questions. You have a couple of minutes, and that's it.

(1645)

Mr. Glen Motz:

Am I to assume that the members of this advisory board, certainly the chair and vice-chair, would be covered under the Government Employees Compensation Act, which would mean they would be paid?

Mr. Randall Koops:

All the members will be paid. They will be paid a per diem. That rate is fixed as part of the appointment process when the Governor in Council makes the appointment.

Mr. Glen Motz:

That includes the chair and the vice-chair. They're not getting a salary; they're just getting a per diem.

Mr. Randall Koops:

Correct. It's a part-time appointment, so they will be paid by the day, plus their travel expenses. In these types of arrangements, normally some degree of preparatory time or reading time will be paid.

Mr. Glen Motz:

Has the department determined approximately what this committee would cost annually?

Mr. Randall Koops:

The department has determined the cost of the committee at about, I believe, $1.6 million per year, $7 million over 5 years, and $1.6 million ongoing to be funded from within the existing reference levels of the RCMP.

Mr. Glen Motz:

So I guess our real crime issues, with being understaffed, are not going to be addressed that way. Anyway, redeploying some cash that could go elsewhere....

How long do you think it will take for this committee to be operational?

Mr. Randall Koops:

The minister said that he hopes to see the committee operational soon. In January the government announced its intent to proceed with the establishment of an interim arrangement to get the board up and running. I believe the minister said in a scrum yesterday that he expected it would be very soon.

Mr. Glen Motz:

Finally, do you think that a management advisory board will speed up the internal review process, the internal processes for resolving some of the matters when members have issues that need to be dealt with? Do you think that will speed up that whole process?

Mr. Randall Koops:

When members have complaints, the board does not sit to receive members' complaints.

The Chair:

We have to leave it there.

Mr. Randall Koops:

I didn't mean that they investigate complaints; I know they don't investigate complaints. I'm talking about fixing the systemic issues. The goal is to help the minister do that.

The Chair:

Mr. Spengemann now has one or two minutes.

Mr. Sven Spengemann:

A minute....

The Chair:

A minute is all you need. Okay.

Mr. Sven Spengemann:

This board has some size—up to 13 members—and presumably some diversity of views. Is it your expectation that the board will, or may, split on some key issues, and if so, how would they express dissenting views on those issues?

Mr. Randall Koops:

That would be very much up to the board to decide. The board will be free, under the proposed provisions, to determine its own procedures and its own method of working.

The Chair:

Thank you.

Ms. Sahota has three or four suggested amendments, since we're not amending a bill as such.

We have 19 minutes. I propose that we run this for five minutes, because the whip will have a heart attack if we don't leave within 15 minutes. Lock him up and we don't have a problem.

Some hon. members: Oh, oh!

The Chair: We'll run until 4:55.

Ms. Sahota has presented these amendments, but they're not in both official languages, so I can't distribute them. I'm going to have to have you read them into the record and make your arguments as to why you think these should be considered as suggested amendments.

Ms. Ruby Sahota:

This piece of legislation is really appreciated. The spirit of it is exactly what is appropriate. I just think it's a little vague.

I understand that perhaps that's been done so that the board will have the ability and flexibility to act differently when addressing different issues. However, I think some of the core things, which you mentioned in your opening remarks....

I'll just read out my proposals and then I'll explain them: The Standing Committee on Public Safety and National Security recommends that the Standing Committee on Finance consider amending Division 10 on the Budget Implementation Act to: 1. Require full reports prepared by the Management Advisory Board, per 45.18 (3), to be automatically provided to the Minister;

In the legislation, it says that they “may” provide them, so this is more of a “shall”. I know that the minister receives a lot of reports, but I think it's important, especially if it's an official report, for him or her to be seized of the issue moving forward. That's been recommended. I further propose: 2. encourage diverse representation on future iterations of the Management Advisory Board, including but not limited to women, Indigenous persons, persons with disabilities, members of the LGBTQ+ community and members of visible minorities; and 3. require that Gender-Based Analysis+, or any future program that may reasonably be viewed as its successor, be incorporated into the Management Advisory Board's work.

Number four is on the fly. After our discussion today, I'm thinking that the mandate of the advisory board lacks any specific mention of harassment and cultural change. I think that should be encompassed in proposed paragraph 45.18(2)(a) of the mandate, but it's very vague. I would recommend that the finance committee figure out what language they want to use, but specifically mention that is the transformation or a part of the modernization plans.

Although you've mentioned in your introductory remarks that they are trying to achieve regional diversity—all of those different things—it's not actually stated in the legislation. This government may intend to make appointments based on that—or the council—but that might not be the case in the future. I think putting that language in would make the person who needs to make appointments aware that he or she must make sure that the board comprises all of those factors.

I haven't listed if there needs to any kind of mandated specific.... What's the word I'm looking for?

(1650)

Mr. Glen Motz:

Quota.

Ms. Ruby Sahota:

Quotas or anything like that. They should be viewing it from that perspective, that there should be as much diversity as possible, so that the recommendations that are made are good, right? The work that's done by a more diverse board would be good.

Those are my recommendations to the finance committee.

Is there any discussion by any members?

The Chair:

In the two or three minutes that we have left, is there any commentary, either from the officials or from members of the opposition parties?

Mr. Glen Motz:

I would think that the composition of any board, any management committee, any commission, would be on merit, based on the competency skills you're looking for to do the job of whatever they're asked to do. That should be the number one requisite.

Ms. Ruby Sahota:

That's not mentioned here either. I would think that anyone they select would be merit-based, of course. That's a given.

The Chair:

Do you want to move that as an amendment, Mr. Motz?

Mr. Glen Motz:

Sure, so moved.

Ms. Ruby Sahota:

Sure.

The Chair:

You didn't mention anything about religious communities.

Ms. Ruby Sahota:

No.

Basically, number 2 is saying that I encourage diverse representation on future management advisory boards: “including but not limited to”. It's just throwing out some ideas basically, of gender, of minorities, those with disabilities. It's not limited.

Mr. Jim Eglinski:

Why do you have to break it down? Why can't it just be “diverse”?

Ms. Ruby Sahota:

I think that word could be taken in different ways. It could mean diversity of opinions. I think giving a few examples sets the readers'.... The finance committee would know better what I'm speaking of.

The Chair:

Unfortunately, I have to bring this to a conclusion, since we're under 15 minutes, and we are always concerned about the health and welfare of our whip.

We're going to have to bring this up again, because I'm assuming—

Mr. David de Burgh Graham:

Are we coming back after the vote?

The Chair:

I'm assuming there's still wish to discuss this further before we write the letter.

With that, I think we are going to have to adjourn. We'll have to figure out a time to bring it back. Thank you very much.

The meeting is adjourned.

Comité permanent de la sécurité publique et nationale

(1615)

[Traduction]

Le président (L'hon. John McKay (Scarborough—Guildwood, Lib.)):

Mesdames et messieurs, je déclare la séance ouverte.

Encore une fois, je fais mes excuses aux témoins pour les interruptions, mais comme vous êtes tous deux des témoins bien informés, vous savez nettement de quoi il retourne, ici.

Chers collègues, il est très probable que nous soyons à nouveau interrompus.

Je propose de poursuivre la réunion jusqu'au prochain appel à voter. À ce moment-là, ou peut-être un peu après si vous voulez poursuivre, avec le consentement unanime des membres du Comité, ou avant la levée de la séance, je propose qu'une motion soit présentée pour le renvoi au comité des finances, avec ou sans recommandations ou amendements.

Là-dessus, nous allons commencer en invitant les témoins à faire leurs déclarations liminaires. Nous surveillons l'heure et espérons avoir le temps d'entendre les témoignages et de poser quelques questions.

Monsieur Koops, voulez-vous être le premier?

M. Randall Koops (directeur général, Politiques en matière de police, ministère de la Sécurité publique et de la Protection civile):

Certainement.

Bonjour. Je suis Randall Koops, directeur général, Politiques en matière de police et d'armes à feu, au ministère de la Sécurité publique et de la Protection civile.[Français]Je suis accompagné de M. Jacques Talbot, avocat et conseiller juridique du ministère de la Justice.[Traduction]

Nous sommes heureux d'être parmi vous aujourd'hui pour aider le Comité dans son examen de la section 10 de la partie 4 du projet de loi C-97. Ce projet de loi modifierait la Loi sur la Gendarmerie royale du Canada afin d'établir en droit un nouveau conseil consultatif de gestion qui guiderait le commissaire de la Gendarmerie royale du Canada relativement à l'administration et à la gestion de la gendarmerie.[Français]

Le projet de loi présente le mandat, la composition, l'administration et d'autres exigences du Comité.

En janvier 2019, le gouvernement a accepté les recommandations présentées dans deux rapports sur le harcèlement à la GRC: celui de la Commission civile d'examen et de traitement des plaintes relatives à la GRC, ou CCETP, et celui de l'ancienne vérificatrice générale du Canada, Mme Sheila Fraser.

Ces rapports, tout comme d'autres présentés avant eux, ont mis en évidence qu'un changement de gouvernance était nécessaire pour éradiquer le harcèlement dans les rangs de la GRC.

Le gouvernement s'est dit d'accord et s'est engagé à mettre en place un conseil consultatif de gestion afin d'orienter le programme de transformation de la GRC proposant d'importants points d'intervention qui permettront au gouvernement de restructurer les fondements de la GRC et de l'orienter vers l'atteinte de meilleurs résultats à long terme.

Le conseil consultatif de gestion proposé aiderait la commissaire de la GRC: à accomplir l'engagement de son mandat à diriger la Gendarmerie pendant sa transformation, à la moderniser et à réformer sa culture; à assurer une saine gestion globale de la GRC; à protéger la santé et la sécurité des employés de la GRC; et à s'assurer que la GRC fournit des services de police de haute qualité, fondés sur les bonnes priorités, tout en assurant la sécurité des Canadiens et en protégeant leurs libertés civiles.[Traduction]

Le mandat du Conseil serait de conseiller le commissaire de la GRC relativement à l'administration et à la gestion de la gendarmerie, y compris ses ressources humaines, ses contrôles de gestion, sa planification organisationnelle et ses budgets. Le Conseil consultatif de gestion se composerait d'un nombre maximal de 13 membres, y compris un président et un vice-président, nommés par le gouverneur en conseil à temps partiel pour une période d'au plus quatre ans.

Le gouvernement a indiqué que la sélection de ces membres reposerait notamment sur la diversité régionale et de genre, la réconciliation avec les peuples autochtones, les habiletés, l'expérience et les compétences en gestion du niveau de la haute direction, par exemple, les ressources humaines et les relations de travail, la technologie de l'information, la gestion du changement et l'innovation. Le projet de loi permettrait au ministre de consulter les gouvernements provinciaux et territoriaux qui ont fait appel aux services de la GRC relativement aux nominations. Le projet de loi énonce également les qualités requises des membres, surtout pour éviter des conflits d'intérêts réels, possibles ou apparents pour les membres.[Français]

En ce qui a trait à ses opérations, le conseil consultatif de gestion établirait ses propres priorités, plans de travail et procédures. Le sous-ministre de Sécurité publique Canada et le commissaire de la GRC peuvent assister à toutes les réunions du conseil à titre d'observateurs, mais ils n'ont pas de droit de vote.

Afin que le conseil soit en mesure de fournir des conseils sur tous les éléments qui touchent à son mandat, la GRC fournira au conseil les informations que ce dernier estime nécessaires. De plus, le conseil pourrait communiquer au ministre les conseils fournis à la commissaire.[Traduction]

Il importe de noter que, au titre de cette loi, la constitution du Conseil consultatif de gestion ne changerait pas les rôles, responsabilités ou obligations de rendre compte actuels du ministre de la Sécurité publique et de la Protection civile, qui demeure responsable de la GRC devant le Parlement et conservera le pouvoir de diriger le commissaire et d'établir les priorités stratégiques pour la GRC; du commissaire de la GRC qui conservera le contrôle et la gestion de la gendarmerie; des organismes existants d'examen de la GRC et des organismes existants d'examen des activités de sécurité nationale, dont les mandats resteront les mêmes; et du Conseil du Trésor qui demeurera l'employeur de la GRC.

Le projet de loi C-7, qui a reçu la sanction royale en 2017, prévoyait la syndicalisation des membres et des réservistes de la GRC, processus actuellement en cours. Dans le projet de loi C-7, le Parlement a réaffirmé que le Conseil du Trésor était l'employeur de la gendarmerie. Les modifications proposées ne reviennent pas sur la décision du Parlement ou ne perturbent pas ces relations.

La loi proposée respecte entièrement un principe fondamental des services de la police du Canada — l'indépendance de la police est à la base de la primauté du droit. Le conseil ne portera atteinte d'aucune façon à l'indépendance des opérations policières de la GRC. Il ne sera pas autorisé à demander des informations qui pourraient entraver ou compromettre une enquête ou une poursuite. Il n'a pas non plus accès aux renseignements personnels et aux documents confidentiels du Cabinet.

Si le projet de loi reçoit la sanction royale, les modifications entreront en vigueur à la date prévue par le gouverneur en conseil.

Si, entre-temps, le gouvernement crée un conseil intérimaire grâce au pouvoir conféré par la Loi sur l'emploi dans la fonction publique, une disposition transitoire dans le projet de loi C-97 maintiendrait le mandat de ces nominations au titre des nouvelles dispositions de la Loi sur la GRC.

En conclusion, la commissaire de la GRC a indiqué que la création d'un conseil consultatif de gestion est une étape essentielle pour la modernisation et le soutien d'une GRC diversifiée, saine et efficace. Le projet de loi C-97 rendrait ce rôle permanent afin de soutenir la commissaire actuelle dans son engagement à diriger la GRC pendant une période de transformation et afin d'aider les prochains commissaires à maintenir une gendarmerie en laquelle les Canadiens ont confiance pour l'excellence de ses services de police.

(1620)



Nous serons heureux de répondre aux questions du Comité.

Le président:

Merci, monsieur Koops.

Encore une fois, je suis conscient de nos limites de temps. Je suggère à mes collègues que nous fassions des séries de questions de cinq minutes.

Sur ce, monsieur Graham, vous disposez de cinq minutes.

M. David de Burgh Graham (Laurentides—Labelle, Lib.):

Monsieur Koops, les conseils du conseil consultatif lieraient-ils de quelque façon la GRC?

M. Randall Koops:

Non. Pas du tout. Le rôle du conseil serait d'appuyer la commissaire en lui fournissant des conseils. La commissaire conserve le commandement et le contrôle de la GRC sous la direction du ministre et rien dans ce projet de loi ne changerait cette relation.

M. David de Burgh Graham:

Quel genre d'expérience est requis pour qu'un membre du conseil devienne membre du conseil? Quel genre de formation leur est offert une fois qu'ils sont en poste?

M. Randall Koops:

La GRC et le conseil voudront discuter de la question de la formation une fois que le conseil sera mis sur pied. Je pense qu'il serait libre au conseil d'obtenir des points de vue sur les types de formation qui pourraient leur être utiles, tant en ce qui concerne les opérations policières que la gestion. La GRC pourrait également en offrir au conseil.

En ce qui concerne votre première question au sujet des qualifications, le ministre a dit que les qualifications qui devraient être prises en considération comprendraient des qualifications représentatives, pour, par exemple, refléter la diversité du Canada et la représentation géographique. De plus, les membres recherchés sont des gens qui ont une expérience significative de la direction et de l'orientation des projets de transformation dans de grandes institutions nationales.

M. David de Burgh Graham:

Les modifications proposées donneraient au conseil le droit de fournir de façon proactive des conseils qui ne sont pas nécessairement sollicités, n'est-ce pas?

M. Randall Koops:

C'est exact. Le projet de loi permettrait au conseil consultatif de déterminer ses propres priorités et ses propres méthodes de travail. Nous prévoyons une entente semblable à celle qui existe entre nombre d'autres conseils consultatifs ou de gestion et un administrateur général, c'est-à-dire un dialogue sain entre les deux au cas où des conseils seraient nécessaires et bienvenus.

M. David de Burgh Graham:

Avez-vous une idée des enjeux les plus urgents sur lesquels le conseil consultatif doit se pencher? Vous avez parlé, entre autres, de harcèlement. Y a-t-il d'autres enjeux?

M. Randall Koops:

En examinant la réponse du gouvernement aux rapports de la Commission civile d'examen et de traitement des plaintes relatives à la GRC et au rapport Fraser rendus publics en janvier 2019, nous voyons que le ministre de la Sécurité publique a souligné les éléments suivants: des structures de gouvernance transparentes et responsables, des mécanismes fiables de prévention et de règlement du harcèlement, le perfectionnement du leadership au sein de la GRC et l'engagement de la GRC envers la diversité et l'inclusion à l'échelle organisationnelle.

M. David de Burgh Graham:

En ce qui concerne le harcèlement, pensez-vous que ce conseil consultatif aidera à rétablir la confiance des membres ordinaires?

M. Randall Koops:

Le conseil doit aider la commissaire à s'assurer que les pratiques de ressources humaines en place à la GRC favorisent un effectif en santé et un milieu de travail sécuritaire. Il fournirait des conseils à la commissaire sur la pertinence de tout nouvel arrangement et sur la façon de les adapter à l'avenir.

De façon plus générale, je crois que le conseil peut fournir à la commissaire l'expertise et les conseils dont elle a besoin pour mener le genre de transformation culturelle qui doit avoir lieu au sein de la GRC.

M. David de Burgh Graham:

Vous avez dit que les membres du conseil consultatif n'auraient pas accès aux secrets du Cabinet, par exemple. Quel niveau d'accès auront-ils?

M. Randall Koops:

Le projet de loi prévoit que la GRC fournirait au conseil les renseignements qu'il estime nécessaires pour exercer son mandat. Le projet de loi oblige la GRC à fournir ces renseignements, sous réserve de certaines limites. Comme nous l'avons mentionné, cela comprendrait les renseignements personnels, les documents confidentiels du Cabinet et les renseignements liés aux enquêtes ou aux poursuites en cours des forces de l'ordre.

M. David de Burgh Graham:

Merci.

Je vais partager le reste de mon temps de parole avec Sven.

M. Sven Spengemann (Mississauga—Lakeshore, Lib.):

Merci beaucoup, monsieur Graham.

(1625)

Le président:

Vous disposez d'un peu plus d'une minute.

M. Sven Spengemann:

Quelle serait la dynamique concrètement? Je présume qu'il existe un certain nombre de façons différentes de structurer ce conseil, afin de créer une vision d'ensemble de l'orientation qu'il devrait prendre.

Devrait-il s'agir d'un conseil qui a de l'expérience et des liens avec les forces de l'ordre, ou alors d'un conseil composé de profanes qui apporteraient un point de vue tout à fait nouveau? Cette décision relève-t-elle du gouvernement en place?

De plus, lorsque le conseil fait des recommandations et donne des conseils, doit-il s'expliquer? La GRC devra-t-elle exercer un examen minutieux pour donner suite à ces recommandations? Quelle est l'obligation de suivre à tout le moins le processus de réflexion qui a été élaboré par le comité?

M. Randall Koops:

En ce qui concerne le premier point, le gouvernement en place serait disposé à choisir les membres du conseil qui, à son avis, répondraient aux besoins actuels, compte tenu de l'expérience nécessaire pour aider la commissaire.

Au sujet de l'expérience policière, je pense que le ministre a mentionné que le gouvernement aimerait que le conseil puisse compter sur une certaine expérience policière, mais pas seulement celle d'anciens policiers.

Vous remarquerez que le projet de loi contient une disposition selon laquelle les membres actuels de la GRC ne sont pas admissibles, tout comme les employés des gouvernements provinciaux ou municipaux, de sorte que le conseil ne devienne pas un conseil de policiers en service.

Le conseil est libre de donner des conseils à la commissaire de la manière qu'il juge la plus appropriée. La prestation de conseils pourrait faire l'objet d'une discussion entre le conseil et la commissaire.

Le sous-ministre de la Sécurité publique sera membre d'office du conseil et, en ce sens, le ministre sera représenté au conseil même lorsqu'il est absent.

Le président:

Monsieur Motz, vous disposez de cinq minutes.

M. Glen Motz (Medicine Hat—Cardston—Warner, PCC):

Merci de votre présence.

Nous savons qu'il y a déjà beaucoup de surveillance à la GRC, beaucoup de comités auxquels elle participe, notamment le comité de surveillance, le comité d'examen, le comité de gestion et les comités sur la sécurité.

Comme nous le savons, les défis qu'elle doit relever sont importants. J'ai du mal à comprendre, et peut-être que les Canadiens sont dans la même impasse que moi, comment ce nouveau comité de gestion va s'attaquer aux problèmes auxquels fait face la GRC.

L'un des problèmes qui se posent dans ma circonscription, c'est le manque de personnel. Je ne comprends pas cela, et je suis certain que les Canadiens vont poser la question. Comment la solution aux problèmes, soit le manque de personnel criant dans les détachements ruraux, le manque de communication, le manque d'équipement, les plaintes de harcèlement interne que nous continuons de voir encore et encore et les problèmes culturels auxquels on continue de se heurter, peut-elle se limiter à la création d'un comité consultatif?

Comment ce nouveau comité consultatif va-t-il régler ces problèmes?

M. Randall Koops:

Après une longue série de recommandations qui remontent à de nombreuses années au sujet de la nécessité de régler les problèmes culturels à la GRC, je pense que le gouvernement réagit notamment en modifiant la gouvernance de la GRC.

En l'occurrence, le gouvernement a proposé la création d'un conseil qui pourrait conseiller actuellement la commissaire sur la façon de diriger le changement à l'échelle de l'organisation. Il en résultera, avec le temps, de meilleures décisions de gestion et un personnel en meilleure santé, ce qui contribuera, à long terme, à régler les types de problèmes que vous avez mentionnés comme ayant besoin de...

M. Glen Motz:

Vous avez dit, en réponse à la question de mon collègue, que la commissaire de la GRC n'était pas obligée de suivre les conseils donnés par le conseil consultatif et de les appliquer. Est-ce que c'est exact?

M. Randall Koops:

C'est exact.

M. Glen Motz:

Y aura-t-il des répercussions si elle ne le fait?

M. Randall Koops:

Il s'agit d'une discussion entre la commissaire et le conseil et entre la commissaire et le ministre. Ce que le gouvernement a proposé, c'est qu'au lieu de créer un conseil qui aurait un pouvoir décisionnel ou directif sur la commissaire...

M. Glen Motz:

Il ne s'agirait que de conseils.

M. Randall Koops:

... on a donné à la commissaire de la GRC, dans sa lettre de mandat, un mandat très clair pour diriger la transformation de la GRC...

M. Glen Motz:

Non, c'est vrai, et je...

M. Randall Koops:

... et de lui donner les outils nécessaires pour l'aider à le faire.

M. Glen Motz:

C'est vrai, mais cela dit, ce que je trouve intéressant, c'est qu'on a demandé à ce conseil consultatif de s'occuper de questions culturelles, du harcèlement. Le harcèlement à l'interne est un des problèmes culturels auquel la GRC continue de faire face. Mais d'après ce que vous dites, et je vois le contenu du projet de loi, le conseil n'a pas le mandat direct de s'occuper de cette question en particulier. Je serais curieux de savoir pourquoi cela n'a pas été abordé.

(1630)

M. Randall Koops:

Le conseil n'a pas le mandat de régler ces problèmes, mais plutôt de donner des conseils d'experts à la commissaire qui est chargée de régler ces problèmes.

M. Glen Motz:

D'accord, j'ai mal choisi mes mots en parlant des solutions à apporter. Il n'en demeure pas moins que le comité consultatif doit examiner cet enjeu culturel précis qui sévit depuis des dizaines d'années au sein de l'organisation. Je trouve intrigant que le projet de loi n'en fasse aucune mention.

M. Randall Koops:

Le gouvernement a choisi de confier très clairement ce mandat à la commissaire et de lui donner ensuite les ressources nécessaires pour l'accomplir, au lieu de perturber ou de modifier les relations actuelles...

M. Glen Motz:

D'accord, je comprends.

M. Randall Koops:

... entre l'employeur et qui détient les pouvoirs financiers, etc.

M. Glen Motz:

Vous croyez évidemment que la mise sur pied de ce conseil de gestion entraîne des avantages. Mais cela doit fort probablement présenter des désavantages aussi. Le cas échéant, quels seraient les avantages qu'apporterait le travail du conseil consultatif de gestion en matière de gouvernance?

M. Randall Koops:

Comme nous l'avons dit, l'avantage vient du groupe plus vaste d'experts sur lequel la commissaire peut compter afin de régler des problèmes très complexes au sein d'une organisation nationale très complexe.

M. Glen Motz:

Mais on en revient à la question de M. Graham sur la composition du conseil. Si le conseil ne jouit pas d'un vaste groupe d'experts pour réaliser son travail... et en parlant de « vaste » groupe, il n'est pas question que d'experts en service policier, mais le conseil doit pouvoir compter sur une expertise dans ce domaine.

M. Randall Koops:

Bien sûr.

M. Glen Motz:

Vous avez besoin d'un cadre juridique. Vous avez besoin d'expertise en ressources humaines. Vous avez besoin d'expérience organisationnelle pour la gestion d'une aussi grande organisation ayant ce mandat. Le but est-il qu'une telle diversité d'expérience soit représentée dans ce comité?

M. Randall Koops:

Tout à fait. M. Goodale a parlé publiquement du processus en cours visant à établir la composition d'un conseil qui englobe tout cela.

M. Glen Motz:

J'espère que ce sera non partisan.

Le président:

Merci, monsieur Motz.

Monsieur Dubé, vous avez cinq minutes. [Français]

M. Matthew Dubé (Beloeil—Chambly, NPD):

Merci, monsieur le président.

Monsieur, je vous remercie d'être ici aujourd'hui.

Vous avez répondu par la négative quand on vous a demandé si la GRC allait avoir l'obligation de mettre en oeuvre les conseils donnés ou d'y répondre.

Le projet de loi dit que la mission du conseil est d'agir « de sa propre initiative ou à la demande de ce dernier », ce dernier étant la commissaire. En principe, la GRC n'a donc pas l'obligation de consulter le conseil, à moins que le celui-ci décide de fournir des informations ou que la GRC décide de façon proactive, et non en vertu d'une obligation légale, d'en demander. Est-ce exact? [Traduction]

M. Randall Koops:

Ou, dans un troisième scénario, le ministre de la Sécurité publique demande ou ordonne à la commissaire de la GRC d'obtenir le point de vue du comité consultatif de gestion. [Français]

M. Matthew Dubé:

Au bout du compte, il n'y a aucune obligation légale de consulter le conseil, d'un côté comme de l'autre. [Traduction]

M. Randall Koops:

C'est exact. [Français]

M. Matthew Dubé:

Merci.

J'ai une autre question à vous poser. Il se peut que ce soit dans votre document et que je ne l'aie pas vu. Si c'est le cas, j'espère que vous me pardonnerez.

Existe-t-il une obligation ou un mécanisme de rapport, donc un rapport public, qui serait déposé par la ministre ou par une autre instance, qui permettrait au public et aux membres de la GRC d'être au courant des conseils qui ont été donnés et des interactions?

M. Randall Koops:

La réponse est non, parce que le but du conseil est de fournir des recommandations à la commissaire, et non d'avoir un rôle public.[Traduction]

Il ne participe pas à l'administration d'une loi. Il ne s'agit pas d'un organisme de surveillance. Le Parlement ne lui délègue pas la responsabilité d'appliquer une loi ou de jouer un autre rôle. Voilà généralement des éléments qui mènent à la responsabilité de déposer un rapport public. [Français]

M. Matthew Dubé:

Si un membre de la GRC avait une plainte à déposer quant aux éléments énumérés dans la mission du conseil qui concernent les ressources humaines, il pourrait donc le faire en passant par le syndicat selon l'évolution de la situation, sinon, il pourrait le faire en passant par l'autre mécanisme de surveillance à la CCETP. Ce sont les mécanismes qu'un membre de la GRC pourrait utiliser advenant le cas où il voudrait formuler une plainte.

M. Randall Koops:

C'est bien cela.

M. Matthew Dubé:

D'accord.

Voici mes deux dernières questions. La mission du conseil consultatif de gestion se trouve au paragraphe 45.18(2) de la loi modifiée. À l'alinéa 45.18(2)a), on retrouve la mise en œuvre de plans de modernisation et de transformation; à l'alinéa 45.18(2)b), l'utilisation efficace et efficiente des ressources; et à l'alinéa 45.18(2)e), l'élaboration et de la mise en œuvre de plans organisationnels et stratégiques.

Pourquoi a-t-on choisi ces termes? C'est bien beau dans le cas du gouvernement actuel, mais cela pourrait aussi signifier l'implantation de compressions ou de réductions d'effectifs qui auraient un impact néfaste pour les mêmes employés que le conseil est censé défendre en principe.

(1635)

M. Jacques Talbot (conseiller juridique, ministère de la Justice):

Ce que l'on décrit ici, ce sont les activités normales de toute organisation. C'est une terminologie qui est neutre et qui s'applique à toute organisation, qu'il s'agisse d'un ministère ou d'une agence, la GRC dans ce cas-ci.

Ce sont des choses que la GRC fait actuellement et qu'elle devra faire dans 10 ans et dans une centaine d'années.

M. Matthew Dubé:

Je comprends donc que la mission du conseil s'établira en fonction des objectifs du gouvernement du jour, avec les ressources...

M. Jacques Talbot:

La mission du conseil ne changera pas avec les années. Il devra toujours aviser et conseiller le commissaire en fonction de la réalité à laquelle le commissaire devra faire face.

M. Matthew Dubé:

Ce pourrait être une réalité politique financière ou autre.

M. Jacques Talbot:

Ce sera en fonction du gouvernement qui sera en place à ce moment-là.

M. Matthew Dubé:

Voici ma dernière question.

Le projet de loi C-98, que nous n'avons pas eu encore la chance d'examiner en profondeur parce qu'il a été déposé hier, aura-t-il une incidence sur cette section du projet de loi omnibus que nous étudions actuellement? [Traduction]

M. Randall Koops:

Non. Rien dans ce projet de loi ne change le rôle de ce qui est proposé dans le projet de loi à l'étude, ou vice versa. [Français]

M. Matthew Dubé:

Je vous remercie. [Traduction]

Le président:

Merci, monsieur Dubé.

Monsieur Picard, vous avec cinq minutes. [Français]

M. Michel Picard (Montarville, Lib.):

Je vous remercie, messieurs, de vous prêter à cet exercice.

Est-il de pratique courante qu'une institution gouvernementale ou une agence ait recours à des conseils consultatifs comme celui-là?

M. Randall Koops:

Puis-je vous demander de répéter votre question, s'il vous plaît?

M. Michel Picard:

Est-il de pratique courante que les institutions gouvernementales et les agences indépendantes aient recours à des conseils consultatifs dans le cadre de leur gestion?

M. Randall Koops:

Ce que l'on propose pour la GRC est effectivement nouveau. Cependant, il existe beaucoup de conseils consultatifs au sein du fédéral.

M. Michel Picard:

Est-ce que les conseils consultatifs, quels qu'ils soient, comptent le ministre ou un de ses représentants parmi leurs membres?

M. Randall Koops:

Il n'y a pas de ministre, mais il y a souvent un de ses représentants; normalement, c'est le sous-ministre.

M. Michel Picard:

On peut donc conclure que, dans ce conseil consultatif, parmi les membres qui seront choisis, on retrouvera un membre du cabinet, soit le sous-ministre ou une personne représentant le ministre. Est-ce bien cela?

M. Jacques Talbot:

Je veux attirer votre attention sur le fait que, dans ce cas, il s'agit d'un membre qui n'aura pas de droit de vote. C'est plutôt un observateur qu'un membre.

M. Michel Picard:

La présence du ministre, par l'intermédiaire d'un délégué, ne vient-elle pas ajouter au rapport de force qui se joue à l'intérieur du conseil consultatif du simple fait de sa présence, étant donné que la GRC essaie quand même d'avoir une gestion indépendante?

M. Jacques Talbot:

En fait, les observateurs seront à la disposition des membres du conseil pour répondre à leurs questions, pour fournir une assistance et pour expliquer certains points ou certaines questions sur lesquels les membres sont appelés à fournir des avis au commissaire.

M. Michel Picard:

D'accord.[Traduction]

Monsieur le président, j'ai terminé.[Français]

Je vous remercie. [Traduction]

Le président:

Comme mes collègues le savent, la sonnerie retentit. Je propose qu'on poursuive pendant encore 15 minutes si cela vous va. Il s'agit d'une sonnerie d'appel d'une demi-heure.

Jusqu'à il y a quelques instants, je ne croyais pas que des amendements ou des recommandations seraient présentés. Mme Sahota a quelques recommandations à formuler, et j'aimerais donner au comité l'occasion de prendre connaissance de ces recommandations et d'y penser afin qu'on puisse poursuivre avec les questions et y revenir un autre jour, ou on peut étudier les amendements.

Je suppose que l'opposition n'a pas d'amendements ou de recommandations à présenter.

M. Matthew Dubé:

J'en ai un.

Le président:

Vous en avez un?

M. Jim Eglinski (Yellowhead, PCC):

J’aimerais mieux que nous terminions les questions et que nous nous occupions des amendements un autre jour. Sinon, nous allons encore essayer de tout faire en peu de temps.

Le président:

Nous avons jusqu'au 17 mai pour produire le rapport, donc nous avons du temps. Il faudra peut-être tenir une réunion spéciale, parce que notre horaire est totalement plein pour les deux prochaines réunions.

Nous allons passer aux prochaines questions, et nous nous occuperons des amendements un autre jour.

Êtes-vous d'accord?

Ça vous va, monsieur Dubé?

(1640)

M. Matthew Dubé:

Je me demandais combien de questions ont encore les collègues, ou si on pouvait utiliser ce temps pour examiner les amendements.

Mme Ruby Sahota (Brampton-Nord, Lib.):

Oui.

Le président:

M. Eglinski veut certainement...

Voulez-vous prendre la parole, madame Sahota?

Mme Ruby Sahota:

Je voulais parler de mes suggestions dans la motion.

Après avoir entendu les témoins, je pense avoir une quatrième recommandation, mais nous allons peut-être nous entendre sur celle-ci, puisqu'elle découle de certaines de vos questions, monsieur Motz.

Le président:

Passons à M. Eglinski, et puis on verra s'il y a d'autres questions.

Après M. Eglinski, nous allons discuter des amendements et on verra ensuite.

Est-ce que ça vous va?

M. Matthew Dubé:

Oui.

Le président:

Monsieur Eglinski.

M. Jim Eglinski:

Je vous remercie, et je remercie également nos deux témoins.

D'après mes 35 ans d'expérience dans la GRC, je pense que la majorité de ses membres seraient heureux de la création de ce comité, mais j'ai néanmoins quelques préoccupations. Le mandat du conseil serait de conseiller la commissaire de la GRC relativement à l'administration et à la gestion de la gendarmerie, y compris ses ressources, ses contrôles de gestion, sa planification et ses budgets. En quoi ce comité pourrait-il conseiller les ministères pertinents, au sein du gouvernement, en ce qui concerne le financement de la GRC?

Ils peuvent bien faire toutes les recommandations qu'ils veulent à la GRC, mais sans le soutien du Conseil du Trésor ou du ministère de la Sécurité publique, pour faire respecter les conseils qu'ils donnent à la commissaire et soutenir le conseil en ce qui a trait à ces recommandations... Je ne vois rien ici qui dit qu'il a le pouvoir de se tourner vers les deux ministères qui auront l'ensemble des responsabilités.

M. Randall Koops:

Au bout du compte, le conseil conseillerait la commissaire. Ce qui est prévu, c'est que la commissaire, à son tour, sur la foi de ces conseils, peut prendre de meilleures décisions et présenter de meilleurs dossiers d'analyse. Si on prend l'exemple (f), « l'élaboration et la mise en oeuvre de budgets de fonctionnement et d'investissement », elle dispose de l'expertise nécessaire pour présenter...

M. Jim Eglinski:

Mais cette expertise n'est vraiment valable que si l'information est transmise. Je me souviens, quand j'étais dans la GRC, que nous figurions toujours dans les trois premiers rangs sur le plan salarial au Canada. Les choses ont radicalement changé avec les années, et nous sommes maintenant aux alentours du 50e rang — je ne sais pas, je ne sais pas compter si loin, je n'ai pas assez de doigts et d'orteils — mais il faudrait que les deux ministères pertinents appuient le comité qu'ils veulent former, et pourtant, rien ici ne nous dit qu'ils vont offrir ce soutien au comité.

Ils vont faire des recommandations, puis la commissaire devra affronter le ministère de la Sécurité publique et le Conseil du Trésor pour obtenir le financement.

M. Randall Koops:

Le projet de loi comprend une disposition indiquant que le Comité consultatif de gestion peut également fournir au ministre une copie des conseils prodigués à la commissaire. Or, il faut prendre des décisions difficiles et d'envergure dans certains dossiers; vous avez donné l'exemple du budget des investissements, entre autres, et il se peut que le comité veuille transmettre les conseils fournis au ministre afin de s'assurer que le ministre a les mêmes conseils que la commissaire.

M. Jim Eglinski:

Voilà ma grande préoccupation. Je voulais vous entendre le dire. Il va falloir voir comment les choses évoluent.

M. Randall Koops:

Les autres dispositions, comme nous l'avons dit à votre collègue d'en face, précisent que le sous-ministre est également présent lors des réunions du comité et est donc au courant des discussions et des délibérations.

M. Jim Eglinski:

J'aimerais affirmer que l'un des plus grands problèmes rencontrés par la GRC au cours des 20 dernières années, c'est la question du budget et du caractère suffisant des ressources. La GRC n'y arrive pas parce qu'elle n'a pas les fonds nécessaires. Il faut disposer d'un budget suffisant et affecter les fonds pour se procurer les meilleures ressources.

Merci, je n'ai plus de questions.

Le président:

Merci, monsieur Eglinski.

Y a-t-il d'autres questions du côté du parti ministériel?

Monsieur Motz, vous pouvez poser une ou deux questions. Vous avez seulement quelques minutes.

(1645)

M. Glen Motz:

Devrais-je comprendre que les membres du comité consultatif, et sans doute le président et le vice-président, seraient assujettis à la Loi sur l'indemnisation des agents de l'État, ce qui veut dire qu'ils seraient rémunérés?

M. Randall Koops:

Tous les membres seront payés. Ils recevront une indemnité quotidienne. Le taux est établi dans le cadre du processus de nomination par le gouverneur en conseil.

M. Glen Motz:

Y compris le président et le vice-président. Ils ne toucheront pas un salaire, mais recevront plutôt une indemnité quotidienne.

M. Randall Koops:

Exactement. Il s'agit d'une nomination à temps partiel et donc ils seront rémunérés sur une base journalière, plus les frais de déplacement. Pour ce type d'arrangements, d'habitude, il y a un certain dédommagement pour le temps de préparation ou de lecture.

M. Glen Motz:

Est-ce que le ministère a estimé les coûts annuels de ce comité?

M. Randall Koops:

Le ministère a évalué que les coûts du comité s'élèveraient à 1,6 million de dollars par année, donc 7 millions sur cinq ans, si je ne m'abuse. Il y aurait 1,6 million de dollars en financement continu provenant de niveaux de référence existants de la GRC.

M. Glen Motz:

Alors, puisque nous manquons d'effectifs, des enjeux de criminalité ne pourront pas être résolus de la sorte. De toute façon, réaffecter des fonds ailleurs...

Quand le comité pourra-t-il commencer ses activités?

M. Randall Koops:

Le ministre espère que le comité commencera d'ici peu. En janvier, le gouvernement a annoncé son intention d'établir une entente intérimaire afin de mettre en place le conseil. Je crois que le ministre a dit lors d'un point de presse hier qu'il s'attendait à ce que le tout se fasse très bientôt.

M. Glen Motz:

Finalement, est-ce que vous croyez qu'un conseil consultatif de gestion accélérera le processus d'examen interne, soit le processus de résolution des différends soulevés par les membres? Pensez-vous que cela permettra d'accélérer tout ce processus?

M. Randall Koops:

Lorsque les membres ont des plaintes à formuler, le conseil ne siège pas pour les recevoir.

Le président:

Nous devons nous arrêter là.

M. Randall Koops:

Je ne voulais pas dire qu'ils enquêtent sur les plaintes; je sais qu'ils n'enquêtent pas sur les plaintes. Je parle de régler les problèmes systémiques. L'objectif est d'aider le ministre à le faire.

Le président:

M. Spengemann dispose maintenant d'une ou deux minutes.

M. Sven Spengemann:

Une minute...

Le président:

Une minute, c'est tout ce qu'il vous faut. D'accord.

M. Sven Spengemann:

Ce conseil est assez large — jusqu'à 13 membres — et il représente probablement une certaine diversité d'opinions. Vous attendez-vous à ce que le conseil soit divisé ou puisse être divisé sur certaines questions clés et, le cas échéant, comment exprimera-t-il ses opinions dissidentes sur ces questions?

M. Randall Koops:

Ce serait au conseil d'en décider. Le conseil sera libre, en vertu des dispositions proposées, de déterminer ses propres procédures et sa propre méthode de travail.

Le président:

Je vous remercie.

Mme Sahota a proposé trois ou quatre amendements, puisque nous ne modifions pas un projet de loi en tant que tel.

Nous avons 19 minutes. Je propose que nous continuions pendant cinq minutes, parce que le whip aura une crise cardiaque si nous ne partons pas d'ici d'ici 15 minutes. Si on l'enferme, on règle le problème.

Des députés: Oh, oh!

Le président: Nous allons continuer jusqu'à 16 h 55.

Mme Sahota a présenté ses amendements, mais ils ne sont pas dans les deux langues officielles, alors je ne peux les distribuer. Je vais vous demander de les lire et d'expliquer pourquoi vous pensez qu'ils doivent être considérés comme des amendements proposés.

Mme Ruby Sahota:

Ce projet de loi est véritablement apprécié, son objet est des plus pertinents. Je pense seulement qu'il est un peu vague.

À ce que je comprends, peut-être cela a-t-il été fait, afin que le conseil ait la capacité et la souplesse nécessaires pour adapter les mesures qu'il prend, en fonction des enjeux différents. Je pense toutefois que nos éléments fondamentaux, dont vous avez traité dans vos observations liminaires...

Je vais lire ce que je propose, et je m'expliquerai ensuite: Que le Comité recommande au Comité permanent des finances d’amender la section 10 du projet de loi C-97, Loi portant exécution de certaines dispositions du budget déposé au Parlement le 19 mars 2019 et mettant en oeuvre d'autres mesures, pour: 1. Exiger que les rapports complets préparés par le Conseil constitutif de gestion, visés au paragraphe 45.18 (3), soient automatiquement fournis au ministre;

Dans la loi, on prévoit que le conseil de gestion « peut » fournir ces rapports, alors ici on parle d'« exiger ». Je sais que le ministre reçoit beaucoup de rapports, mais je crois que c'est important, surtout s'il s'agit d'un rapport officiel, qu'il puisse désormais être saisi des enjeux. C'est ce qui a été recommandé. Je propose en outre: 2. encourager la composition diversifiée du futur Conseil constitutif de gestion, notamment en faisant appel à des femmes, à des Autochtones, à des personnes handicapées, à des membres de la communauté LGBTQ+ et à des membres de minorités visibles; 3. exiger qu’une analyse comparative entre les sexes +, ou tout autre programme futur qui pourrait raisonnablement être perçu comme son successeur, soit intégrée aux travaux du Conseil constitutif de gestion.

Pour ce qui est de la quatrième recommandation, je l'improvise. Après notre discussion d'aujourd'hui, je pense qu'il manque dans le mandat du conseil consultatif une mention particulière concernant le harcèlement et le changement culturel. Il me semble que cela devrait être englobé dans l'alinéa 45.18(2)a) du mandat, mais c'est très vague. Je recommanderais donc que le comité des finances trouve pour cela le libellé qu'il juge approprié, mais qu'il mentionne précisément que cela doit faire partie intégrante des plans de transformation ou de modernisation.

Je sais que vous avez dit dans vos observations liminaires qu'ils essaient d'assurer une représentation de la diversité régionale — et toutes ces diverses choses — ce n'est pas véritablement exprimé dans la loi. Le gouvernement — ou le conseil — peut bien vouloir procéder à des nominations dans cet esprit, mais ce pourrait ne pas toujours être le cas. Je pense que si c'est clairement exprimé dans la loi, la personne qui doit faire ces nominations saura ainsi qu'elle doit s'assurer que le conseil soit composé en tenant compte de tous ces facteurs.

Je n'ai pas mis dans cette liste la nécessité d'un nombre précis obligatoire... Quel terme encore utilise-t-on?

(1650)

M. Glen Motz:

Des quotas.

Mme Ruby Sahota:

Des quotas ou quelque chose de semblable. Ils devraient voir la chose sous cet angle, de manière à avoir le plus de diversité possible, pour que les recommandations qui sont faites soient bonnes, n'est-ce pas? Si le travail était fait par un conseil plus diversifié, ce serait bien.

Voilà donc mes recommandations au comité des finances.

Les membres du Comité désirent-ils en discuter?

Le président:

Pendant les deux ou trois minutes qui nous restent, les fonctionnaires ou les membres des partis de l'opposition ont-ils des commentaires à faire?

M. Glen Motz:

J'estime que la composition de n'importe quel conseil, comité de gestion ou commission devrait être basée sur le mérite, sur les compétences et les aptitudes que l'on recherche pour faire le travail requis. Cela devrait être la priorité numéro un.

Mme Ruby Sahota:

Il n'en est fait aucune mention ici. J'estime que toute nomination serait basée sur le mérite, bien entendu. Cela va de soi.

Le président:

Monsieur Motz, voulez-vous le proposer sous la forme d'un amendement?

M. Glen Motz:

Oui, allons-y.

Mme Ruby Sahota:

D'accord.

Le président:

Vous n'avez rien dit au sujet des minorités religieuses.

Mme Ruby Sahota:

Non.

En fait, le point numéro deux dit que j'encourage la représentation diverse au sein de tout prochain conseil consultatif de gestion: « y compris, sans s'y limiter ». Cela ne fait que proposer des idées: diversité de genre, diversité de minorité, diversité de personnes handicapées. Mais cela n'est pas prescriptif.

M. Jim Eglinski:

Pourquoi vouloir préciser les choses? Pourquoi ne pas seulement dire « diverses »?

Mme Ruby Sahota:

Je crois que ce mot peut être interprété de différentes façons. Cela pourrait vouloir dire la diversité d'opinions. Je crois que le fait de citer quelques exemples permet aux lecteurs... Le comité des finances ainsi saurait mieux ce que j'ai en tête.

Le président:

Malheureusement, je dois mettre fin à la discussion, puisque nous avons moins de 15 minutes avant le vote et parce que nous sommes toujours très soucieux de la santé et du bien-être de notre whip.

Nous devrons revenir là-dessus, car j'imagine...

M. David de Burgh Graham:

Revenons-nous après le vote?

Le président:

J'imagine que les membres voudront en discuter davantage avant de rédiger la lettre.

Sur ce, nous allons devoir lever la séance. Nous devrons décider d'une heure pour y revenir. Merci beaucoup.

La séance est levée.

Hansard Hansard

committee hansard secu 12719 words - whole entry and permanent link. Posted at 22:44 on May 08, 2019

2019-05-06 SECU 160

Standing Committee on Public Safety and National Security

(1530)

[English]

The Chair (Hon. John McKay (Scarborough—Guildwood, Lib.)):

Ladies and gentlemen, I see quorum, and as far as my eyesight allows, I see that it is close enough to 3:30.

We have with us Elana Finestone from the Native Women's Association, and Mr. Cudjoe from the Canadian Association of Black Lawyers.

I'll ask Mr. Cudjoe to go for the first 10 minutes, only because technology is not necessarily always trustworthy.

Colleagues, we've achieved the first element for the process today, which is to merge the two panels so that we are time efficient. I'm anticipating a lot of questions for both panellists and we may go into the second hour.

Second, I'm hoping that over the course of the two hours today, we will agree on a process going forward for the submission of amendments and picking a date for clause-by-clause.

My suggestion to Mr. Paul-Hus and Mr. Dubé has been that we have amendments done by the end of the week. I appreciate that there are some difficulties with translation, because the drafters don't deal with amendments until the bill is actually referred to the committee. This a difficulty for all parties, by the way.

If, over the course of the two hours we have together, you could indicate to me whether we can go with a motion, we won't have to have a subcommittee meeting, but if we can't agree on a motion, we will have to have a subcommittee meeting to agree on a process.

With that understanding, I'll now ask Mr. Cudjoe to make his initial presentation for 10 minutes.

Thank you, sir, for being here with us today.

Mr. Gordon Cudjoe (Vice-President, Canadian Association of Black Lawyers):

Thank you very much for the opportunity to be heard. On behalf of CABL, we really appreciate the fact that somebody thinks our voice is worth hearing.

My apologies for not attending in person. This assignment came to me quite late in the process, which is why there's also no written material.

Looking at all the material I've seen presented by the other parties, most of the ground has been covered, and I don't think I'll be too long.

The recommendation from the Canadian Association of Black Lawyers, I don't know if you've heard it. I've heard the request to expunge the records and to make changes to the suspension of records. The main concern for young Black and indigenous youth who have gone through the system on possession of marijuana charges will be future employment and how that will affect them.

The suspension of the record will almost seem like a token gesture if the committee considers that these convictions perhaps should not have happened in the first place. Having had a discussion with our board, our recommendation is that simple possession of marijuana charges and associated charges be deemed regulatory offences.

That would not take them off the books completely—reference can always be made to them—but the one advantage, and I'm speaking on behalf of youth who are trying to get their first job, is that one question asked by employers to get around the suspension of records act is, “Have you pleaded guilty to a criminal offence?”

It doesn't matter whether you've been pardoned or not, you can't get around that question. If on that form you say that you have pleaded guilty to a criminal offence, you don't even get your foot in the door for an interview, which is why the suspension of a record for many young men trying to get into the workforce is actually a token gesture. Employers are not asking whether you have a criminal record, but whether you've pleaded guilty to an offence, or you've been found guilty by a court of an offence.

For young people, it's even worse. Your record as a youth may be sealed after three to five years, depending on whether you're convicted of a summary or an indictable offence. For a simple possession of marijuana charge, that record could be opened again for any future occurrences. Even with the suspension, I don't know how that's going to work in sealing your record for good as a youth. The problem is that provinces are reporting records for youth, as there's something on their record, but they can't tell us. For a possession of marijuana charge, that puts an individual in line with somebody who has committed homicide, robbery, break and enter, sexual assault, and guess what? They can't tell you what it is. This makes it even worse for the young person.

Our recommendation is that these be deemed regulatory offences. For example, I coined a phrase, “the simple possession of marijuana act.” From that, you can get around things that are blocking people from getting their first-time employment, by sealing their records for good.

I know that Ms. Finestone is going to get into the administrative charges, but there's one charge in particular that I have seen from the ground level that has arisen for young people as a result of possession of marijuana charges.

The second time a young person of 14 or 15 is met and questioned by a police officer, they get scared. They're already in the court system. They may not actually be committing any offence at the time, but because they have a possession of marijuana charge, many times they've lied about their name. They then get an obstruction of a police officer charge. This is all as a result of their original possession of marijuana charge, and guess what? Their criminal career has begun.

(1535)



For many who live in suburban areas, go to better schools and have better chances in life, this may not be a big stumbling block. However, for many who are coming from extremely poor areas and families who don't have the means to push them forward, this is a huge stumbling block. This is why the suspension of records, which may seem to be carte blanche for everybody across the board, doesn't take into account the numerous people who were charged with possession of marijuana, especially as young people.

I'd ask the committee to look at the numbers of first nation and young black men who were charged with possession of marijuana and to keep these numbers in mind when the recommendations are being followed, or whichever way the committee decides to go. The reality on the ground for black and indigenous youth is very different from the reality for others. Many times we hear police refer to somebody as “known to the police”. Sometimes it is a simple possession of marijuana charge, but it brings that person into the eye of the police who are walking the streets. Many of these young men are not able to stay at home all day playing video games—perhaps they don't have them—and they're out on the streets and come into regular contact with the police.

One particular case went all the way to the Supreme Court: R. v. Mann. Mr. Mann was walking down the street. The police had a call about a break and enter. They saw Mr. Mann, and Mr. Mann, being a young, indigenous man, fit the description. The clothing was completely different, but he fit the description. He was stopped by the police, and the police, for safety reasons, searched him and found marijuana in his pocket. Eventually, the Supreme Court threw it out, but this case went all the way to the Supreme Court.

What does this mean for Mr. Mann and many of the young men who are brought before the court on possession of marijuana charges? Let's review the process. There's a court appearance; it's basically a public shaming of the young man for possession of marijuana. There's the risk of further charges because he is released on conditions. There's the risk of detention if he is arrested for anything else. There's the stigma of walking into the courthouse with people who have been charged with a lot more serious charges. Furthermore, if at the end of it this young person is not given proper advice, he may decide to do what other young people say, that “I want to get it over with.” He is now branded for life with a charge of possession of marijuana. Employment opportunities are going out the window. This is for young men who already find it hard to get into the workforce.

Following that, you have the fail to appear, fail to comply and fail to comply with probation charges, meaning failure of the youth to report to the probation officer. When the record is suspended, what shows up? I say that sometimes for a charge of possession of marijuana, it can actually be more insidious if the provinces are going to report it as “There's something there, but we can't tell you.”

I will respond to one particular comment that was made about deals and how the prosecutor would make deals that would lessen the charges for the possession of marijuana. I think that's questioning the integrity of the prosecutor's office. I doubt they would make deals that were not real. Furthermore, we are well aware—

(1540)

The Chair:

Mr. Cudjoe, I'm not sure if you can see me, but I've been kind of waving at you.

Mr. Gordon Cudjoe:

Oh.

The Chair:

You had two minutes, and now you're down to one minute.

If you can arrive at a conclusion, that would be good, please.

Thank you.

Mr. Gordon Cudjoe:

Thank you very much, Mr. Chair.

I was on my last point—

The Chair:

Excellent.

Mr. Gordon Cudjoe:

—and I didn't think it would take 10 minutes.

Thank you very much.

With regard to some of the deals that were referred to, I'd like the committee to take into account that many deals are made as a result of overcharging. I think that it's a red herring to go down that path.

I'll sit back and wait for any questions.

Thank you very much.

The Chair:

Thank you, Mr. Cudjoe. I appreciate that.

Ms. Finestone, you have 10 minutes, please.

Ms. Elana Finestone (Legal Counsel, Native Women's Association of Canada):

Before my 10 minutes start, I want to mention one housekeeping issue. I have some recommendations and proposed amendments that I just submitted. I won't go into depth about those because we can discuss them during the questions if you would like.

Good afternoon. I would like to thank the Standing Committee on Public Safety and National Security for having me here today to discuss Bill C-93.

I'm here on behalf of the Native Women's Association of Canada—NWAC. For those of you who don't know, NWAC is a national indigenous organization representing the political voice of indigenous women, girls and gender-diverse people in Canada, inclusive of first nations—on and off reserve, status, non-status, Métis and Inuit.

NWAC examines the systemic factors that affect indigenous women's contact with the criminal justice system and seeks reforms that will alleviate the harms faced by indigenous women in contact with the law.

Today, I'm here to talk about justice: correcting historical injustice, accounting for administration of justice offenses and increasing access to justice for indigenous women.

First, I would like to talk about the context of my recommendations. Indigenous women are under-protected by the criminal justice system when they experience violence, go missing or are murdered, yet they are also disproportionately impacted by the criminal justice system.

Too many indigenous women are in poverty, have precarious housing, lack family support and experience mental illness. They tend to lack knowledge of the criminal justice system and are often not represented by lawyers. They experience cultural and language gaps throughout the system.

From the recommendations in the Royal Commission on Aboriginal Peoples, the Truth and Reconciliation Commission and the testimony of indigenous women themselves, we know that their experience of the criminal justice system can be traced back to colonialism and racism. Indigenous women's criminalization is one aspect of a larger problem.

NWAC recommends that Bill C-93 account for and meaningfully respond to these realities. I'm here on behalf of NWAC today to make concrete recommendations to address the implications for indigenous women as the bill stands.

Bill C-93 is an important step in acknowledging the harms caused by tough drug policies and their adverse effects on indigenous women, especially indigenous women who are poor and convicted of minor offences. Unfortunately, the effects of the bill will go unrealized for many indigenous women with criminal records for simple possession of cannabis. Simply put, the bill remains inaccessible for indigenous women who are poor and have administration of justice issues associated with their simple possession of cannabis conviction.

NWAC ultimately recommends that Bill C-93 be used to expunge criminal records for simple possession of cannabis and related administration of justice offences. In the alternative, NWAC puts forward the following three recommendations.

The first is to correct historical injustice. It is acknowledged in the House that the prohibition of cannabis was bad policy. There is an acknowledgement by the Liberal Party that indigenous people have been “policed differently, convicted differently and managed by the courts differently”, and that these criminal records have a disproportionate impact on youth from poor communities, racialized communities and indigenous communities.

At NWAC we know that indigenous women are much less likely to escape the notice of the criminal justice system. We know that cannabis used to be legal in Canada. It was legal until cannabis used to be associated with people of colour and considered so dangerous that increased law enforcement and police powers were necessary to contain its use.

Let's correct these historical injustices and interpret this bill in a way that rights these historical wrongs.

I borrowed language from the preamble in Bill C-415, but made a few additions. I recommend that the preamble read the way it does on page 3, but I would just add to the second paragraph the following: And whereas the Supreme Court of Canada in R. v. Gladue and R. v. Ipeelee indicates that indigenous people and communities face racism and systemic discrimination in the criminal justice system

(1545)



In the last paragraph, I would add that these convictions have had a negative impact not only on their employment prospects but also on custody and access to children.

Recommendation number 2 deals with the need to account for administration of justice offences, a lived reality for criminalized indigenous women. As a group, women's crimes tend to be on the lower end of seriousness. Over half of women's crimes are property crimes or administration of justice offences. Administration of justice offences are criminal offences, such as failure to attend court and failure to comply with conditions, to name a few. A full list of offences is on pages 4 and 5 of NWAC's recommendations.

Administration of justice offences are also known as the “revolving door of crime”, because it's harder for people charged with these offences to leave the criminal justice system. This is especially the case for criminalized indigenous women. Charges against females accused of administration of justice offences are growing faster than charges against males.

Administration of justice offences can be linked to indigenous women's marginalization. The lived reality for criminalized indigenous women is that they do not have the support or means to comply with the criminal justice system. This is not an excuse for their behaviour, but is a reality. For example, indigenous women in remote communities may be unable to get to a distant town where the court is located, and then may face several failure to appear breaches. Another person may unintentionally breach their bail conditions if they are homeless and do not get their court notices. When an indigenous woman is ordered not to attend her residence as a condition of judicial and term release, and there is no alternative housing or community support available to her, she is forced to violate that order to find shelter. As a result, indigenous people and marginalized Canadians are more likely to be charged, and if released on bail, are more likely to be subject to stricter and more impossible conditions.

All of these administration of justice charges add to indigenous women's criminal records and set them up for failure. As it stands, indigenous women who are initially convicted of simple possession of cannabis and amass these administration of justice offences are not eligible to apply or receive a record suspension under Bill C-93.

That's why NWAC recommends that Bill C-93 allow people with simple possession of cannabis convictions and administration of justice offences associated with simple possession of cannabis to apply for and receive criminal record suspensions for both the simple possession of cannabis convictions and any of the associated administration of justice offences.

My last recommendation is to increase access to justice. In light of poverty and administration of justice offences plaguing racialized and marginalized groups affected by the Cannabis Act, NWAC recommends that people who have not completed their sentence for an offence under subsection 4(3.1) be able to apply for criminal record suspensions. It does not make sense for people to continue sentences for conduct that is now legal. This amendment would ensure that people in poverty who cannot afford to pay outstanding fines would have the benefit of Bill C-93.

For the law to positively impact criminalized indigenous women, a gender-based understanding of Canada's history of racism and systemic discrimination towards indigenous people must be embedded in Bill C-93. The criminalization of indigenous women is one of the legacies of colonization. Indigenous women who are typically criminalized for simple possession of cannabis offences tend to be in poverty, are over-policed, and linger in the criminal justice system because of administration of justice offences.

Criminalized indigenous women are set up to fail in this criminal justice system. By allowing people to no longer be clouded by a criminal record for an act that is now legal, regardless of whether they have finished their sentences, Canada now has an opportunity to take a step towards righting these historical wrongs.

Thank you very much for your time. I look forward to our discussion on this very important issue.

(1550)

The Chair:

Thank you, Ms. Finestone.

Mr. Cudjoe, thank you.

Mr. Graham, seven minutes.

Mr. David de Burgh Graham (Laurentides—Labelle, Lib.):

Thank you. I'm going to start with Mr. Cudjoe.

You made a comment very early on that the following question is often asked, namely, have you pleaded guilty to a criminal offence? I had not run into that before. Does that not run afoul of human rights legislation?

Mr. Gordon Cudjoe:

Yes. If it does, if it's not been challenged—and the point is that we're talking about young kids filling out applications for Walmart and other places like that, who will not have the legal resources to challenge that.... It would take a group, for example, the Black Legal Action Centre, or something—to challenge that. That question can be changed, on the next form, to something to get around that.

So it may run afoul of human rights-ization. I believe it does. I believe any question that seeks to get around conditional discharges and absolute discharges does run afoul of that. But I have seen three or four variations of that charge, and in actual fact, I believe one was from a government agency, which would be OMVIC. The OMVIC form for a car salesman has a very similar question that doesn't allow you to avoid pointing out a conditional discharge, which would have been done 10 years ago.

Mr. David de Burgh Graham:

Or there's the way one is asked at the American border: Have ever been arrested?

Mr. Gordon Cudjoe:

Thank you.

Mr. David de Burgh Graham:

Great. Thank you.

I just have some questions for you, Ms. Finestone. You mentioned the addition of a preamble. Does a preamble have any weight in law?

Ms. Elana Finestone:

It helps people interpret what the intent of the law is. So when we interpret this legislation, we would do it in a way that acknowledges historical injustices, which would be a way of correcting those injustices.

Mr. David de Burgh Graham:

You mentioned in your comments that you didn't want to go over the details in front of us, but for the record, could you just go over the four or five quickly and whether you want, for the sake of argument, each to be forgiven automatically or each one subjectively? Do we have a way of judging if a pardon for the additional offences should be automatic or subjective by application?

Ms. Elana Finestone:

We would like them to be automatic. Would you like me to go over what's on page 4 to 5?

Mr. David de Burgh Graham:

Very quickly, because we have five or six pieces here, it would be nice to—

Ms. Elana Finestone:

Oh, sure.

(1555)

Mr. David de Burgh Graham:

—have a background on each one, why that one is there and not another one.

Ms. Elana Finestone:

Sure.

I looked at the Criminal Code offences that—

Mr. David de Burgh Graham:

Are common.

Ms. Elana Finestone:

—would be common, just for things like cannabis—not for any sexual offences, because again I'd like to bring us back to talking about cannabis.

For example, we have subsection 145(2) of the Criminal Code, dealing with failure to attend court; subsection 145(3), failure to comply with the condition of undertaking or recognizance; subsection 145(4), failure to appear or to comply with summons; subsection 145(5), failure to comply with appearance notice or promise to appear; and then subsection 733.1(1), failure to comply with a probation order.

I defined administration of justice offences just for the purpose of subclause 4(3.1) of the bill, just so we know that we're talking strictly about simple possession of cannabis when it comes to criminal records, and I included those provisions in the definition.

Then I made amendments, which you'll see starting on page 6, that whereas, as the bill stands, people wouldn't be able to apply for a criminal record suspension if they commit another offence, this would say that if it's an administration of justice offence related to simple possession of cannabis, then they would be able to apply.

Then on the next page where we talk about receiving a record suspension, I made amendments so that it would say something to the effect that people could receive a record suspension not only for the simple possession of cannabis but also for the administration of justice offences associated with it. For example, if someone is convicted or charged with simple possession of cannabis but then doesn't show up for court just for that charge, not for anything else—again just talking about cannabis—then that would also be taken off.

It's really quite meaningless if you just take away one part of the record but there's still a slew of administration of justice offences listed, which would be the case for marginalized and racialized people.

Mr. David de Burgh Graham:

The way the bill is proposed right now, if people have an administration of justice offence, would they even be able to apply because of the restriction being only—

Ms. Elana Finestone:

No, they wouldn't.

Mr. David de Burgh Graham:

There is one thing I want to clarify. You gave a very good explanation of why people in some communities are unable to present in court and so forth. However, should somebody who deliberately doesn't jump to court, who just says, “That's the system”, also have that automatic withdrawal of the other related offences?

Ms. Elana Finestone:

I think we need to go back to the fact that this is now something legal, and if this had been legal a few years ago, people wouldn't be ensnared in the criminal justice system. We know that people who are trapped in this system are often marginalized, so I guess the answer is yes—because we need to take this off the books.

Mr. David de Burgh Graham:

Is there any time left?

The Chair:

You have 45 seconds.

Mr. David de Burgh Graham:

I will pass that time to Mr. Picard. [Translation]

Mr. Michel Picard (Montarville, Lib.):

How can you connect those files?[English]

Sorry, how can you relate those obstruction files?

Ms. Elana Finestone: How can I.... I'm sorry—

An hon. member: Your time is up.

Mr. Michel Picard: I know.

The Chair:

Your time is up.

Mr. Nathan Cullen (Skeena—Bulkley Valley, NDP):

Adjudicate it, Chair.

Mr. Michel Picard:

How can you relate your obstruction files and administration files specifically to the cannabis position file? Is it mentioned on the record that this obstruction has been applied because of the cannabis file, or is there nothing on the administration file that we can read that says it is related? Therefore, how could I take a chance to erase them?

Ms. Elana Finestone:

My understanding is that there would be the charge for simple possession of cannabis and then the person would be summoned to appear in court related to that charge. Perhaps Mr. Cudjoe can expand on this. Basically, there would be a timeline. All of these administration of justice offences would come after the initial simple possession of cannabis charge.

The Chair:

Mr. Cudjoe is going to have to expand on that at another time.

Ms. Elana Finestone:

Yes, please.

(1600)

The Chair:

We'll have Mr. Motz for seven minutes, please.

Mr. Glen Motz (Medicine Hat—Cardston—Warner, CPC):

Thank you to both witnesses for being here.

Were either of your organizations consulted prior to this bill? Do you see that your objections.... Obviously, I know the answer to my next question, but your objections are obviously not reflected in the current legislation.

Ms. Elana Finestone:

No, they are not. I was invited to a meeting with Mr. Matthew Dubé and Mr. Murray Rankin to discuss Bill C-415 and because Bill C-93 is related, we were also invited to speak on that. However, it was simply in tangent, so no, not really, and no, they are not reflected.

Mr. Glen Motz:

Mr. Cudjoe.

Mr. Gordon Cudjoe:

In fact, I'm the chair of the advocacy committee for the Canadian Association of Black Lawyers. The first time this came to our attention was when the notice for this hearing came up.

Mr. Glen Motz:

Okay. Thank you.

You brought it up, Ms. Finestone, and I just want to cover it off. I'm struggling to combine administration of justice charges and the record suspension related to them because they speak to a different issue. We appreciate that marijuana possession is legal now. However, the fact that you have the administration of justice offence means somebody basically gave the finger to the justice system.

I appreciate from experience that some of the “marginalized” communities, as you termed them—or those with mental health challenges—in the past didn't appreciate the gravity of their actions. I get that—or they're in a spot where they don't comply. There are some pretty serious offences here that impact their moving forward, and currently—this is more a statement than a response—I'm really having trouble seeing how the connection would work.

One of the things the officials told us last week was that there are about 250,000 Canadians, according to their estimates, who have a record for minor possession of marijuana and who might be eligible for these suspensions, yet only about 10,000 of these people might consider this process. Do either one of you have any thoughts on the accuracy of those numbers, based on your experiences?

Ms. Elana Finestone:

Mr. Cudjoe, do you want to start?

Mr. Gordon Cudjoe:

To be truthful, there's no experience for the numbers, but I think Ms. Finestone has mentioned that point as well. If it's automatic, that changes the number dramatically. If the suspension of the record is automatic and you don't actually have to start the process, that changes the numbers dramatically—

Mr. Glen Motz:

I'm sorry to interrupt, but what the officials told us is that based on the current legislation, they estimate there will be approximately, in their best guess, 10,000 folks.

I want to get into something with a little more meat for both of you. Now, on the issue of the process of how this goes about, which is really what I think you were getting to in a minute if I had let you continue, every group that appeared here before us had an issue with the process. I would note that the Auditor General has repeatedly called out departments for implementing systems based on their processes as opposed to a process to serve Canadians in the best possible way.

In your opinion, does the process that is highlighted in this legislation hinder or help the Canadians who you interact with? Does this process of applying for this application align with the abilities of those who might need it most?

Ms. Elana Finestone:

I would say that it hinders. I believe this committee made a report about how inaccessible criminal record suspensions are. Firstly, a lot of people don't know that they can make them, or they are duped into paying money—crazy amounts of money—when it's actually not that expensive.

I think the issue I was raising before is that a lot of people don't even know about the law. This is not the only issue on which I've spoken about and engaged with community members on a law that specifically affects indigenous communities and they've never heard of it.

If people are forced to apply all over again, I think that's why the numbers you're estimating are lower for the people who will actually use it. Right now, it's a fact: there is no access to justice for these groups that I am speaking about.

(1605)

Mr. Glen Motz:

They're not my numbers. They're numbers the officials provided to us.

Ms. Elana Finestone:

Okay.

Mr. Glen Motz:

Mr. Cudjoe, do you have thoughts on that issue?

Mr. Gordon Cudjoe:

I just have a couple of thoughts on it. In my personal practice, a lot of the people I represented were homeless, mentally ill or on the verge of being homeless. They also had very low levels of education. By not making it automatic, it won't help a lot of people who actually have been convicted on possession of marijuana charges. Rather, this bill will help those who are able to read and know what's happening in the legal system.

Very quickly, to go off that a bit, in Ontario, because legal aid is funded at so low a level and you have to be going to jail before you get legal aid, many people who started off in the criminal justice system on possession of marijuana charges did not have lawyers. They did the easiest thing that was possible for them and took the first deal they could get from the Crown. They did not challenge the search that led to the possession of marijuana and did not try to get anything like a conditional discharge because on that day that wasn't being offered. I ask that the committee look at this whole situation in light of that.

The Chair:

We'll have to leave it there, Mr. Motz.

Mr. Cullen, welcome to the committee. You have seven minutes, please.

Mr. Nathan Cullen:

Thank you, Chair, and thank you to both of our witnesses. It's illuminating.

I have what may be a unique experience in this. I grew up in Rexdale, and I now live in and represent a northern community in British Columbia. Friends of mine used to have a term for this when we were growing up: the crime was “walking while black”. Out in my neighbourhood, the chances of getting stopped and potentially picked up if you were young and black were dramatically higher. All of our stats support this. In Vancouver, indigenous people are seven times more likely than white people to be arrested. In Regina, they're nine times more likely to be arrested.

Mr. Cudjoe, I want to pick up on the point from my Conservative colleague. If a white middle-class kid gets picked up for possession and has access to a lawyer, the chances of their ending up with a criminal record or a secondary record of an administrative justice charge are much lower than those for somebody struggling with poverty, in a racialized community or in a marginalized community. Is that correct?

Mr. Gordon Cudjoe:

That is correct, and that is one group that I focused on, because I had a number of those situations where most parents would not go to the police if they had found marijuana in their kids' clothing. What about the children who are wards of the CAS? All of those charges went straight to the police, and nine out of ten didn't have a lawyer.

The kid who grew up without parents is now ending up with a record disadvantage and did not have a chance from the start.

Mr. Nathan Cullen:

If the Supreme Court has acknowledged that marginalized and racialized people face racism and systemic discrimination in the criminal justice system, would consulting with both of your organizations not have been essential if the government's intent was to attempt to prevent marginalized and racialized Canadians from facing that racism and systemic discrimination?

I'm confounded that we're at this stage, five weeks to go in a Parliament, when you have these vital amendments to a piece of legislation. The people who historically have been hurt by the criminal justice system—indigenous people, marginalized people and black Canadians—will now have a pardon system that will in effect not help them because of the circumstances in which they live.

Is this the bill that we're facing right now?

I'll start with you, Mr. Cudjoe, and then I'll turn to Ms. Finestone with a more particular question.

Mr. Gordon Cudjoe:

I think you've made the point.

Many times I'm invited to the table. On this issue we were not. I suspect it's because other groups were included, and perhaps somebody thought I was not to be heard. I don't know.

(1610)

Mr. Nathan Cullen:

The Prime Minister's argument for this legislation when he was a candidate was particularly about the effects on marginalized and racialized groups within Canada who are disproportionally affected by marijuana laws.

Ms. Finestone, I want to challenge my Conservative colleague's friend about folks giving the “middle finger” to the justice system. I've seen cases in which administrative penalties have been put down on young native women who were eight hours from the court room in their home. They had no public transportation, no Greyhound and no money, and they failed to appear. Under that circumstance, a young native woman who is picked up in northern British Columbia for simple possession and who fails to appear is disqualified from receiving a pardon under this legislation. Is that correct?

Ms. Elana Finestone:

That's correct.

Mr. Nathan Cullen:

Okay.

Ms. Elana Finestone:

That's a very broad issue. I went to a conference on indigenous criminal justice after the Gladue decision a few weeks ago. They were talking about how they created this indigenous court on a reserve simply because they noticed that there were so many warrants for people for arrest, and people were not showing up to court simply because there was no public transport and they could not go. It's the reality.

Mr. Nathan Cullen:

I didn't see this in your notes. Does your organization support Bill C-415?

Ms. Elana Finestone:

Yes.

Mr. Nathan Cullen:

That's on expungement.

Mr. Cudjoe, are you of a similar orientation, that expungement would be a more effective way of leaving these charges fully in the past?

Mr. Gordon Cudjoe:

I really believe that. I have to admit that I'm not fully aware of the cons of expungement, but I really believe these records should be expunged.

Mr. Nathan Cullen:

To this point on the circular effect of the criminal justice system on a simple possession charge, an employer asks on employment forms, “Have you plead guilty to a criminal offence?” This a very typical question on that list of questions. Somebody who is able, a young black person in Toronto, Montreal or wherever, and has gone through and secured this relief through the pardon would have to answer that question in the affirmative, would they not?

Mr. Gordon Cudjoe:

That is correct, which is why I scoured my brain to see what could be done. I got the recommendation from our committee that perhaps deeming them regulatory offences, which cover firearms acts and so many other acts, could work.

Mr. Nathan Cullen:

This is a workaround you're attempting to make to this legislation that you weren't consulted on.

Mr. Gordon Cudjoe:

That's correct.

Mr. Nathan Cullen:

You imagine a scenario in which the Crown, in a second case or trial of some sort, would be able to say to the court, “There's something on this defendant's record, but we can't tell you what it is.”

Mr. Gordon Cudjoe:

No, I was referring to when the criminal records check goes to the employer.

Mr. Nathan Cullen:

I see. So, an employer is looking to hire somebody—

Mr. Gordon Cudjoe:

That's correct.

Mr. Nathan Cullen:

—in this case a young black person you've dealt with. They've gotten the pardon, under this government's bill, and the employer would be informed that there is something on their record, but we can't tell you what it is. It's left to the imagination, essentially.

Mr. Gordon Cudjoe:

That is correct. The way it's reported is that “We can't tell you what it is.”

Mr. Nathan Cullen:

And again, it's left to the imagination of the employer.

Mr. Gordon Cudjoe:

That's correct.

Mr. Nathan Cullen:

Okay. Thank you very much.

The Chair:

We'll move to Ms. Dabrusin for seven minutes, please.

Ms. Julie Dabrusin (Toronto—Danforth, Lib.):

I was just going to go Ms. Finestone, because I saw her nodding during that piece.

Could you help the committee by giving more information in response to that last question?

Ms. Elana Finestone:

The last question....

Ms. Julie Dabrusin:

When someone has received a pardon, there is information given to an employer that “There is a charge out there; we just can't tell you what it's about.”

Ms. Elana Finestone:

What I know most about is the fact that a pardon doesn't take it away, so the moment someone commits another offence, like an administration of justice offence, it pops right back up.

I think I can speak to that piece. While the intentions are very good, it still ends up showing up.

Ms. Julie Dabrusin:

Okay. I think we'd need to get more information about how that appears, because everything we've heard until now has been that there is a difference between pardons and expungements, but a pardon does not show up when people get their searches. I just need clarification from someone at some point on that point.

A lot of this has been about the process—pardon or expungement, either way. Right now, one of the big issues that keep coming up is that people have to apply. I believe in 1996 there was a change in the way the charges appeared and in the way they're recorded. If it were automatic to 1996, and anything post-1996 were an automatic pardon or expungement, would that help?

(1615)

Ms. Elana Finestone:

Yes, of course.

Ms. Julie Dabrusin:

I'll ask the same thing of Mr. Cudjoe. Going back to 1996 when there was a change in the way the charges appeared and were recorded, if, from 1996 to now, be it a pardon or an expungement, it were automatic, would that be helpful?

Mr. Gordon Cudjoe:

It would be very helpful.

Ms. Julie Dabrusin:

All right.

I understand that pre-1996 there were other record-keeping issues that might change, so that might be something else. But if it were automatic from 1996 onwards, how would we get word out to people to let them know this has happened? That's my other concern. It's a great thing that we've done this, but they might not know. They might be answering questions based on incorrect information. What's the best way for us to let people know this has happened?

Ms. Elana Finestone:

I think a great way is to keep engaging with organizations like NWAC and CABL so that they can tell the people they serve that this is possible. Our organizations do a lot of public legal education and our work is about engaging people in the laws that affect them.

If you keep organizations like ours in the loop, that will really be helpful to our constituents and, subsequently, yours.

Ms. Julie Dabrusin:

Mr. Cudjoe, do you have any ideas about that?

Mr. Gordon Cudjoe:

I was thinking that an automatic mailing to the address once the automatic suspension is done would be really helpful.

Ms. Julie Dabrusin:

Automatic mailing. Okay. Thank you.

As a procedural point, it's helpful to get some ideas as to how that could work.

I was quite taken with something that was on page 7, I believe, of your submission, Ms. Finestone. It deals with the issue of wiping out the need to complete sentences. Right now, simple cannabis possession is legal, and yet there might be people who still have unpaid fines or outstanding probation they still need to serve based on that.

We heard evidence during a previous study on record suspensions that outstanding fines were in fact one of the main hindrances, because your time would start accumulating. Now, here there is no time-accumulating issue. Can you speak a bit to that point, about why it's important to get rid of the need to complete a sentence?

Ms. Elana Finestone:

Absolutely.

There was one thing that came to mind. I was looking at that report you're discussing when we made that recommendation. There are people who will never be able to afford to pay their fines, because they simply don't have the money and have to pay their rent or buy food. They would never have access to Bill C-93. As you said, if it's now legal, why aren't we giving people the opportunity to apply?

Ms. Julie Dabrusin:

Mr. Cudjoe, do you have any thoughts about the need to wipe out in legislation the requirement that people have completed their sentence related to the simple possession before they can qualify for the pardon?

Mr. Gordon Cudjoe:

Ms. Finestone said it best. We are aware of many people who will never be able to pay those fines.

Ms. Julie Dabrusin:

Thanks.

Both of you have raised the administrative offences. It's complicated, because not everyone is in the position of the scenario that Ms. Finestone has drawn, but it's a compelling scenario.

It's a compelling story about why somebody might not have been able to be in court or might not have received notices and all of that, but that's certainly not the case for everyone who has those offences.

Do you have any idea whether there is a fine-tuned way? Say we went to an automatic process. Now we're on an automatic process and the first layer is easy. Post-1996, for everyone with just simple possession, it's gone. Then you have the people who have administrative offences related to that simple possession. It can't as easily work automatically at that point, because now we have other parts to look at, so I guess you need almost a secondary process.

Have you thought about that? How do we parse that out?

(1620)

Ms. Elana Finestone:

I think Mr. Cudjoe was going to expand on this issue earlier and perhaps this would be a good opportunity.

Ms. Julie Dabrusin:

Okay.

Mr. Gordon Cudjoe:

In order to catch the ones that were related strictly to the possession of marijuana charges, you go back to the wording in the charges. Most times it will say you were charged with possession of marijuana on day x and were asked by the court to come on this day and you missed court. Also, on the possession of marijuana charge, it will show that you didn't attend court. Therefore, you get the two pieces of information together and you can prove that the two were directly related.

Ms. Julie Dabrusin:

That's very helpful. Thank you.

The Chair:

Mr. Eglinski, you have five minutes, please.

Mr. Jim Eglinski (Yellowhead, CPC):

Thank you to both witnesses for being here today.

I would like to start with you, sir. You just mentioned that you can go back and check. We've had witnesses here, department officials, who told us the other day, when we were talking about how to deal with those people who might have had a charge reduced from something maybe a little more complicated to minor possession, that there's no way they can really check into that, that it's too complicated. They would only deal with the charge that they were convicted on.

What you and your counterpart here are saying is that they want to deal with the other charges, such as subsections 145(4) and 145(5), section 733 and subsection 145(3). Some of these might have been summary, and some were indictable, depending on the circumstances. Someone is going to have to look into that and you're complicating the whole process.

Some states in the United States have come out with a very simple program of which I am in favour. You just press a button. Someone designs the program that goes into CIPC and cleans out those charges for minor possession and they're gone.

Now you're talking about contacting people. How many of your clients can tell you their addresses since 1996, or where would we get hold of them since 1996? Where have they been?

It needs to be a much simpler process than you are explaining to us, because you're saying some of your clients do not have the capability of filling these forms out and may not be able to tell you the addresses. We need to be able to get it to the public somehow.

The simplest system, which I want you both to comment on, is just a program that can be written in this day and age of science and technology and computer programming. A program can be built that can eliminate it just by the press of a button and let the computer do the work instead of putting a human factor in there.

I see you both putting in a lot of human factor, which is going to be too complicated.

You can start, and Ms. Finestone finish.

Mr. Gordon Cudjoe:

I have just two issues to respond to. On the first one, when I'm referring to contacting people, that is to inform them that the automatic process has taken place. It doesn't complicate the pushing of the button. The button can always be pushed. It is whether they know if that the system has happened.

The second part, where it becomes complicated with the human factor, is when you're trying to relate your charges to the possession of marijuana. The marijuana offence can always be gone with a button. We don't want to deprive everybody....

[Technical difficulty--Editor]

Then it's up to the government to decide whether they're going to look further into filtered or peer-filtered compliance, and so on. However, to mix the two together at this stage takes....

[Technical difficulty--Editor]

We're referring to the harms that have been done to people as a result of their original charge and we want to go further. That's a second question that is nowhere in the legislation that I see and we're just asking the committee to open its mind to that.

Mr. Jim Eglinski:

Ms. Finestone.

Ms. Elana Finestone:

One other issue we're talking about is that people tend to be overcharged. In terms of plea deals and the other things you're talking about, and how we ended up with this simple possession charge, sometimes the Crown's just flinging whatever can stick at the wall. We shouldn't let that detract from needing to take away any simple possession conviction on the criminal record.

I think it is important to do it in stages. If it's easy, do the ones with just simple possession. But I think what we're both trying to say is that the reality for the constituents we serve is that it won't help very much, so we need to continue to keep engaging with our organizations.

I know NWAC can do the legal education and tell people what's involved, how to apply, where to connect to do that. There are organizations that do this. But we need to get this process started.

(1625)

Mr. Jim Eglinski:

Am I out of time?

The Chair:

You have a few seconds.

Mr. Jim Eglinski:

If the record were automatically gone for everybody who had simple possession, wouldn't the word get out on the street that your record's gone? I have a very difficult time understanding your trying to contact these individuals with a notification that they now don't have a criminal record. If it were automatically done with all criminal records dealing with simple possession in Canada, then why would we need to notify people? It should get out there...newspaper article.

Ms. Elana Finestone:

I think it should be automatic.

The Chair:

Thank you, Mr. Eglinski.

Ms. Sahota, for five minutes, please.

Ms. Ruby Sahota (Brampton North, Lib.):

Thanks for all the different suggestions we're getting today. Obviously, there's a lot we're thinking about in terms of amendments to this bill and making it better. Thank you for contributing to that.

We've talked quite a lot about expungements in the last few meetings. The process of expungement is very new. It wasn't really in existence up until last year. I don't think there's been a lot of experience in undertaking that process.

Mr. Cudjoe, have you helped people with pardons in the past, and what was the experience like for you or your client when you were helping them with that?

Mr. Gordon Cudjoe:

I have helped people with pardons in the past, but I should say it wasn't my main area. It was just helping them fill in the forms.

Most of my clients had very low earnings, so this had to be by a pro bono process. Raising the funds to apply for the pardon was the biggest hurdle for many of these people.

Ms. Ruby Sahota:

That's interesting. Was it funding for the application that was the hurdle?

Mr. Gordon Cudjoe:

The funding for the application was the biggest hurdle for many young people, because they were in either a paycheque-to-paycheque situation or worse. It's about coming up with the $400 to start. It was really difficult for them.

Ms. Ruby Sahota:

It's even worse at this point, because the previous government raised it to six hundred and something. This piece of legislation is addressing that. The fee for the application will no longer exist.

You said the biggest hurdle is with regard to employment and that a pardon or an expungement would help a person when it comes to employment. After helping these clients, do you know if they had an easier time once they were able to get a pardon?

Mr. Gordon Cudjoe:

In my experience, no.

Ms. Ruby Sahota:

Why do you think that is?

Mr. Gordon Cudjoe:

Because as I've said, they're starting from very basic jobs—McDonald's, Walmart, factory jobs—and it's a question that's asked. You can't lie on the form. You can't say....

I'm sorry; I didn't mean to interrupt.

Ms. Ruby Sahota:

Sorry, it's just because I have such minimal time.

If a person were to get an expungement instead of a pardon, would they be able to answer the question of whether they'd ever plead guilty to a crime in any other way?

Mr. Gordon Cudjoe:

No, you wouldn't be able to answer that in a different way. But if the question were, “Have you ever been convicted of an offence”, then yes they could. That's another question that's asked.

Ms. Ruby Sahota:

What question they ask, and how they choose to frame it, depends on the employer—

Mr. Gordon Cudjoe:

That's correct.

Ms. Ruby Sahota:

—which could generally change after this bill is implemented, and people and employers know that perhaps the best questions to ask are, “Have you ever smoked marijuana?”, “Have you ever plead guilty?” and “Have you ever been charged?”

You do raise some very good points. I never thought about that very alarming CAS incident. That's true. People grow up with very different situations and, therefore, have different challenges. Thank you for pointing that out.

However, in the past, there have been other crimes that are no longer on the books, and the pardon process has always been undertaken and used. I hope we're able to improve it to some degree, but would you agree that this is a step in the right direction and that it will help some people?

(1630)

Mr. Gordon Cudjoe:

I do agree that it's a step in the right direction and will help some people. For many of our constituents, given their level of education, how much they read and what they do in life, I think it would be a lot more helpful if it were automatic.

I've had people in court ask if they had a criminal record. They had gone to court and paid a fine, for example, for possession of marijuana, and thought they did not have a criminal record, because they didn't go to jail.

Ms. Ruby Sahota:

Yes.

Mr. Gordon Cudjoe:

It would help if it were automatic, and they can learn later on.

Ms. Ruby Sahota:

Okay. Thank you.

The Chair:

Mr. Motz.

Mr. Glen Motz:

I want to go back to a series of questions asked by both sides. We've seen your suggestions and recommendations, Ms. Finestone, but Mr. Cudjoe, we didn't have an opportunity to have yours.

If I had asked a question previously about the design process—which seems to be something of a hindrance to those who might need it most.... If you were to design the process based on the clients you deal with, sir, what needs to be done so that those who need it might be able to use it in the manner intended?

Mr. Gordon Cudjoe:

My experience is that for many young people, a possession of marijuana charge began their criminal career, and that led to so many things.

The administration of justice charges linked to those marijuana charges are crucial for our community, because of the link between those charges and what followed. Unfortunately, if you went on and robbed somebody after that, that's your issue, but the young people facing strictly administration of justice charges are the ones we're concerned about.

So many times—and I do want to go very quickly to the fail-to-appear comment about people showing their finger to the court—we're talking about 14-year-olds who received a ticket, put it in their pocket and may have lost it. That happened very often. The 14-year-old gets arrested for the fail-to-appear charge, goes to jail and has to go for bail. The Crown offers him a deal and says, “Plead guilty to your possession of marijuana, and all this goes away today,” or “Plead guilty of fail to appear, and you can go home today.”

If they had a chance to go to trial, they would have been able to say, “Not guilty”, because they did not intend to give their finger to the court. You're 14 years old, and you lost a slip of paper in your pocket.

Mr. Glen Motz:

You're referring to youth, and I appreciate that their understanding of the jeopardy they face is sometimes wanting, at best, but I am concerned that there are some gaps that will continue with this legislation. To me, one of them is the inconsistency that exists.

If someone were charged with minor possession prior to this offence, minor possession would have meant exceeding 30 grams. If they've been charged since October 2018, it's an offence to have over 30 grams.

Other witnesses have told us they have some concerns about that inconsistency. Are you seeing that being a challenge moving forward—that the group with more in their possession than 30 grams will get suspensions immediately, and others will now have to wait five years to qualify for a suspension?

(1635)

Mr. Gordon Cudjoe:

I have to admit that the number of grams is not my area of expertise. I don't know where the 30 grams came from. From court, I know police experts have stood up and said that normally, if it's over 30 grams, it means you had it for the purposes of trafficking.

Mr. Glen Motz:

Right.

Mr. Gordon Cudjoe:

To be honest, I can't really comment on that. There are too many stories to be able to give a comprehensive answer.

Mr. Glen Motz:

I have one last comment or question before my time is up.

Regardless of the government telling us that this is going to be of no cost to those who apply, we do know that the...not counting the hours it's going to take to go around to the jurisdictions where your offences were committed and maybe take fingerprints, confirm your identity, ask for your record and all the things that are going to be required in the legislation. There will be a cost associated with that. There will continue to be a cost associated with that. Will those who would benefit the most from this record suspension still be precluded from even applying for it based on those costs?

The Chair:

Very briefly, please.

Ms. Elana Finestone:

My understanding is that there are even other costs, like the fingerprinting and collecting all the documents, so yes—

Mr. Glen Motz:

That's what I'm saying. It's potentially $200.

Ms. Elana Finestone:

Right, so it's still not nothing, and it's not going as far as I think it should go.

The Chair:

Thank you, Mr. Motz.

Mr. Spengemann, you have five minutes, please.

Mr. Sven Spengemann (Mississauga—Lakeshore, Lib.):

Thank you both for being with us, and for your expertise and advocacy.

I have developed a few categories, just thinking about the issue. They include the impacts of the problem, the cost of the problem and who pays for it, and then there are the legal mechanics. I want to focus my questions on the first two, the impacts on the people you deal with—your clients, the people you're protecting and advocating for—and the question of cost.

I'm wondering if we could start out by dispelling a couple of myths, just for the record. I think it's happened in other conversations the committee has had, and in our understanding it has certainly been dispelled, but I'd just like to have you on the record as well.

The first point is that nobody really cares about single possession convictions anymore because cannabis is legal now, and employers really aren't going to be concerned if that comes back on an employee check. What's your response to that?

Ms. Elana Finestone:

We can't control what other employees think, so we shouldn't leave it to their discretion. If the government makes a law, then everyone has to abide by the same law. It's not at the discretion of employees who don't understand the injustices we're talking about.

In terms of the impact, it's not just youth. If indigenous women are in jail—and they're often single parents—they can't be with their children. That means their children are more likely to be apprehended by the children's aid society. They're also going to be more likely to plead guilty, and they're also going to be more likely to be enmeshed in the criminal justice system.

Mr. Sven Spengemann:

Mr. Cudjoe.

Mr. Gordon Cudjoe:

I agree with that answer. The question is whether you will make it to the interview stage if you have anything on your record. If the only thing on your record is the possession of marijuana, how sad that you don't get the interview.

Mr. Sven Spengemann:

Right.

If I have time, I'll get to some of that in subsequent questions.

The other point is in terms of who pays. There was debate this morning in the House of Commons on Bill C-93, and one of the lines of argument was, “Well, the median taxpayer really didn't do anything wrong here, and why should she or he pay for the cost of either expungement or a record suspension?”

I wonder if you could go on the record and just tell us not only why is it important for your clients that these costs be covered by the taxpayer but also why it's an economic advantage for the taxpayer to cover those costs, because of the empowerment that takes place vis-à-vis your clients and their ability to become competitive in the job market and on other fronts as well.

Ms. Elana Finestone:

I think—

Oh, sorry.

Mr. Gordon Cudjoe:

No, Ms. Finestone, go ahead. I was actually waiting for you to start.

Ms. Elana Finestone:

Okay.

I think that when we set people up for success, and they're able to contribute to employment and they're not stuck in shelters and they're given housing, then we're actually living in a better world. The other issue—and I think it's something we've all been alluding to—is that for a lot of people, cannabis is part of their lives, but there are certain people who are stopped and noticed by the police who are criminalized for it. I think we all have to acknowledge that everyone is doing it, not just the constituents that we serve, and that we all have a duty to pay for this.

(1640)

Mr. Sven Spengemann:

Yes. That's helpful. Thank you.

Mr. Cudjoe, do you have anything to add to that?

Mr. Gordon Cudjoe:

The only thing I would add is that anybody who follows the life of young people who are in the criminal justice system will see that at a certain point, they can go left and they can go right. If they have nowhere to go, they end up with gangs and a life of crime and so on. If they have a chance to get that first job, we all pay a lot less. We pay a lot less for the years they spend in jail and for the life that is not helpful to anyone.

Mr. Sven Spengemann:

Yes. Thank you for that.

I have a minute left, so I will hurry with my last question. I'm assuming that it's fair to say that a good proportion of the problem relates to young offenders, and that young offenders are disproportionately affected or impacted. I want to make sure we're comprehensive in terms of intersectionalities. I thought about the possibility of seniors being affected, especially seniors who are in economic circumstances such that they may have to go out and gain some additional funds through employment. Is it your experience that seniors are part of the equation? These are people who may have gotten a conviction in the seventies or eighties who are now aging and are still affected by that record.

Ms. Elana Finestone:

I can speak to criminal records in other contexts. I've been looking at how the Bedford case has been applying. There was an indigenous women who was caught up by the criminal justice system. They were looking at her record, and they said.... I think there might have been more than 20 convictions for soliciting for the purposes of prostitution and failing to appear.

I think that goes to show that these things stay for a long period of time, regardless. It could be from the seventies.

Mr. Sven Spengemann:

Okay. That's helpful.

The Chair:

We would normally go to you now, Mr. Dubé. Do you wish to have your three-minute round?

Mr. Matthew Dubé (Beloeil—Chambly, NDP):

I'm good. Thanks.

The Chair:

Okay.

Mr. Picard, you didn't get much of a—

Mr. Michel Picard:

I'm good.

The Chair:

You're good. Okay.

This would normally complete our questioning. Does anyone else wish to take advantage?

Having said that, I'll do it myself then. The proposal about administrative suspensions simultaneously would add a level of enormous complexity to what is a relatively simple bill. Do you agree with that?

Ms. Elana Finestone:

Yes.

The Chair:

You would.

Mr. Cudjoe, do you have a comment on that?

Mr. Gordon Cudjoe:

I would agree with that. My only comment is that the work would continue and that this would not be left behind.

Ms. Elana Finestone:

I agree with that.

The Chair:

Yes.

With that, I want to thank both of you....

Mr. Motz, did you have something?

Mr. Glen Motz:

I have one quick comment as a follow-up to that.

The Chair:

Okay.

Mr. Glen Motz:

If there is the opportunity to have a record suspension for the minor possession of marijuana, and we have these administrative charges that follow, potentially, in some circumstances, I appreciate that this would be an onerous process with an entire case-by-case review of the connection. They would only qualify, based on the legislation, if this were the only charge they had. Is there still not an avenue that then, five years later, if this administrative charge were related to the marijuana suspension, it could be automatically done as well? Is that a possibility? We don't include it immediately upon the marijuana possession suspension, but it is flagged or earmarked or whatever to say that because this is related to that, in the five-year wait period we have currently, this is automatically, then, a record suspension after the fact. Is that something that could be workable?

Ms. Elana Finestone:

Yes, I think so, as long as the first thing that gets taken out is the possession.

Mr. Glen Motz:

The marijuana: yes.

Ms. Elana Finestone:

Then we could move on in the five years. We don't want it to take that opportunity away.

Mr. Glen Motz:

Yes.

Mr. Cudjoe.

Mr. Gordon Cudjoe:

It is workable. I would say that in that particular case, it's easy to put the onus on the person who wants it dropped to get a copy of their information to show that it is directly related to their possession of marijuana.

Mr. Glen Motz:

Okay.

Thank you.

The Chair:

With that, I want to thank the witnesses for their patience with us and for the effectiveness of their witnessing.

We'll now suspend the meeting and go in camera to discuss the future business of the committee.

[Proceedings continue in camera]

Comité permanent de la sécurité publique et nationale

(1530)

[Traduction]

Le président (L'hon. John McKay (Scarborough—Guildwood, Lib.)):

Mesdames et messieurs, je constate que nous avons le quorum, et si mes yeux ne me jouent pas de tour, il semble qu'il soit tout près de 15 h 30.

Nous accueillons aujourd'hui Mme Elana Finestone de l'Association des femmes autochtones du Canada, et M. Cudjoe de l'Association des avocats noirs du Canada.

Je vais demander à M. Cudjoe de prendre la parole en premier pendant 10 minutes, tout simplement parce que la technologie nous fait faux bond parfois.

Chers collègues, nous avons réalisé le premier élément du processus aujourd'hui, qui consistait à regrouper les deux témoins pour gagner du temps. Je pense qu'il y aura beaucoup de questions et il se pourrait que nous empiétions sur la deuxième heure.

Deuxièmement, j'espère qu'au cours des deux heures aujourd'hui, nous conviendrons d'une façon de procéder pour la présentation des amendements et que nous choisirons une date pour l'étude article par article.

J'ai suggéré à M. Paul-Hus et à M. Dubé que nous terminions les amendements d'ici la fin de la semaine. Je suis conscient qu'il y a des problèmes du côté de la traduction, puisque les rédacteurs ne s'en occupent que lorsque le projet de loi est renvoyé au comité. En passant, c'est un problème pour tous les partis.

Si, pendant les deux heures que nous passons ensemble, vous pouviez m'indiquer si nous pouvons aller de l'avant avec une motion, le Sous-comité n'aurait pas à se réunir. Dans le cas contraire, si nous ne pouvons pas nous entendre, le sous-comité devra se réunir pour convenir d'une façon de procéder.

Sur ce, je vais demander à M. Cudjoe de procéder à sa déclaration liminaire. Vous avez 10 minutes.

Merci, monsieur, d'être avec nous aujourd'hui.

M. Gordon Cudjoe (vice-président, Association des Avocats Noirs du Canada):

Je vous remercie beaucoup de me donner l'occasion de comparaître. Au nom de l'Association des avocats noirs du Canada, j'aimerais vous dire que nous sommes très heureux de savoir que quelqu'un pense que notre voix mérite d'être entendue.

Je m'excuse de ne pas pouvoir être avec vous en personne. On m'a confié la mission de venir témoigner un peu tard, et c'est pourquoi je n'ai pas de mémoire.

J'ai pris connaissance des documents présentés par les autres témoins, et comme presque tous les sujets ont été abordés, mon exposé sera relativement court.

Je ne sais pas si vous avez entendu la recommandation de l'Association des avocats noirs du Canada. J'ai entendu qu'on a demandé de supprimer le casier judiciaire et d'apporter des modifications à la suspension du casier judiciaire. Dans le cas des jeunes Noirs et des jeunes Autochtones qui ont été accusés de possession de marijuana, la principale préoccupation est liée aux répercussions que cela peut avoir pour leurs emplois futurs et pour eux.

Si le comité considère que les condamnations n'auraient sans doute pas dû se produire en premier lieu, la suspension du casier judiciaire ressemblera presque à un geste symbolique. Après en avoir discuté avec notre conseil d'administration, nous recommandons que les accusations pour possession simple de marijuana et les accusations connexes soient considérées comme des infractions réglementaires.

L'ardoise ne sera pas effacée complètement — on peut toujours y faire référence —, mais le grand avantage, et je parle au nom des jeunes qui se cherchent un premier emploi, est que les employeurs peuvent contourner la mesure de suspension du casier en posant la question suivante: « Avez-vous plaidé coupable à une infraction criminelle? »

Peu importe que la personne ait obtenu un pardon ou non, on ne peut pas se soustraire à la question. Sur le formulaire, si vous indiquez que vous avez plaidé coupable à une infraction criminelle, vous ne vous rendrez même pas à l'entrevue, et c'est pourquoi la suspension du casier pour de nombreux jeunes hommes qui tentent d'entrer sur le marché du travail équivaut à un geste symbolique. Les employeurs ne vous demandent pas si vous avez un casier judiciaire, mais si vous avez plaidé coupable à une infraction, ou si un tribunal vous a reconnu coupable d'une infraction.

Pour un jeune, c'est encore pire. Son casier peut être scellé après trois à cinq ans, selon qu'il a été condamné pour une infraction punissable par voie de déclaration sommaire de culpabilité ou par mise en accusation. Dans le cas d'une accusation pour possession simple de marijuana, le casier peut être rouvert s'il y a récidive. Dans le cas d'une suspension, je ne sais pas comment cela fonctionnerait dans le cas du scellement d'un casier pour de bon. Le problème vient du fait que les provinces font rapport du casier des jeunes en disant qu'il y a quelque chose au dossier, mais qu'elles ne peuvent pas nous dire de quoi il s'agit. Dans le cas d'une accusation pour possession de marijuana, le jeune est mis dans le même bain que quelqu'un qui a commis un homicide, un vol, une introduction par effraction, une agression sexuelle, et vous savez quoi? On ne peut pas nous dire de quoi il s'agit. C'est donc pire pour un jeune.

Notre recommandation serait donc d'en faire une infraction réglementaire. Par exemple, j'ai pensé à une expression: « l'acte de possession simple de marijuana ». De cette façon, on peut éviter d'empêcher des jeunes d'obtenir leur premier emploi, contourner le problème du scellement d'un casier pour de bon.

Je sais que Mme Finestone vous parlera des infractions administratives, mais il y a une accusation en particulier que j'ai pu observer sur le terrain et qui découle du fait qu'un jeune a été accusé de possession de marijuana.

La deuxième fois qu'un jeune de 14 ou 15 ans se fait interroger par un agent de police, il prend peur. Il a déjà un pied dans le système judiciaire. Il se peut qu'il ne soit pas arrêté pour une infraction à ce moment-là, mais comme il a déjà été accusé de possession de marijuana, bien souvent, il ment au sujet de son nom. Il est alors accusé d'obstruction à un agent de police. Tout cela découle de sa première accusation de possession de marijuana, et devinez quoi? Sa carrière de criminel vient de commencer.

(1535)



Pour nombre de jeunes qui vivent en banlieue, qui vont dans de bonnes écoles et à qui la vie sourit, il se pourrait que ce ne soit pas un gros obstacle. Toutefois, pour les jeunes qui viennent de milieux extrêmement pauvres et de familles qui n'ont pas les moyens de leur donner un coup de pouce, c'est un obstacle énorme. C'est pourquoi la suspension du casier, qui peut avoir l'apparence d'une carte blanche pour tous, ne tient pas compte de tous ceux qui ont été accusés de possession de marijuana, en particulier lorsqu'ils étaient jeunes.

Je vais demander au Comité de regarder les chiffres sur le nombre de jeunes hommes noirs et des Premières Nations qui ont été accusés de possession de marijuana et de garder ces chiffres à l'esprit au moment des recommandations, peu importe ce que le Comité décide de faire. La réalité sur le terrain pour les jeunes Noirs et Autochtones est très différente des autres. On entend souvent les agents de police parler de quelqu'un qui est « connu de la police ». Il l'est parfois pour avoir été accusé de possession simple de marijuana, mais cette personne retient ensuite l'attention de l'agent de police qui se promène dans les rues. Beaucoup de ces jeunes hommes ne peuvent pas rester à la maison toute la journée pour jouer à des jeux vidéo — ils n'en ont sans doute pas. Ils se promènent donc dans les rues et croisent régulièrement des policiers.

Un cas en particulier s'est même rendu à la Cour suprême: R. c. Mann. M. Mann se promenait dans la rue. Les agents de police venaient d'avoir un appel pour une introduction par effraction. Ils ont aperçu M. Mann, et comme M. Mann était un jeune homme autochtone, il correspondait au profil. Il portait des vêtements totalement différents, mais il correspondait au profil. Il a été arrêté par les agents qui l'ont, pour des raisons de sécurité, fouillé et ont trouvé de la marijuana dans sa poche. La Cour suprême a rejeté les accusations, mais l'affaire s'est tout de même rendue jusqu'en Cour suprême.

Qu'est-ce que cela signifie pour M. Mann et nombre de jeunes hommes qui sont poursuivis en justice pour possession de marijuana? Passons en revue les étapes du processus. Il y a d'abord la comparution devant le tribunal, ce qui correspond essentiellement à l'humiliation publique du jeune homme pour possession de marijuana. Il y a ensuite le risque d'autres accusations, parce qu'il est libéré sous conditions. Il y a le risque de détention s'il est arrêté pour quoi que ce soit d'autre. Il y a la stigmatisation associée au fait de se présenter au tribunal avec des gens qui doivent répondre d'accusations beaucoup plus graves que les siennes. De plus, si ce jeune ne reçoit pas ensuite des conseils avisés, il peut se dire ce que d'autres jeunes se disent: « Je veux en finir. » Il est maintenant étiqueté pour la vie en raison d'une accusation de possession de marijuana. Ses possibilités d'emploi viennent de lui filer entre les doigts. Et on parle ici de jeunes hommes pour qui il est déjà difficile d'entrer sur le marché du travail.

Ensuite, viennent le défaut de se présenter, le non-respect des conditions de probation, ce qui veut dire que le jeune a omis de se présenter à son agent de probation. Lorsque le casier est suspendu, qu'est-ce qui apparaît? Je le mentionne parce qu'il arrive parfois que pour une accusation de possession de marijuana, l'effet puisse être insidieux si les provinces disent qu'il y a quelque chose au dossier, mais qu'elles ne peuvent pas dire de quoi il s'agit.

Je vais répondre à un commentaire en particulier qui a été fait au sujet des procureurs concluant des accords pour revoir à la baisse les accusations de possession de marijuana. Je pense qu'on remet ici en question l'intégrité des procureurs. Je doute qu'ils concluent des accords qui ne soient pas fondés. Qui plus est, nous savons tous…

(1540)

Le président:

Monsieur Cudjoe, je ne suis pas certain que vous puissiez me voir, mais j'essayais d'attirer votre attention.

M. Gordon Cudjoe:

Oh.

Le président:

Il vous restait deux minutes, et maintenant il ne vous en reste qu'une.

Si vous pouviez conclure, ce serait bien, s'il vous plaît

Merci.

M. Gordon Cudjoe:

Merci beaucoup, monsieur le président.

J'en étais à mon dernier point...

Le président:

Excellent.

M. Gordon Cudjoe:

... et je ne pensais pas en avoir pour 10 minutes.

Merci beaucoup.

Au sujet des accords dont on a parlé, j'aimerais que le Comité prenne en considération le fait que de nombreux accords sont conclus parce qu'il y avait des suraccusations. Je pense qu'il s'agit d'un faux problème.

Je vais maintenant attendre vos questions.

Merci beaucoup.

Le président:

Merci, monsieur Cudjoe. Je vous en suis reconnaissant.

Madame Finestone, vous avez 10 minutes.

Mme Elana Finestone (conseillère juridique, Association des femmes autochtones du Canada):

Avant que mes 10 minutes commencent, j'aimerais préciser, à titre d'information, que j'ai quelques recommandations et propositions d'amendements que je viens de déposer. Je ne les aborderai pas en détail, car nous pourrons en discuter durant la période des questions, si vous le souhaitez.

Bonjour à tous. Je tiens à remercier le Comité permanent de la sécurité publique et nationale de m'avoir invitée à comparaître aujourd'hui pour parler du projet de loi C-93.

Je témoigne au nom de l'Association des femmes autochtones du Canada — l'AFAC. Pour ceux qui ne le savent pas, l'AFAC est une organisation autochtone nationale qui représente la voix politique des femmes, des filles et des personnes de diverses identités de genre autochtones au Canada, ce qui comprend les Premières Nations à l'intérieur et à l'extérieur des réserves, les Indiens inscrits et non inscrits, les Métis et les Inuits.

L'AFAC examine les facteurs systémiques qui touchent les interactions des femmes autochtones avec lesystème de justice pénale et cherche à instaurer des réformes qui atténueront les préjudices subis par les femmes autochtones ayant des démêlés avec la justice.

Je suis ici aujourd'hui pour parler de justice: corriger les injustices historiques, tenir compte des infractions contre l'administration de la justice et accroître l'accès des femmes autochtones à la justice.

Tout d'abord, j'aimerais présenter le contexte de mes recommandations. Les femmes autochtones sont mal protégées par le système de justice pénale dans les cas de violence, de disparition ou d'assassinat; pourtant, elles en subissent les conséquences de manière disproportionnée.

Trop de femmes autochtones vivent dans la pauvreté, font face à la précarité en matière de logement, manquent de soutien familial et souffrent de maladies mentales. Elles ont généralement une connaissance insuffisante du système de justice pénale, d'autant plus qu'elles ne sont souvent pas représentées par des avocats. Elles sont confrontées à des barrières culturelles et linguistiques dans l'ensemble du système.

À la lumière des recommandations formulées par la Commission royale sur les peuples autochtones et la Commission de vérité et réconciliation, ainsi que d'après les témoignages de femmes autochtones elles-mêmes, nous savons que leur expérience du système de justice pénale est attribuable au colonialisme et au racisme. La criminalisation des femmes autochtones est un aspect d'un problème plus vaste.

L'AFAC recommande que le projet de loi C-93 tienne compte de ces réalités et y remédie de façon valable. Je suis ici aujourd'hui, au nom de l'AFAC, pour faire des recommandations concrètes destinées à rectifier le tir en ce qui concerne les répercussions du projet de loi, dans sa forme actuelle, sur les femmes autochtones.

Le projet de loi C-93 constitue une étape importante vers la reconnaissance des torts causés par les politiques sévères en matière de lutte antidrogue et leurs effets négatifs sur les femmes autochtones, surtout celles qui sont pauvres et qui sont condamnées pour des infractions mineures. Malheureusement, les effets du projet de loi ne changeront rien dans le cas de nombreuses femmes autochtones ayant un casier judiciaire pour la possession simple de cannabis. Autrement dit, le projet de loi demeure inaccessible pour les femmes autochtones démunies qui sont aux prises avec des problèmes liés à l'administration de la justice parce qu'elles ont été reconnues coupables de possession simple de cannabis.

Au bout compte, l'AFAC recommande que le projet de loi C-93 serve à radier les casiers judiciaires pour la possession simple de cannabis et les infractions connexes contre l'administration de la justice. Comme solution de rechange, l'AFAC met de l'avant trois recommandations.

La première vise à corriger les injustices historiques. La Chambre a reconnu que la prohibition du cannabis était une mauvaise politique. Le Parti libéral a admis que les peuples autochtones ont été « traité[s] différemment par la police [...], jugé[s] différemment et géré[s] différemment par les tribunaux » et que ces casiers judiciaires ont nui de manière disproportionnée aux jeunes démunis, ethnicisés et autochtones.

À l'AFAC, nous savons que les femmes autochtones sont moins susceptibles d'échapper au système de justice pénale. Nous savons également que le cannabis était jadis légal au Canada jusqu'à ce qu'il soit associé aux gens de couleur et jugé tellement dangereux qu'une application plus rigoureuse de la loi s'imposait, le tout accompagné de pouvoirs policiers accrus, pour en limiter la consommation.

Corrigeons donc ces injustices historiques et interprétons le projet de loi de manière à redresser ces torts du passé.

À cette fin, j'ai repris le libellé du préambule du projet de loi C-415, mais j'y ai fait quelques ajouts. Je recommande de maintenir tel quel le préambule qui figure à la page 3, mais j'ajouterais simplement ce qui suit au deuxième paragraphe: Attendu que, dans les arrêts R. c. Gladue et R. c. Ipeelee, la Cour suprême du Canada reconnaît que les peuples et les communautés autochtones font face à du racisme et à de la discrimination systémique dans le système de justice pénale.

(1545)



Au dernier paragraphe, j'ajouterais que de telles condamnations ont eu une incidence négative non seulement sur les perspectives d'emploi de ces personnes, mais aussi sur la garde de leurs enfants et les droits de visite.

La deuxième recommandation concerne la nécessité de tenir compte des infractions contre l'administration de la justice, une réalité que vivent les femmes autochtones criminalisées. En tant que groupe, les femmes ont tendance à commettre des crimes de moindre gravité. Plus de la moitié des crimes commis par les femmes sont des infractions contre les biens ou des infractions contre l'administration de la justice. On entend par là des infractions criminelles, comme l'omission de comparaître et l'omission de se conformer à des conditions, pour ne nommer que celles-là. Vous trouverez une liste complète des infractions aux pages 4 et 5 des recommandations de l'AFAC.

Les infractions contre l'administration de la justice sont également connues comme le « syndrome de la récidive criminelle », parce que les personnes accusées de telles infractions ont plus de mal à quitter le système de justice pénale. C'est tout particulièrement vrai pour les femmes autochtones criminalisées. D'ailleurs, le nombre de femmes accusées d'infractions contre l'administration de la justice augmente plus rapidement que le nombre d'hommes accusés de telles infractions.

Les infractions contre l'administration de la justice peuvent être liées à la marginalisation des femmes autochtones. Compte tenu de leur réalité, les femmes autochtones criminalisées n'ont pas les appuis ou les moyens nécessaires pour se conformer aux conditions du système de justice pénale. Cela n'excuse pas leur comportement, mais c'est une réalité. À titre d'exemple, les femmes autochtones dans les communautés éloignées pourraient ne pas être en mesure de se présenter devant un tribunal situé dans une ville éloignée et, par conséquent, elles pourraient être accusées de plusieurs infractions liées au défaut de comparaître. Une autre personne risque d'enfreindre involontairement les conditions de sa libération sous caution si elle n'a pas de logement, parce qu'elle ne pourrait pas recevoir les avis du tribunal. Lorsqu'une femme autochtone reçoit l'ordre de ne pas se rendre à sa résidence comme condition de sa mise en liberté provisoire et qu'elle n'a accès à aucun autre logement ou soutien communautaire, elle est contrainte d'enfreindre cette ordonnance pour trouver un abri. Par conséquent, les Autochtones et les Canadiens marginalisés sont plus susceptibles de faire l'objet d'accusations et, en cas de libération sous caution, de se voir imposer des conditions plus strictes, voire impossibles à remplir.

Toutes ces infractions contre l'administration de la justice s'ajoutent au casier judiciaire des femmes autochtones et les condamnent à l'échec. Dans l'état actuel des choses, les femmes autochtones qui sont initialement reconnues coupables de possession simple de cannabis et qui accumulent de telles infractions contre l'administration de la justice ne peuvent pas demander ou obtenir une suspension de leur casier aux termes du projet de loi C-93.

C'est pourquoi l'AFAC recommande que le projet de loi C-93 autorise les personnes ayant été condamnées pour possession simple de cannabis et reconnues coupables d'infractions connexes contre l'administration de la justice à demander et à obtenir une suspension de leur casier judiciaire à cet égard.

Ma dernière recommandation est d'accroître l'accès à la justice. Compte tenu de la pauvreté et des infractions contre l'administration de la justice qui affligent les groupes ethnicisés et marginalisés touchés par la Loi sur le cannabis, l'AFAC recommande que les personnes n'ayant pas fini de purger leur peine pour une infraction prévue au paragraphe 4(3.1) soient en mesure de présenter une demande de suspension de leur casier judiciaire. Il n'est pas logique que des gens continuent de purger une peine pour un comportement qui est maintenant légal. Cet amendement ferait en sorte que les personnes en situation de pauvreté qui n'ont pas les moyens de payer leurs amendes puissent profiter du projet de loi C-93.

Pour que la loi ait une incidence positive sur les femmes autochtones criminalisées, le projet de loi C-93 doit prévoir une analyse sexospécifique de l'histoire du racisme et de la discrimination systémique au Canada envers les peuples autochtones. La criminalisation des femmes autochtones est l'une des séquelles de la colonisation. Les femmes autochtones qui sont généralement criminalisées à la suite d'infractions de possession simple de cannabis ont tendance à vivre dans la pauvreté, à faire l'objet d'une surveillance policière excessive et à rester prises dans le système de justice pénale en raison des infractions contre l'administration de la justice.

Les femmes autochtones criminalisées sont condamnées à l'échec dans un tel système de justice pénale. En permettant aux gens de se libérer du fardeau d'un casier judiciaire lié à un acte qui est désormais légal, peu importe s'ils ont fini de purger leur peine ou non, le Canada a maintenant l'occasion de faire un pas dans la bonne direction pour corriger les torts du passé.

Je vous remercie beaucoup d'avoir pris le temps de m'écouter. J'ai hâte de discuter avec vous de cette question très importante.

(1550)

Le président:

Merci, madame Finestone.

Monsieur Cudjoe, merci.

Monsieur Graham, vous avez sept minutes.

M. David de Burgh Graham (Laurentides—Labelle, Lib.):

Merci. Je vais commencer par M. Cudjoe.

Vous avez dit au tout début que la question suivante revient souvent: « Avez-vous plaidé coupable à une infraction criminelle? » Je n'en avais pas entendu parler. Cela ne va-t-il pas à l'encontre des lois sur les droits de la personne?

M. Gordon Cudjoe:

Oui. Le cas échéant, si ce n'est pas contesté — et on parle ici de jeunes qui remplissent des formulaires de demande d'emploi pour Walmart et d'autres entreprises de ce genre, qui n'auront pas les ressources juridiques pour contester cela... Il faudrait un groupe, par exemple, le Black Legal Action Centre, ou quelque chose de ce genre, pour contester cela. Cette question peut être posée différemment, sur un autre formulaire, pour contourner le problème.

Par conséquent, cela pourrait aller à l'encontre des droits de la personne. Je pense que oui. À mon avis, c'est le cas de toute question qui concerne les absolutions conditionnelles et inconditionnelles. Cependant, j'en ai vu trois ou quatre variantes et, en fait, je crois que dans l'un des cas, c'était un organisme gouvernemental, à savoir le Conseil ontarien du commerce des véhicules automobiles. Son formulaire pour les vendeurs de véhicules automobiles contient une question très semblable qui ne vous permet pas de signaler une libération conditionnelle, ce qui aurait été possible il y a 10 ans.

M. David de Burgh Graham:

On se fait également poser une question semblable à la frontière américaine: « Avez-vous déjà été arrêté? »

M. Gordon Cudjoe:

Merci.

M. David de Burgh Graham:

Très bien. Merci.

J'ai quelques questions à vous poser, madame Finestone. Vous avez parlé de l'ajout d'un préambule. Cela a-t-il le moindre poids dans le cadre d'une loi?

Mme Elana Finestone:

Un préambule aide les gens à interpréter l'esprit de la loi. Par conséquent, lorsque nous interprétons cette mesure législative, nous le ferions d'une manière qui reconnaît les injustices historiques, ce qui permettrait de corriger ces torts.

M. David de Burgh Graham:

Vous avez dit dans votre exposé que vous ne vouliez pas entrer dans les détails, mais aux fins du compte rendu, pourriez-vous passer en revue brièvement les quatre ou cinq infractions et nous dire, pour les besoins de la cause, si vous voulez que chaque infraction soit pardonnée automatiquement ou subjectivement? Y a-t-il un moyen de juger si un pardon pour les infractions supplémentaires devrait être automatique ou subjectif en fonction de la demande?

Mme Elana Finestone:

Nous aimerions que ce soit automatique. Voulez-vous que je passe en revue les infractions énumérées aux pages 4 et 5?

M. David de Burgh Graham:

Très brièvement, parce qu'il y en a cinq ou six ici, alors ce serait bien...

Mme Elana Finestone:

Oui, bien sûr.

(1555)

M. David de Burgh Graham:

... d'avoir un contexte pour chacune des infractions afin de comprendre pourquoi certaines figurent sur la liste et d'autres, pas.

Mme Elana Finestone:

Volontiers.

J'ai examiné les infractions au Code criminel qui...

M. David de Burgh Graham:

Celles qui sont les plus courantes.

Mme Elana Finestone:

... seraient les plus courantes pour des choses comme le cannabis — et non pour les infractions sexuelles, parce que, là encore, j'aimerais ramener la discussion sur le cannabis.

Par exemple, il y a le paragraphe 145(2) du Code criminel, omission de comparaître; le paragraphe 145(3), omission de se conformer à une condition d'une promesse ou d'un engagement; le paragraphe 145(4), omission de comparaître ou de se conformer à une sommation; le paragraphe 145(5), omission de comparaître ou de se conformer à une citation à comparaître ou à une promesse de comparaître; enfin, le paragraphe 733.1(1), défaut de se conformer à une ordonnance de probation.

J'ai défini les infractions contre l'administration de la justice uniquement dans le contexte du paragraphe 4(3.1) du projet de loi, pour que nous sachions que nous parlons strictement de la possession simple de cannabis en ce qui concerne les casiers judiciaires. J'ai donc inclus ces dispositions dans la définition.

Ensuite, j'ai proposé des amendements, que vous verrez à la page 6, car, dans sa forme actuelle, le projet de loi ne permet pas aux gens de demander une suspension du casier judiciaire s'ils ont commis d'autres infractions. Ainsi, ces amendements feraient en sorte que les gens puissent présenter une demande s'ils ont commis une infraction contre l'administration de la justice mettant en cause la possession simple de cannabis.

Ensuite, à la page suivante où nous parlons de l'obtention d'une suspension du casier, j'ai proposé des amendements pour que les gens puissent obtenir une suspension du casier non seulement pour la possession simple de cannabis, mais aussi pour les infractions connexes contre l'administration de la justice. Par exemple, si une personne est accusée ou reconnue coupable de possession simple de cannabis, mais qu'elle ne se présente pas devant le tribunal concernant cette accusation précise, et rien de plus — encore une fois, nous parlons de cannabis —, alors cela devrait être effacé de son casier.

Il est tout à fait inutile de supprimer une partie du casier, mais de laisser une foule d'infractions contre l'administration de la justice, ce qui serait le cas pour les personnes marginalisées et racialisées.

M. David de Burgh Graham:

Dans la version actuelle du projet de loi, si les gens ont commis une infraction contre l'administration de la justice, pourraient-ils présenter une demande, étant donné que la restriction s'applique uniquement...

Mme Elana Finestone:

Non, ils ne pourraient pas.

M. David de Burgh Graham:

Il y a une chose que je voudrais éclaircir. Vous avez très bien expliqué pourquoi les gens dans certaines communautés ne sont pas en mesure de se rendre à un tribunal, et tout le reste. Cependant, dans le cas d'une personne qui refuse délibérément de se présenter devant le tribunal et qui se contente de dénoncer le système, devrions-nous, là encore, supprimer automatiquement les autres infractions connexes?

Mme Elana Finestone:

Je crois que nous devons revenir au fait que le cannabis est maintenant légal; en effet, si ce produit était légal il y a quelques années, les gens ne seraient pas piégés dans le système de justice pénale. Nous savons que les personnes qui sont prises dans ce système sont souvent marginalisées. Bref, je suppose que la réponse est oui, parce que nous devons rayer ces infractions des casiers judiciaires.

M. David de Burgh Graham:

Est-ce qu'il me reste du temps?

Le président:

Il vous reste 45 secondes.

M. David de Burgh Graham:

Je vais les céder à M. Picard. [Français]

M. Michel Picard (Montarville, Lib.):

Comment pouvez-vous lier ces dossiers?[Traduction]

Pardon, comment pouvez-vous lier ces dossiers d'obstruction?

Mme Elana Finestone: Comment puis-je... Je suis désolée...

Un député: Votre temps est écoulé.

M. Michel Picard: Je sais.

Le président:

Votre temps est écoulé.

M. Nathan Cullen (Skeena—Bulkley Valley, NPD):

C'est à vous de trancher, monsieur le président.

M. Michel Picard:

Comment pouvez-vous lier les dossiers d'obstruction et d'administration précisément au dossier de possession de cannabis? Est-ce qu'on précise, dans le casier, qu'une obstruction a été appliquée en raison du dossier de cannabis, ou n'y a-t-il rien dans le dossier d'administration pour établir un tel lien? Ainsi, comment puis-je prendre le risque d'effacer ces infractions?

Mme Elana Finestone:

D'après ce que j'ai compris, c'est qu'il y aurait l'accusation de possession simple de cannabis, puis la personne serait citée à comparaître pour cette accusation. M. Cudjoe pourrait peut-être nous en dire plus à ce sujet. Essentiellement, il y aurait un échéancier. Toutes ces infractions relatives à l'administration de la justice viendraient après l'accusation initiale de possession simple de cannabis.

Le président:

À un autre moment, M. Cudjoe va devoir nous donner des précisions à ce sujet.

Mme Elana Finestone:

Oui, ce serait apprécié.

(1600)

Le président:

Nous allons donner la parole à M. Motz, pour sept minutes.

M. Glen Motz (Medicine Hat—Cardston—Warner, PCC):

Je remercie nos deux témoins de leur présence.

Est-ce que l'un ou l'autre de vos organismes a été consulté avant l'adoption de ce projet de loi? Pouvez-vous voir que vos objections... Évidemment, je connais la réponse à ma prochaine question, mais vos objections ne sont évidemment pas prises en compte dans les lois actuelles.

Mme Elana Finestone:

Non, elles ne le sont pas. J'ai été invitée à une réunion avec M. Matthew Dubé et M. Murray Rankin pour discuter du projet de loi C-415 et, comme cela a un lien avec le projet de loi C-93, nous avons également été invités à nous prononcer à ce sujet. Cependant, tout cela s'est fait en périphérie, alors non, je dirais que nos objections n'ont pas vraiment été prises en compte.

M. Glen Motz:

Monsieur Cudjoe, nous vous écoutons.

M. Gordon Cudjoe:

En fait, je préside le comité de défense des droits de l'Association des avocats noirs du Canada. La première fois que nous en avons eu connaissance, c'est lorsque l'avis d'audience a été émis.

M. Glen Motz:

D'accord. Je vous remercie.

Vous avez soulevé la question, madame Finestone, et je voudrais juste en parler. J'ai de la difficulté à associer les accusations relatives à l'administration de la justice et la suspension du casier qui s'y rattache parce qu'elles portent sur un autre sujet. Nous sommes conscients que la possession de marijuana est maintenant légale. Toutefois, une infraction relative à l'administration de la justice signifie essentiellement que la personne a envoyé paître le système judiciaire.

L'expérience m'a appris que certaines des communautés « marginalisées », comme vous les avez appelées — ou celles qui ont des problèmes de santé mentale —, ne mesurent pas la gravité de leurs actes passés. Je comprends cela. Il se pourrait aussi qu'elles aient été dans une situation où elles ne se conformaient pas. Il y a ici des infractions passablement graves qui ont une incidence sur la tournure que les choses peuvent prendre pour ces personnes, et à l'heure actuelle — c'est plus une déclaration qu'une réponse —, j'ai vraiment de la difficulté à voir comment le lien pourrait fonctionner.

L'une des choses que les fonctionnaires nous ont dites la semaine dernière, c'est que, selon les estimations, il y a environ 250 000 Canadiens qui ont un casier judiciaire pour possession d'une petite quantité de marijuana et qui pourraient être admissibles à ces suspensions, mais que seulement 10 000 d'entre eux pourraient envisager ce processus. D'après l'expérience que vous avez, est-ce que l'un de vous deux a une idée de l'exactitude de ces chiffres?

Mme Elana Finestone:

Monsieur Cudjoe, voulez-vous commencer?

M. Gordon Cudjoe:

Pour être honnête, les chiffres ne sont pas une question d'expérience, mais je pense que Mme Finestone a évoqué cela elle aussi. Si c'est automatique, cela change radicalement le résultat. Si la suspension du casier est automatique et que vous n'avez pas besoin de commencer le processus, cela change radicalement la donne...

M. Glen Motz:

Je suis désolé de vous interrompre, mais ce que les fonctionnaires nous ont dit, c'est qu'avec les lois actuelles, cette possibilité pourrait s'appliquer à environ 10 000 personnes. C'est le chiffre le plus plausible qu'ils ont pu avancer.

J'aimerais vous parler de quelque chose d'un peu plus sérieux. Pour ce qui est de la façon dont le processus se déroule — et je pense que c'est ce à quoi vous étiez sur le point d'arriver si je vous avais laissé continuer —, disons que tous les groupes qui ont comparu devant nous avaient un problème avec le processus. Je signale que le vérificateur général a demandé à maintes reprises aux ministères de mettre en œuvre des systèmes fondés sur leurs processus plutôt que sur un processus visant à servir les Canadiens de la meilleure façon possible.

À votre avis, le processus présenté dans ce projet de loi entrave-t-il ou aide-t-il les Canadiens avec qui vous interagissez? Le processus prévu pour présenter une demande tient-il compte des capacités de ceux qui pourraient en avoir le plus besoin?

Mme Elana Finestone:

Je dirais que c'est un obstacle. Je crois que le Comité a fait un rapport sur l'inaccessibilité des suspensions de casier judiciaire. Tout d'abord, beaucoup de gens ne savent pas qu'ils peuvent se prévaloir de cela. Il arrive aussi qu'on leur fasse croire qu'ils devront payer des sommes astronomiques pour ce faire, alors que, dans les faits, ce n'est pas si cher que cela.

Je pense que le point que j'essayais de faire tout à l'heure, c'est que beaucoup de gens ne connaissent même pas la loi. Ce n'est pas le seul problème que j'ai évoqué et dont j'ai parlé avec des membres de la collectivité. C'est une loi qui touche particulièrement les collectivités autochtones, et elles n'en ont jamais entendu parler.

Je crois que le fait que les gens risquent d'avoir à reprendre tout le processus depuis le début explique les chiffres plutôt modestes que vous évoquez quant au nombre de gens qui vont vraiment faire la démarche. En ce moment, c'est un fait: il n'y a pas d'accès à la justice pour les groupes dont je parle.

(1605)

M. Glen Motz:

Ce ne sont pas mes chiffres. Ce sont les chiffres que les fonctionnaires nous ont fournis.

Mme Elana Finestone:

D'accord.

M. Glen Motz:

Monsieur Cudjoe, avez-vous des idées à ce sujet?

M. Gordon Cudjoe:

Seulement quelques réflexions. Dans ma pratique personnelle, bon nombre des personnes que je représentais étaient des sans-abri, des malades mentaux ou des gens qui étaient sur le point de le devenir. C'étaient des gens qui étaient très peu scolarisés. Le fait de ne pas rendre cela automatique ne fera rien pour aider tous ces gens qui ont été reconnus coupables de possession de marijuana. Au contraire, ce projet de loi viendra en aide à ceux qui sont capables de lire et de se tenir au courant de ce qui se passe dans le système judiciaire.

Pour aller un peu plus loin, disons très rapidement qu'en Ontario, parce que l'aide juridique est financée à un niveau si bas et qu'il faut aller en prison avant d'y avoir droit, de nombreuses personnes qui sont entrées dans le système de justice pénale pour des accusations de possession de marijuana n'avaient pas d'avocats. Elles ont fait ce qui était le plus facile pour elles et ont accepté le premier marché que la Couronne leur proposait. Elles n'ont pas contesté la fouille qui a mené à l'accusation de possession et elles n'ont pas tenté d'obtenir quelque chose comme une libération conditionnelle parce que, ce jour-là, cette possibilité ne leur a pas été offerte. Je demande au Comité d'examiner l'ensemble de la question à la lumière de cela.

Le président:

Nous allons devoir nous arrêter là, monsieur Motz.

Monsieur Cullen, bienvenue au Comité. Vous avez sept minutes.

M. Nathan Cullen:

Merci, monsieur le président, et merci à nos deux témoins. Ces échanges sont éclairants.

J'ai ce qui pourrait être une expérience toute particulière dans ce domaine. J'ai grandi à Rexdale, et je vis maintenant dans une collectivité nordique de la Colombie-Britannique, collectivité que je représente. Quand j'étais plus jeune, des amis à moi avaient un terme pour décrire cela: le crime était de « marcher dans la peau d'un Noir ». Dans mon patelin, les risques d'être arrêté ou d'être ramassé par la police étaient considérablement plus grands si vous étiez jeune et noir. Toutes nos statistiques le confirment. À Vancouver, les Autochtones sont sept fois plus susceptibles d'être arrêtés que les Blancs, et à Regina, ils le sont neuf fois plus.

Monsieur Cudjoe, j'aimerais revenir sur ce qu'a dit mon collègue conservateur. Si un enfant blanc de la classe moyenne est arrêté pour possession de drogue et qu'il a accès à un avocat, les risques qu'il ait un casier judiciaire ou un casier judiciaire secondaire pour une accusation relative à l'administration de la justice sont beaucoup plus faibles que pour une personne qui vit dans la pauvreté, ou qui est issue d'une communauté ethnique ou marginalisée. Est-ce que c'est exact?

M. Gordon Cudjoe:

C'est exact, et c'est un groupe sur lequel je me suis focalisé, parce que je sais que dans la plupart des cas, les parents qui trouvaient de la marijuana dans les vêtements de leurs enfants n'allaient pas voir la police. Qu'en est-il des enfants qui sont sous la tutelle de la société d'aide à l'enfance? Toutes ces accusations ont été confiées directement à la police, et neuf fois sur dix, l'accusé n'avait pas d'avocat.

L'enfant qui a grandi sans parents se retrouve maintenant avec un casier qui le désavantage. Dès le début, il n'avait aucune chance.

M. Nathan Cullen:

La Cour suprême ayant reconnu que les personnes marginalisées et racialisées font face à du racisme et à de la discrimination systémique dans le système de justice pénale, si l'intention du gouvernement était de tenter d'empêcher les Canadiens marginalisés et racialisés d'être aux prises avec du racisme et de la discrimination systémique, n'aurait-il pas été essentiel qu'il consulte vos deux organismes?

Je suis navré que nous en soyons rendus là, à cinq semaines de la fin de la présente législature, alors qu'il y a des modifications essentielles à apporter à des mesures législatives. Les personnes qui ont historiquement été blessées par le système de justice pénale — les Autochtones, les personnes marginalisées et les Canadiens noirs — auront maintenant un système de pardon qui ne les aidera pas en raison des circonstances dans lesquelles elles vivent.

Est-ce bien le projet de loi dont nous sommes actuellement saisis?

Je vais commencer par vous, monsieur Cudjoe, puis je vais poser une question plus précise à Mme Finestone.

M. Gordon Cudjoe:

Je pense que vous avez mis le doigt dessus.

Je suis souvent invité à donner mon avis, mais ce coup-ci, on ne me l'a pas demandé. Je soupçonne que c'est parce que d'autres groupes ont été inclus. Quelqu'un a peut-être pensé que je ne devais pas être entendu. Je ne sais pas.

(1610)

M. Nathan Cullen:

Lorsqu'il était candidat et qu'il parlait en faveur de ce projet de loi, le premier ministre insistait sur le fait qu'au Canada, les groupes marginalisés et racialisés étaient touchés de façon disproportionnée par les lois sur la marijuana.

Madame Finestone, je veux mettre au défi l'ami de mon collègue conservateur de dire que les gens font un « doigt d'honneur » au système judiciaire. J'ai vu des cas où des sanctions administratives ont été imposées à de jeunes femmes autochtones qui vivaient à huit heures de route de la salle d'audience. Il n'y avait pas de transport en commun, pas de Greyhound, et elles n'avaient pas d'argent pour faire le trajet. Alors, elles ne se sont pas présentées. Ces circonstances étant ce qu'elles sont, une jeune femme autochtone qui est arrêtée dans le Nord de la Colombie-Britannique pour simple possession et qui n'est pas en mesure de se présenter à son audience ne peut, aux termes de cette loi, bénéficier d'un pardon. Est-ce exact?

Mme Elana Finestone:

C'est tout à fait exact.

M. Nathan Cullen:

D'accord.

Mme Elana Finestone:

C'est une question très vaste. Il y a quelques semaines, j'ai assisté à une conférence sur la justice pénale autochtone après l'arrêt Gladue. Des intervenants parlaient de la façon dont ils avaient créé un tribunal autochtone dans une réserve. En effet, ils avaient remarqué le grand nombre de gens qui faisaient l'objet d'un mandat d'arrestation et le fait que les gens ne se présentaient pas en cour pour la bonne et simple raison qu'il n'y avait pas de transport en commun et qu'ils ne pouvaient donc pas s'y rendre. C'est la réalité.

M. Nathan Cullen:

Je n'ai pas vu cela dans vos notes. Votre organisme appuie-t-il le projet de loi C-415?

Mme Elana Finestone:

Oui, nous l'appuyons.

M. Nathan Cullen:

Vous appuyez la radiation.

Monsieur Cudjoe, êtes-vous du même avis? Croyez-vous que la radiation serait un moyen plus efficace de tourner définitivement la page sur ces accusations passées?

M. Gordon Cudjoe:

Je le crois vraiment. Je dois admettre que je ne suis pas tout à fait au courant des inconvénients de la radiation, mais je crois vraiment que ces casiers devraient être supprimés.

M. Nathan Cullen:

Maintenant, en ce qui concerne l'effet circulaire que le système de justice pénale peut avoir pour une simple accusation de possession, rappelons-nous cette question qui figure sur les formulaires d'emploi des employeurs: « Avez-vous plaidé coupable à une infraction criminelle? » C'est une question type de ces formulaires. Quelqu'un qui serait dûment qualifié — un jeune Noir de Toronto, de Montréal ou d'ailleurs — et qui aurait obtenu un pardon aux termes de ces mesures législatives aurait à répondre oui à cette question, n'est-ce pas?

M. Gordon Cudjoe:

C'est exact, c'est pourquoi je me suis creusé les méninges pour essayer de trouver ce qui pouvait être fait à cet égard. J'ai reçu la recommandation de notre comité selon laquelle le fait de les considérer comme des infractions réglementaires — ce qui englobe les lois sur les armes à feu et bien d'autres lois — pourrait fonctionner.

M. Nathan Cullen:

C'est une solution de contournement que vous tentez d'apporter à cette loi au sujet de laquelle vous n'avez pas été consulté.

M. Gordon Cudjoe:

C'est tout à fait cela.

M. Nathan Cullen:

Vous imaginez un scénario dans lequel la Couronne, dans une deuxième affaire ou un procès quelconque, pourrait dire au tribunal: « Il y a quelque chose dans le dossier de l'accusé, mais nous ne pouvons pas vous le dire. »

M. Gordon Cudjoe:

Non, je parlais de ce qui se passe quand la vérification du casier judiciaire est transmise à l'employeur.

M. Nathan Cullen:

Je vois. Donc, si un employeur cherche à embaucher quelqu'un...

M. Gordon Cudjoe:

C'est exact.

M. Nathan Cullen:

... dans ce cas, un jeune noir avec qui vous avez eu affaire et qui aurait obtenu le pardon en vertu de ce projet de loi du gouvernement. L'employeur serait informé qu'il y a quelque chose dans son dossier, mais sans pouvoir savoir de quoi il s'agit. Ce serait laissé à l'imagination, essentiellement.

M. Gordon Cudjoe:

C'est exact. La façon de rapporter cela est « nous ne pouvons pas vous dire de quoi il s'agit ».

M. Nathan Cullen:

Encore une fois, c'est laissé à l'imagination de l'employeur.

M. Gordon Cudjoe:

C'est exact.

M. Nathan Cullen:

D'accord. Je vous remercie beaucoup.

Le président:

Nous allons passer à Mme Dabrusin pour sept minutes.

Mme Julie Dabrusin (Toronto—Danforth, Lib.):

J'allais m'adresser à Mme Finestone, parce que je l'ai vue hocher la tête pendant ce segment.

Pourriez-vous aider le Comité en lui fournissant de plus amples renseignements en réponse à cette dernière question?

Mme Elana Finestone:

La dernière question...

Mme Julie Dabrusin:

Quand quelqu'un a reçu un pardon, on dit à un employeur qu'il y a une accusation, mais qu'on ne peut pas lui dire de quoi il s'agit.

Mme Elana Finestone:

Ce que je sais surtout, c'est que le pardon n'efface pas la faute, de sorte que dès que l'intéressé commet une autre infraction, comme une infraction relative à l'administration de la justice, elle est immédiatement rétablie.

Je pense que je peux parler de cela. Bien que les intentions soient très bonnes, c'est quelque chose qui finit toujours par ressortir.

Mme Julie Dabrusin:

Je pense qu'il faudrait obtenir plus d'informations sur la façon dont cela apparaît, parce que tout ce que nous avons entendu jusqu'à maintenant, c'est qu'il y a une différence entre un pardon et une radiation, mais qu'un pardon n'apparaît pas lorsque les gens font l'objet de vérifications. Il me faudrait des éclaircissements à ce sujet.

Une bonne partie de ce débat a porté sur le processus — pardon ou radiation, peu importe. À l'heure actuelle, l'un des grands problèmes qui reviennent sans cesse, c'est que les gens doivent présenter une demande. Je crois qu'en 1996, il y a eu un changement dans la façon dont les accusations étaient présentées et portées au dossier. Est-ce que cela aiderait si c'était automatique jusqu'en 1996, et que tout ce qui venait après 1996 faisait l'objet d'un pardon ou une radiation automatique?

(1615)

Mme Elana Finestone:

Oui, bien sûr.

Mme Julie Dabrusin:

Je vais demander la même chose à M. Cudjoe. Je sais qu'en 1996, la façon dont les accusations étaient affichées et enregistrées a changé. Si les accusations portées de 1996 à aujourd'hui étaient suspendues automatiquement, que ce soit au moyen d'un pardon ou d'une radiation, cela serait-il utile?

M. Gordon Cudjoe:

Ce serait très utile.

Mme Julie Dabrusin:

Fort bien.

Je crois comprendre qu'avant 1996, il y avait d'autres problèmes liés à la tenue des dossiers qui peuvent changer la donne. La situation découle donc peut-être d'un autre facteur. Mais, si la suspension était automatique à partir de 1996, comment ferions-nous parvenir ce message aux gens, afin de les informer que cela s'est produit? Voilà mon autre préoccupation. Il serait merveilleux que nous ayons fait cela, mais il se pourrait que les personnes concernées ne le sachent pas. Elles répondraient peut-être aux questions en fonction de renseignements erronés. Quel est le meilleur moyen pour nous d'informer les gens de ce qui s'est produit?

Mme Elana Finestone:

Je pense qu'une merveilleuse façon d'y arriver consisterait à maintenir un dialogue avec des organisations comme l'AFAC et l'AANC, afin qu'elles puissent dire aux gens qu'elles servent que cela est possible. Nos organisations renseignent de nombreux membres du public sur des questions juridiques, et notre travail consiste à obtenir que les gens se préoccupent des lois qui ont une incidence sur eux.

Si vous tenez des organisations comme les nôtres au courant, cela aidera vraiment nos concitoyens et, par la suite, les vôtres.

Mme Julie Dabrusin:

Monsieur Cudjoe, avez-vous des idées à ce sujet?

M. Gordon Cudjoe:

Je pensais qu'il serait vraiment utile d'organiser un envoi postal automatique adressé à la personne concernée une fois que la suspension automatique a été effectuée.

Mme Julie Dabrusin:

Un envoi postal automatique. D'accord. Merci.

D'un point de vue procédural, il est utile d'avoir quelques idées de la façon dont cela fonctionnerait.

J'ai été frappée, madame Finestone, par une section qui figure à la page 7 de votre mémoire, je crois. Elle a trait à la question de l'élimination de la nécessité de purger sa peine au complet. À l'heure actuelle, la possession simple de cannabis est légale et, pourtant, il y a peut-être des gens qui ont encore des amendes à payer ou qui sont encore assujettis à une libération conditionnelle liée à une telle infraction.

Au cours d'une étude antérieure sur la suspension des casiers judiciaires, des témoins nous ont dit que les amendes non payées étaient en fait l'un des principaux obstacles, parce que votre temps commençait à s'accumuler. Dans le cas présent, il n'y a pas de problème d'accumulation du temps. Pouvez-vous parler un peu de cette question, de la raison pour laquelle il est important de se débarrasser de la nécessité de purger ces peines complètement?

Mme Elana Finestone:

Absolument.

Il y a une chose qui m'a passé par la tête. J'ai examiné le rapport dont vous parlez avant de faire cette recommandation. Il y a des gens qui n'auront jamais les moyens de payer leurs amendes, parce qu'ils n'ont simplement pas l'argent nécessaire et qu'ils doivent payer leur loyer et acheter de la nourriture. Ils n'auront jamais accès au projet de loi C-93. Comme vous l'avez indiqué, si la possession simple de cannabis est maintenant légale, pourquoi ne donnons-nous pas aux gens l'occasion de présenter une demande?

Mme Julie Dabrusin:

Monsieur Cudjoe, que pensez-vous de la nécessité de supprimer dans la loi le fait que les gens sont tenus de purger au complet leur peine liée à une possession simple de cannabis, avant de remplir les conditions pour l'octroi d'un pardon?

M. Gordon Cudjoe:

Mme Finestone l'a très bien dit. Nous savons qu'un grand nombre de gens ne seront jamais en mesure de payer ces amendes.

Mme Julie Dabrusin:

Merci.

Vous avez tous les deux soulevé la question des infractions administratives. Cette question est compliquée, parce que tous les gens ne sont pas dans la situation que Mme Finestone a décrite, mais c'est là un scénario convaincant.

C'est un récit convaincant en ce qui concerne la raison pour laquelle quelqu'un pourrait ne pas être en mesure de se présenter devant les tribunaux ou ne pas avoir reçu les avis à cet égard, mais ce n'est certainement pas le cas de tous les gens qui ont été reconnus coupables de ces infractions.

Savez-vous si une façon de procéder a été mise au point? Disons que nous passons à un processus automatique. La première étape est facile. Le casier judiciaire de toute personne ayant été reconnue coupable de possession simple de cannabis après 1996 est suspendu. Puis, il y a les gens qui ont commis des infractions administratives liées à cette possession simple. À ce moment-là, les choses ne peuvent pas fonctionner automatiquement de façon aussi simple parce que, maintenant, nous devons examiner d'autres éléments. Alors, j'imagine que nous avons pratiquement besoin d'un processus secondaire.

Avez-vous réfléchi à cela? Comment pouvons-nous analyser ces infractions?

(1620)

Mme Elana Finestone:

Je pense que M. Cudjoe avait l'intention de s'étendre sur ce sujet plus tôt, et ce serait peut-être une bonne occasion pour lui de le faire.

Mme Julie Dabrusin:

D'accord.

M. Gordon Cudjoe:

Pour attraper les infractions qui sont liées uniquement aux accusations de possession de marijuana, vous réexaminez la formulation des accusations. La plupart du temps, elles indiquent que vous avez été accusé de possession de marijuana tel ou tel jour, que le tribunal vous a demandé de comparaître tel ou tel jour et que vous avez omis de le faire. De plus, l'accusation de possession de marijuana indiquera votre absence de comparution. Alors, vous rapprochez ces deux renseignements, et vous pouvez prouver qu'ils sont directement liés.

Mme Julie Dabrusin:

Ces renseignements sont très utiles. Merci pour.

Le président:

Monsieur Eglinski, vous avez la parole pendant cinq minutes.

M. Jim Eglinski (Yellowhead, PCC):

Je remercie les deux témoins de leur participation à la séance d'aujourd'hui.

J'aimerais commencer par vous interroger, monsieur. Vous venez de mentionner que vous pouvez réexaminer le dossier et vérifier les accusations. L'autre jour, nous avons entendu des témoins, des fonctionnaires des ministères, alors que nous parlions de la façon de nous occuper de ces gens qui bénéficient d'un chef d'accusation réduit pour une infraction peut-être un peu plus compliquée qu'une simple possession. Ils nous ont dit qu'il leur était impossible de vérifier cela, que c'était trop compliqué et qu'ils s'occuperaient seulement des accusations dont les gens avaient été reconnus coupables.

Ce que vous et votre homologue êtes en train de dire, c'est que vous voulez vous occuper des autres accusations, comme celles portées en vertu des paragraphes 145(4) et 145(5), de l'article 733 et du paragraphe 145(3). Certaines d'entre elles peuvent avoir fait l'objet de déclarations sommaires de culpabilité ou avoir donné lieu à des condamnations pour actes criminels. Quelqu'un va devoir examiner cela, et vous compliquez le processus en entier.

Certains États des États-Unis ont élaboré un programme très simple que j'approuve. Vous appuyez simplement sur un bouton. Quelqu'un conçoit un programme qui passe en revue les dossiers du CIPC et qui élimine tous les chefs d'accusation pour possession simple de cannabis.

Vous parlez maintenant de communiquer avec des gens. Combien de vos clients peuvent vous énumérer les adresses des endroits où ils ont habité depuis 1996 ou les numéros où nous pourrions les joindre depuis 1996? Où sont-ils allés?

Le processus doit être beaucoup plus simple que ce que vous nous expliquez en ce moment, car vous avez mentionné que certains de vos clients n'étaient pas capables de remplir ces formulaires et qu'ils n'étaient peut-être pas en mesure de vous fournir les adresses nécessaires. Nous devons, d'une manière ou d'une autre, être en mesure de permettre au public d'avoir accès à ce processus.

Le système le plus simple, au sujet duquel j'aimerais que vous formuliez des observations, est un simple programme qui peut être codé à l'aide de la science, de la technologie et de la programmation informatique d'aujourd'hui. Il est possible de développer un programme qui permet d'éliminer ces accusations simplement en appuyant sur un bouton et en laissant l'ordinateur faire le travail, au lieu d'intégrer un facteur humain dans ce processus.

Je vous vois tous les deux faire intervenir beaucoup trop d'humains dans ce processus, qui sera trop compliqué.

Vous pouvez commencer, monsieur, et Mme Finestone terminera.

M. Gordon Cudjoe:

Il y a seulement deux questions auxquelles je vais répondre. Premièrement, lorsque je parle de communiquer avec des gens, c'est pour les informer que le processus automatique a eu lieu. Cela ne complique pas le processus consistant à appuyer sur un bouton. Il est toujours possible d'appuyer sur le bouton. La question est de savoir si les gens sont au courant que le processus a eu lieu.

Deuxièmement, là où les choses se compliquent et que le facteur humain intervient, c'est lorsque vous tentez de relier des chefs d'accusation à la possession de marijuana. L'infraction liée à la marijuana peut toujours être supprimée à l'aide d'un bouton. Vous ne souhaitez pas priver tous les gens...

[Difficultés techniques]

Ensuite, il incombe au gouvernement de décider s'il ira plus loin en examinant les données filtrées relatives à la conformité, celles qui ont été filtrées par des pairs, etc. Toutefois, pour mêler les deux à ce stade, il faut...

[Difficultés techniques]

Nous faisons allusion aux préjudices dont des gens ont fait l'objet en raison de leur chef d'accusation initial et au fait d'aller plus loin. Il s'agit là d'une deuxième question qui, à ma connaissance, n'est pas abordée par la mesure législative, et nous demandons simplement au Comité de faire preuve d'ouverture à cet égard.

M. Jim Eglinski:

Madame Finestone.

Mme Elana Finestone:

L'autre problème dont nous parlons, c'est que le nombre d'accusations portées contre les gens a tendance à être excessif. En ce qui concerne les plaidoyers négociés, les autres mesures dont vous parlez et la façon dont les gens finissent par faire l'objet d'un seul chef d'accusation pour possession simple de cannabis, je précise que, parfois, les avocats de la Couronne portent toutes les accusations qu'ils croient être en mesure de prouver. Nous ne devrions pas laisser cela nous distraire de la nécessité de supprimer du casier judiciaire toute condamnation pour possession simple de cannabis.

Je pense qu'il est important de procéder par étapes. Occupez-vous des casiers où figure seulement une accusation pour possession simple, s'il est facile de le faire. Toutefois, ce que nous essayons tous les deux de vous dire, je crois, c'est que, compte tenu de la réalité des concitoyens que nous servons, cela ne les aidera pas beaucoup. Par conséquent, vous devez continuer de dialoguer avec nos organisations.

Je sais que l'AFAC peut instruire les gens sur le plan juridique, leur dire en quoi consiste cette suspension, comment présenter une demande et à qui s'adresser pour le faire. Des organisations peuvent accomplir ce travail, mais nous devons amorcer ce processus.

(1625)

M. Jim Eglinski:

Mon temps de parole est-il écoulé?

Le président:

Il vous reste quelques secondes.

M. Jim Eglinski:

Si le casier judiciaire de tous les gens qui ont été accusés de possession simple de cannabis était automatiquement suspendu, les gens n'en entendraient-ils pas parler dans la rue? J'ai beaucoup de mal à comprendre votre tentative de communiquer avec ces gens en leur envoyant un avis de suspension de leur casier judiciaire. Si cette suspension des casiers judiciaires comportant une simple accusation de possession au Canada était effectuée automatiquement, pourquoi aurions-nous besoin d'en aviser les gens? La nouvelle devrait s'ébruiter... au moyen d'articles de journaux.

Mme Elana Finestone:

Je pense que cela devrait être automatique.

Le président:

Merci, monsieur Eglinski.

Madame Sahota, vous disposez de cinq minutes.

Mme Ruby Sahota (Brampton-Nord, Lib.):

Je vous remercie de toutes les différentes suggestions que vous nous faites aujourd'hui. Évidemment, il y a de nombreuses modifications que nous envisageons d'apporter à ce projet de loi afin de l'améliorer. Je vous remercie de nous aider dans cette tâche.

Au cours des dernières séances, nous avons parlé à de nombreuses reprises de la radiation. Le processus de radiation est très récent. Il n'existait pas vraiment jusqu'à l'année dernière. Je crois que personne n'a beaucoup d'expérience pour ce qui est d'entreprendre ce processus.

Monsieur Cudjoe, avez-vous aidé des gens à obtenir des pardons dans le passé et, le cas échéant, à quoi cette expérience a-t-elle ressemblé pour vous et votre client?

M. Gordon Cudjoe:

J'ai aidé des gens à obtenir des pardons dans le passé, mais je dois dire que ce n'était pas ma principale responsabilité. Je les aidais simplement à remplir les formulaires.

La plupart de mes clients gagnaient très peu d'argent. Par conséquent, il fallait que je fasse ce travail bénévolement. La plus grande difficulté à laquelle bon nombre de ces personnes faisaient face consistait à réunir les fonds nécessaires.

Mme Ruby Sahota:

Voilà qui est intéressant. L'obstacle était-il lié au coût de la demande?

M. Gordon Cudjoe:

Le financement de la demande était le plus important obstacle pour un grand nombre de jeunes, parce que soit ils vivaient d'un chèque de paie à l'autre soit leur situation était encore plus précaire. Il fallait qu'ils commencent par réunir les 400 $ nécessaires, et ils avaient vraiment du mal à le faire.

Mme Ruby Sahota:

La situation s'est même aggravée maintenant parce que le gouvernement précédent a fait passer le coût de cette demande à quelque 600 $. La présente mesure législative règle ce problème, car la demande n'exigera plus le versement de frais.

Vous avez dit que le plus gros obstacle était lié à l'emploi et qu'un pardon ou une radiation aiderait la personne à décrocher un emploi. Après avoir aidé ces clients à obtenir un pardon, savez-vous si cela a facilité leur vie?

M. Gordon Cudjoe:

D'après mon expérience, non.

Mme Ruby Sahota:

Pourquoi est-ce le cas selon vous?

M. Gordon Cudjoe:

Parce que, comme je l'ai mentionné, ils commencent par postuler pour des emplois de base — dans des restaurants McDonald, dans des Walmart, dans des usines —, et c'est la question qu'on leur pose. Vous ne pouvez pas inscrire des mensonges sur le formulaire. Vous ne pouvez pas dire...

Pardon. Je ne voulais pas vous interrompre.

Mme Ruby Sahota:

Désolée, c'est seulement que je dispose de très peu de temps .

Si une personne obtenait une radiation plutôt qu'un pardon serait-elle en mesure de répondre différemment à la question de savoir si elle a déjà plaidé coupable à un crime?

M. Gordon Cudjoe:

Non, vous ne pourriez pas répondre à cette question différemment, mais, oui, vous le pourriez si la question était la suivante: « Avez-vous déjà été reconnu coupable d'une infraction? » C'est là une autre question qu'on leur pose.

Mme Ruby Sahota:

La question qui est posée et la façon dont elle est formulée dépendent de l'employeur...

M. Gordon Cudjoe:

C'est exact.

Mme Ruby Sahota:

... et les questions pourraient changer après la mise en œuvre du projet de loi qui nous occupe, car les gens et les employeurs sauront que les meilleures questions à poser sont peut-être les suivantes: « Avez-vous déjà fumé de la marijuana? », « Avez-vous déjà plaidé coupable à une accusation? » et « Des accusations ont-elles déjà été portées contre vous? ».

Vous soulevez effectivement de très bons arguments. Je n'avais jamais pensé à cet incident très alarmant lié à la SAE. C'est vrai. Les gens grandissent dans des milieux très différents et, par conséquent, ils font face à des difficultés différentes. Je vous remercie de l'avoir signalé.

Toutefois, d'autres crimes ont été légalisés dans le passé, et le processus de pardon a toujours été entrepris et utilisé. J'espère que nous serons en mesure de l'améliorer dans une certaine mesure, mais ne convenez-vous pas que c'est un pas dans la bonne direction et que cela aidera certaines personnes?

(1630)

M. Gordon Cudjoe:

J'admets que c'est un pas dans la bonne direction et que cela aidera certaines personnes. Mais, selon moi, le processus serait beaucoup plus utile à bon nombre de nos concitoyens s'il était automatique, étant donné leur niveau de scolarité, leur propension à lire et les activités qu'ils exercent.

J'ai entendu des gens devant les tribunaux demander s'ils avaient un casier judiciaire. Ils avaient comparu devant un tribunal et versé une amende, par exemple, pour possession de marijuana, mais ils pensaient qu'ils n'avaient pas de casier parce qu'ils n'avaient pas purgé une peine d'emprisonnement.

Mme Ruby Sahota:

Oui.

M. Gordon Cudjoe:

Ce serait utile si c'était automatique et qu'ils l'apprenaient plus tard.

Mme Ruby Sahota:

D'accord. Merci.

Le président:

Monsieur Motz.

M. Glen Motz:

Je veux revenir à une série de questions que mes collègues, des deux côtés, ont posées. Nous avons vu vos recommandations, madame Finestone, mais nous n'avons pas eu l'occasion de voir les vôtres, monsieur Cudjoe.

Si j'avais posé une question auparavant sur le processus d'élaboration — qui semble être en quelque sorte un obstacle pour ceux qui pourraient en avoir le plus besoin... Si vous deviez élaborer le processus en vous basant sur vos clients, monsieur, qu'est-ce qui devrait être fait, de sorte que ceux qui en ont besoin puissent l'utiliser de la façon prévue?

M. Gordon Cudjoe:

D'après mon expérience, pour bon nombre de jeunes, une accusation de possession de marijuana marque le début de leur carrière de criminels et mène à bien des choses.

Les accusations relatives à l'administration de la justice qui sont liées aux accusations liées à la marijuana sont cruciales pour notre communauté, en raison du lien entre les deux infractions et ce qui a suivi. Malheureusement, si une personne commet un vol après, c'est son problème, mais ce qui nous préoccupe, ce sont les jeunes qui ne font face qu'à des accusations relatives à l'administration de la justice.

Très souvent — et je veux revenir très brièvement sur l'observation concernant le défaut de comparaître et l'idée que les gens envoient paître le tribunal —, nous parlons de jeunes de 14 ans qui ont reçu une contravention, l'ont mise dans leur poche et l'ont perdue. C'est arrivé très souvent. Le jeune de 14 ans se fait arrêter parce qu'il ne s'est pas présenté devant le tribunal, il va en prison et doit demander une mise en liberté sous caution. La Couronne lui offre de plaider coupable à l'accusation de possession de marijuana, et tout se règle, ou encore de plaider coupable à l'accusation de défaut de comparaître, et il pourra rentrer à la maison.

S'il avait eu une chance de subir un procès, il aurait été en mesure de plaider non coupable, parce que son intention n'était pas d'envoyer paître le tribunal. Il a 14 ans, et il a perdu un bout de papier qu'il avait mis dans sa poche.

M. Glen Motz:

Vous parlez des jeunes, et je sais que leur compréhension de ce à quoi ils font face fait parfois défaut, au mieux, mais je crains qu'il existe toujours des lacunes après l'adoption du projet de loi, dont l'incohérence, à mon avis.

Si une personne a été accusée de possession simple avant cette infraction, la possession simple est supérieure à 30 grammes. Si elle a été accusée depuis octobre 2018, avoir en sa possession plus de 30 grammes constitue une infraction.

D'autres témoins nous ont dit avoir certaines préoccupations au sujet de cette incohérence. Pensez-vous que cela posera problème — que les personnes qui ont en leur possession plus de 30 grammes obtiendront une suspension immédiatement, et que d'autres personnes devront maintenant attendre cinq ans avant d'y être admissibles?

(1635)

M. Gordon Cudjoe:

Je dois admettre que pour ce qui est du nombre de grammes, je ne suis pas un spécialiste. J'ignore d'où proviennent les 30 grammes. Je sais que devant les tribunaux, des experts policiers ont dit que normalement, si la quantité dépasse 30 grammes, cela veut dire que la personne en avait en sa possession dans le but d'en faire le trafic.

M. Glen Motz:

Oui.

M. Gordon Cudjoe:

Honnêtement, je ne peux pas vraiment faire d'observations à ce sujet. Il y a trop d'histoires pour pouvoir donner une réponse complète.

M. Glen Motz:

J'ai une dernière observation à faire, ou une dernière question à poser avant que mon temps soit écoulé.

En dépit du fait que le gouvernement nous dit qu'il n'en coûtera rien à ceux qui en font la demande, nous savons que... C'est sans compter les heures qu'il faudra pour faire le tour des administrations où les infractions ont été commises et peut-être prendre les empreintes digitales, confirmer l'identité, demander le dossier et toutes les choses qui seront exigées par la loi. Un coût sera associé à cela. Il y en aura toujours un. Est-ce que les gens qui bénéficieront le plus de cette suspension du casier seront toujours dans l'impossibilité de même en faire la demande en raison de ces coûts?

Le président:

Répondez très brièvement, s'il vous plaît.

Mme Elana Finestone:

Je crois comprendre qu'il y a même d'autres coûts, comme ceux liés à la prise des empreintes digitales et à tous les documents à réunir, donc, oui...

M. Glen Motz:

C'est ce que je veux dire. Cela peut coûter 200 $.

Mme Elana Finestone:

Oui, alors il y a encore des coûts, et je crois que le projet de loi ne va pas aussi loin qu'il le devrait.

Le président:

Merci, monsieur Motz.

Monsieur Spengemann, vous disposez de cinq minutes. Allez-y, s'il vous plaît.

M. Sven Spengemann (Mississauga—Lakeshore, Lib.):

Je vous remercie tous les deux de votre présence, ainsi que de votre expertise et de votre travail de défense.

J'ai élaboré quelques catégories simplement en réfléchissant à la question. Elles incluent les répercussions du problème, le coût du problème et qui paie, et les aspects juridiques. Mes questions porteront sur les deux premières, soit les répercussions sur les gens dont vous vous occupez — vos clients, les gens que vous protégez et défendez — et la question des coûts.

Je me demande si nous pouvons d'abord dissiper deux ou trois mythes, aux fins du compte rendu. Je crois que c'est arrivé dans d'autres discussions au Comité, et nous avons l'impression qu'ils ont été dissipés, mais j'aimerais que vous vous prononciez également là-dessus.

Le premier, c'est que personne ne se soucie plus vraiment des condamnations pour possession simple parce que le cannabis est légal maintenant, et les employeurs ne s'en soucieront pas vraiment si cela apparaît dans les vérifications sur l'employé. Que répondez-vous à cela?

Mme Elana Finestone:

Puisque nous ne pouvons pas contrôler ce que d'autres pensent, nous ne devrions pas laisser cela à leur discrétion. Si le gouvernement adopte une loi, alors tout le monde doit la respecter. Ce n'est pas à la discrétion de ceux qui ne comprennent pas les injustices dont nous parlons.

En ce qui concerne les répercussions, il ne s'agit pas seulement des jeunes. Si des femmes autochtones sont incarcérées — et souvent, ce sont des mères monoparentales —, elles ne peuvent pas être avec leurs enfants. Cela veut dire que leurs enfants risquent davantage d'être pris en charge par la Société d'aide à l'enfance. Il y a donc également plus de risques, dans ce cas, qu'on plaide coupable et qu'on soit pris dans le système de justice pénale.

M. Sven Spengemann:

Monsieur Cudjoe.

M. Gordon Cudjoe:

Je suis d'accord avec elle. La question qui se pose, c'est de savoir si l'on se rendra à l'étape de l'entrevue s'il y a quoi que ce soit dans le casier. Si tout ce qui figure dans le casier judiciaire, c'est la possession de marijuana, il est déplorable qu'on ne se rende pas à l'étape de l'entrevue.

M. Sven Spengemann:

D'accord.

S'il me reste du temps, j'aimerais en parler un peu dans d'autres questions.

L'autre point, c'est la question de savoir qui paie. Ce matin, un débat sur le projet de loi C-93 a eu lieu à la Chambre des communes. L'un des arguments qui a été avancé, c'est que puisque le contribuable moyen n'a vraiment rien fait de mal, pourquoi il devrait alors payer les coûts liés à une radiation ou à une suspension du casier judiciaire.

Je me demande si vous pouvez nous dire non seulement pourquoi il est important pour vos clients que ces coûts soient pris en charge par les contribuables, mais également pourquoi cela constitue un avantage économique pour les contribuables, en raison de renforcement de la situation de vos clients et de leur capacité de devenir compétitifs sur le marché du travail et sur d'autres plans également.

Mme Elana Finestone:

Je crois...

Oh, veuillez m'excuser.

M. Gordon Cudjoe:

Non, allez-y, madame Finestone. J'attendais que vous commenciez, en fait.

Mme Elana Finestone:

D'accord.

Je crois que lorsque nous donnons aux gens toutes les chances de succès possibles et qu'ils sont capables de contribuer au marché du travail et qu'ils vivent dans un logement plutôt que d'être coincés dans des refuges, alors nous vivons dans un monde meilleur. L'autre chose — et je crois que nous y avons tous fait allusion —, c'est que pour bon nombre de gens, le cannabis fait partie de leur vie, mais il y a certaines personnes qui sont arrêtées et remarquées par la police qui sont criminalisées pour cela. Je pense que nous devons tous reconnaître que tout le monde le fait, pas seulement les gens que nous servons, et que nous avons tous le devoir de payer pour cela.

(1640)

M. Sven Spengemann:

Oui. C'est utile. Merci.

Monsieur Cudjoe, voulez-vous ajouter quelque chose?

M. Gordon Cudjoe:

La seule chose que j'ajouterais, c'est que quiconque suit la vie de jeunes qui ont des démêlés avec la justice verra qu'à un moment donné, ils peuvent aller à gauche et ils peuvent aller à droite. S'ils n'ont nulle part où aller, ils se retrouvent avec des gangs et une vie de criminels, et ainsi de suite. Si on leur donne une chance d'obtenir ce premier emploi, cela nous coûte tous beaucoup moins cher. Nous payons beaucoup moins cher pour les années qu'ils passent en prison et pour la vie qui n'est utile à personne.

M. Sven Spengemann:

Oui. Je vous remercie.

Puisqu'il me reste une minute, je vais me dépêcher de poser ma dernière question. J'imagine qu'on peut dire sans se tromper qu'une bonne partie du problème concerne les jeunes contrevenants et le fait qu'ils sont touchés de façon disproportionnée. J'ai pensé à la possibilité que des aînés soient touchés, surtout ceux qui sont dans une situation économique qui les oblige peut-être à aller chercher de l'argent supplémentaire en travaillant. D'après votre expérience, les aînés font-ils partie de l'équation? Ce sont des gens qui ont peut-être obtenu une condamnation dans les années 1970 ou 1980, qui vieillissent maintenant et qui subissent toujours les répercussions d'avoir un casier.

Mme Elana Finestone:

Je peux parler des casiers judiciaires dans d'autres contextes. J'ai examiné comment l'affaire Bedford est appliquée. Il y avait une femme autochtone qui était coincée dans le système de justice pénale. Ils regardaient son casier, et ils ont dit... Je crois qu'il y avait plus de 20 condamnations pour sollicitation à des fins de prostitution et défaut de comparaître.

Je pense que cela montre que ces choses restent longtemps, quoi qu'il arrive. Cela pourrait s'être passé dans les années 1970.

M. Sven Spengemann:

D'accord. C'est utile.

Le président:

Normalement, ce serait à votre tour, monsieur Dubé. Voulez-vous utiliser votre intervention de trois minutes?

M. Matthew Dubé (Beloeil—Chambly, NPD):

Non, ça va. Merci.

Le président:

D'accord.

Monsieur Picard, vous n'avez pas...

M. Michel Picard:

Ça va.

Le président:

D'accord.

Normalement, c'est ici que nous nous arrêterions. Quelqu'un d'autre veut en profiter pour poser une question?

Je vais le faire alors. La proposition d'obtenir, de façon parallèle, une suspension du casier pour les infractions contre l'administration de la justice complexifierait énormément les choses pour ce qui constitue un projet de loi relativement simple. Êtes-vous d'accord avec moi?

Mme Elana Finestone:

Oui.

Le président:

Oui.

Monsieur Cudjoe, avez-vous une remarque à faire à ce sujet?

M. Gordon Cudjoe:

Je suis du même avis. La seule chose que je dirais, c'est que le travail se poursuivrait et ce ne serait pas abandonné.

Mme Elana Finestone:

Je suis du même avis.

Le président:

Oui.

Cela dit, je vous remercie tous les deux....

Vouliez-vous dire quelque chose, monsieur Motz?

M. Glen Motz:

Je veux dire quelque chose rapidement à ce sujet.

Le président:

D'accord.

M. Glen Motz:

S'il y a possibilité d'obtenir une suspension de casier pour la possession simple de marijuana, et qu'il y a les infractions contre l'administration ensuite, dans certaines situations, je comprends qu'il s'agirait d'un processus coûteux incluant un examen complet du lien. En fonction des mesures législatives, la personne serait admissible seulement si c'est la seule infraction qu'elle a commise. N'y a-t-il pas toujours moyen alors que, cinq ans plus tard, si l'infraction administrative était liée à la suspension concernant la marijuana, cela se fasse automatiquement également? Est-ce une possibilité? Nous ne l'incluons pas immédiatement au moment de la suspension du casier pour la possession de marijuana, mais c'est signalé, ou peu importe le moyen utilisé, pour dire que parce que c'est lié à cela, dans la période d'attente de cinq ans que nous avons présentement, automatiquement, il y a suspension du casier après coup. Cela pourrait-il fonctionner?

Mme Elana Finestone:

Je crois que oui, tant que la première chose que l'on élimine, c'est la possession.

M. Glen Motz:

La possession de marijuana. Oui.

Mme Elana Finestone:

Ensuite, nous pourrions aller de l'avant dans les cinq ans. Nous ne voulons pas que cette possibilité disparaisse.

M. Glen Motz:

Oui.

Monsieur Cudjoe.

M. Gordon Cudjoe:

Cela peut fonctionner. Je dirais que dans ce cas, il est facile de faire imposer le fardeau sur la personne qui demande la suppression d'obtenir une copie de l'information pour montrer que c'est directement lié à la condamnation pou possession de marijuana.

M. Glen Motz:

D'accord.

Merci.

Le président:

Cela dit, je veux remercier les témoins de leur patience et de l'efficacité de leurs témoignages.

Nous allons maintenant suspendre la séance et nous poursuivrons à huis clos pour discuter des travaux futurs du Comité.

[La séance se poursuit à huis clos.]

Hansard Hansard

committee hansard secu 23181 words - whole entry and permanent link. Posted at 22:44 on May 06, 2019

2019-05-01 SECU 159

Standing Committee on Public Safety and National Security

(1530)

[English]

The Chair (Hon. John McKay (Scarborough—Guildwood, Lib.)):

Ladies and gentlemen, it's 3:30, we have quorum, and I want to respect witnesses' and members' time, so we are now in session. This is the 159th meeting. My goodness, this is a hard-working committee if I've ever seen one.

We have two witnesses for the first hour, the first from the Canadian Police Association, and the second from Campaign for Cannabis Amnesty.

At the end of the first hour, I'm going to ask someone to move acceptance of the subcommittee report. I'm going to ask Mr. Eglinski to be ready, since he's been so friendly.

With that, we'll simply ask the witnesses to speak in the order in which they're listed.

From the Canadian Police Association, we have Mr. Stamatakis.

Mr. Tom Stamatakis (President, Canadian Police Association):

Good afternoon, Mr. Chair and members of the committee. Thank you for inviting me to appear before you this afternoon as part of your committee's ongoing study of Bill C-93.

I'm appearing this afternoon on behalf of the Canadian Police Association, which, as many of you know, is the largest policing advocacy organization in the country, representing over 60,000 front-line civilian and sworn law enforcement professionals from coast to coast to coast. Our members are the proverbial “boots on the ground” when it comes to issues of public safety and are the first to feel the effects of decisions made by elected officials at all levels of government.

As is my usual habit, I want to keep my opening remarks relatively brief to allow for as much time as possible for your questions and comments, particularly given that the subject matter in Bill C-93 is relatively straightforward.

At the outset, let me say that the Canadian Police Association is generally supportive of the goal of Bill C-93. While obviously we have seen a significant change in the legal status of cannabis within the last year, there is no doubt that social attitudes towards marijuana have been changing for quite some time. We certainly see it with the policing level and with the general public as well. While we often hear the popular term “war on drugs” with respect to policing attitudes around these substances, which aren't just limited to cannabis, most police services in Canada, in my experience, if not all, have long since de-emphasized enforcement for simple possession.

Now that the legal framework has caught up to the social attitudes, there isn't any good reason, in my opinion, to deny people who have otherwise been law-abiding members of society being given a clean record and a chance to fully participate in areas that might otherwise have been denied to them on the basis of a past mistake. On that basis alone, our association is generally supportive of this legislation.

That said, we would like to take this opportunity to express some concern about the automatic nature of record suspensions being proposed by this bill. There's absolutely no doubt that the overwhelming majority of applications that will be made under these amendments will be from individuals who pose no ongoing risk to public safety, and they should certainly be dealt with as expeditiously as possible.

However, I would note that there will also be some applications made by offenders where simple possession may have been a charge that was arrived at based on a plea agreement with the Crown and down from a more serious charge. In those circumstances, it is possible that both the Crown and the court may have accepted the plea agreement based on the assumption that the conviction would be a permanent record of the offence and would not have accepted the lesser charge if they knew this would be cleared without any possibility of review at a future date.

While I understand that it would be both impossible and entirely unfair to hold unproven charges against someone, even in the case of a plea bargain, I do believe that this legislation could be quite easily amended to ensure that the proposed changes to the Criminal Records Act— specifically, the addition to section 4.1, which bars the Parole Board from conducting any evaluation of the applicant's history—don't allow habitual offenders to slip through the cracks.

An amendment that would allow the Parole Board to retain at least a slight amount of discretion to consider an applicant's conduct since conviction, or certainly any subsequent convictions, would alleviate any concerns police might have about ensuring community safety isn't compromised by the small number of repeat offenders who might take advantage of this legislation, and it will maintain the reputable administration of justice.

As I mentioned, I do want to keep these opening remarks brief. The legalization of cannabis has certainly been a significant change for front-line law enforcement, and I should note that it is a testament to the professionalism of our members that the transition to this new regime has been remarkably seamless over the eight months since the changes were enacted.

This legislation on the whole seems like a common-sense approach toward ensuring that criminal records reflect the new consensus around cannabis in Canada. We appreciate that the government has been very forthright in consulting with law enforcement experts as they've proceeded with this policy change, and we look forward to continuing that consultation.

We believe that Bill C-93, with a few small amendments to ensure that the Parole Board retains some amount of discretion to ensure long-term and habitual offenders are held accountable, will allow people to avoid the stigma of a criminal conviction and give those who deserve it a much-deserved second chance.

Thank you very much for inviting me appear before you today.

(1535)

The Chair:

Thank you, Mr. Stamatakis.

For Campaign for Cannabis Amnesty, we have Annamaria Enenajor. You have 10 minutes.

Ms. Annamaria Enenajor (Founder and Director, Campaign for Cannabis Amnesty):

Thank you.

Good evening, Mr. Chair, and members. My name is Annamaria Enenajor. I am a criminal defence lawyer and the founder and campaign director for the Campaign for Cannabis Amnesty.

The Campaign for Cannabis Amnesty is a not-for-profit advocacy group focused on righting the historical wrongs caused by decades of cannabis prohibition. It was founded in April 2018, not too long ago, in response to the absence of federal legislation addressing the stigma of previous convictions for offences that would not longer be illegal under the Cannabis Act. Since then, the campaign has been calling on the government to enact legislation to delete criminal records relating to the simple possession of cannabis. We believe that no Canadian should be burdened with a criminal record for minor, non-violent acts that are no longer a crime.

It is an honour to appear before you today, and I offer you some observations and modest recommendations with respect to Bill C-93. The campaign supports the implementation of measures to remove the stigma of past cannabis convictions that disproportionately impact marginalized Canadians. As it is currently drafted, however, Bill C-93 does not go far enough.

The story of enforcement of cannabis possession offences in Canada is one of historical injustice and inequality. Canadians of different backgrounds consume and possess cannabis at comparable rates. In fact, Canada has one of the highest rates of cannabis consumption in the world. In 2017, 46.6% of Canadians—almost half of Canadians—admitted to using cannabis at some point in their lives.

Despite this widespread consumption, a growing body of social science evidence has shown that not all Canadians face the same consequences for these actions. Racial profiling and suspicion of specific groups on the basis of stereotypes means that some Canadians are more likely to be closely scrutinized by law enforcement than others. Black Canadians, indigenous people of Canada and low-income Canadians are more likely to be stopped, searched, arrested, prosecuted and incarcerated for cannabis possession offences than white Canadians. This is not a tragic and accidental phenomenon. This is a historical injustice and a systemic charter violation that cries out for redress.

The equality provision of the charter was intended to ensure a measure of substantive, and not merely formal, equality. The Supreme Court of Canada has consistently held, beginning with the case of Eldridge, 1997, that a discriminatory purpose or intention is not a necessary condition to finding a violation of the equality provision of the charter. It is sufficient if the effect of the legislation, while neutral on its face, is to deny someone equal protection and benefit of the law. To the extent that the government seeks to draw distinction between laws that are discriminatory on their face and laws that are discriminatory in their effects, a distinction is illegitimate for the purpose of our constitutional protections.

While historical cannabis protection laws were not discriminatory on their face, they most certainly produced discriminatory effects in their enforcement. They perpetuated disadvantage on the basis of race, ethnic origin and colour, all of which are prohibited grounds under the charter.

The unequal and disproportionate enforcement of cannabis-related offences on this scale and of this magnitude encourages distrust and resentment of law enforcement, cynicism towards the administration of justice and an understandable sentiment that the promise of substantive equality under the charter is a myth for many Canadians. An appropriately powerful response to this shameful history is therefore also necessary to maintain the integrity of our justice system.

While the campaign applauds the government's willingness to recognize the disproportionate stigma and burden that results from the retention of conviction records for historical simple cannabis possession, we believe the bill does not go far enough.

Given the serious consequences of a cannabis possession conviction on the lives of Canadians and the legacy of inequality through disproportionate and discriminatory enforcement, the federal government must respond to this historical injustice with a measure sufficiently powerful to denounce a shameful history. People with simple cannabis possession records should be put in the same position as those millions of Canadians who did and who continue to do the exact same thing.

(1540)



While it was criminal, they did not face any consequences because of factors that have no bearing on their moral culpability or criminality—factors such as their race, income, family connections and their neighbourhood of residence. As a result of that, they were never arrested and never convicted and were able to proceed through their lives with opportunities that were not available to other Canadians. As a result, Bill C-93 should be amended to provide for free, automatic, simple and permanent records deletions for simple cannabis possession offences.

If the government is not willing to go that far, then we suggest that there are other aspects of that kind of regime that the government could tap into that would still be satisfactory. For example, the government could incorporate aspects of an expungement scheme that could improve the bill's utility and allow for the implementation in a way that would benefit as many people as possible.

For example, on Monday when this committee met last, we heard that because of our decentralized and often archaic record-keeping practices, attempting to find and then destroy all relevant records would simply be too arduous. Just because we can't do this for all records doesn't mean we can't do it for some, and in fact, for the most important. As the honourable Ralph Goodale mentioned on Monday, while records relating to criminal offences do not exist in a single national database, records for convictions that have the greatest impact on jobs, volunteering and travel, in fact do.

The Canadian Police Information Centre, CPIC, is a national database maintained by the RCMP. If someone is arrested, charged and convicted of a crime, this record exists in the CPIC database. When an employer asks for a background check, for example, and requests it from the RCMP, the RCMP doesn't dispatch agents to rummage through courthouses to get all these disparate court records and information about an individual. They scan CPIC. When Canada discloses conviction information about its citizens to the United States, it also doesn't send photocopies of papers in boxes that are all across the country in disparate jurisdictions. It shares one database: CPIC.

Whereas we can't delete all records, what we can do is target one extraordinarily important database. Automatically removing all simple cannabis possession offences from CPIC would go a long way to alleviate the impact of a conviction from the lives of Canadians, even though this would not constitute a full expungement.

The automatic deletion of CPIC entries in relation to simple cannabis offences is also a cost-effective way to provide immediate relief to Canadians. An application process involving the collection of records from provincial, territorial and local police databases involves delays and hidden costs. Even if Bill C-93 eliminates the $631 application fee ordinarily required for record suspension applications, applicants may still need to pay for fingerprinting, court information and local police record checks, which can add up to hundreds of dollars.

There has been some discussion in this committee about whether record suspensions assist Canadians when crossing the border to the United States. I'd like to speak very briefly about that, and I could be asked more questions about that later. Record suspensions do not assist Canadians seeking to cross the border to the United States. The United States does not recognize any foreign pardon, irrespective of the effect of conviction. In fact, neither foreign pardons nor foreign expungement are effective in preventing inadmissibility to the United States. They are essentially equally useless.

I have provided to this committee fulsome submissions in writing that outline further recommendations, points and observations about this law. However, I wish to conclude with our primary recommendation, which is this: Bill C-93 should provide for the permanent and automatic deletion of all conviction entries for cannabis simple possession in the CPIC database.

Our subsidiary recommendations are outlined in our written briefs.

(1545)



We hope that the recommendations that we proposed would increase the bill's utility, assist in achieving its stated goals and allow for implementation that would benefit as many people as possible.

Thank you for your time.

The Chair:

Thank you very much.

With that, we turn to Ms. Sahota. Seven minutes, please.

Ms. Ruby Sahota (Brampton North, Lib.):

Thank you, Mr. Chair.

First, I'd like to find out a little bit more about cannabis amnesty. I guess I didn't get a chance to really do my homework.

You are the founder of that organization. When was it created and what was its purpose at the time?

Ms. Annamaria Enenajor:

It was created around April 2018.

I am a criminal defence lawyer. A lot of my clients face criminal charges with respect to cannabis. One thing that you can tell is that I'm a relatively recently called lawyer. I haven't been practising for very long, but one thing that quite surprised me is that often when it comes to offences, people are less afraid of the actual sentence and more afraid of what it will do for them for the rest of their lives. That stunned me. I thought that you do your crime, you do your time and you move on. I found it particularly disheartening that people who were trying to get their lives back on track were essentially being sabotaged by a system of information disclosure that prevented them from getting jobs, getting volunteer placements or travelling, for example, because of the stigma attached to having previously committed a criminal offence.

Ms. Ruby Sahota:

Where is this organization based?

Ms. Annamaria Enenajor:

It's based out of my office in Toronto.

Ms. Ruby Sahota:

I found it interesting. We were exploring on Monday that.... You've obviously been through the costs of fingerprints and court records and police record checks. I was wondering if either of you could give us some insight as to how much a police record check and obtaining court documents would cost in the regions where you practise.

Mr. Tom Stamatakis:

I couldn't give you a specific answer. It varies from jurisdiction to jurisdiction.

Ms. Ruby Sahota:

The jurisdiction that you are working from....

Mr. Tom Stamatakis:

My home service is in Vancouver, and to be very blunt about it, I haven't dealt with a record check or any fingerprinting for some time in that jurisdiction. I don't know what the cost is at the moment.

Ms. Annamaria Enenajor:

I don't have the answer for that, but I know where I can get it. I've been speaking to a group of young entrepreneurs who work out of the Ryerson legal innovation centre in Toronto, who have designed an app that tries to help people streamline and manage better the costs of doing a pardon application. It's called ParDONE.

Through my association with them, they've done a lot of the research about the disparity across the board in the application for pardons.

(1550)

Mr. Tom Stamatakis:

I will get you a few examples from a few jurisdictions. I don't know if you want me to send them on to the committee.

Ms. Ruby Sahota:

Yes, that would be useful. Thank you.

Ms. Annamaria Enenajor:

I could reach out to them as well because I know they've created a database for the cause. It varies. I know in my jurisdiction it's around $50 for a local police check. I can't remember whether it's Regina or Winnipeg, but I think it may be Winnipeg where it can be up to $125.

Ms. Ruby Sahota:

Does ParDONE represent people in filling out their pardon paperwork? Do they have a cost associated with that?

Ms. Annamaria Enenajor:

Yes, they do.

Ms. Ruby Sahota:

Do you know what their cost is?

Ms. Annamaria Enenajor:

I'm not sure. I haven't really talked to them about the cost model because our discussions were focused on providing it pro bono because we are not-for-profit. They did mention that even with attempting to reduce the costs as much as possible because of the ancillary costs of fingerprinting.... Even if you get rid of the $631, there's fingerprinting, a local police check and a background check.

Ms. Ruby Sahota:

Would your organization be able to provide services as pro bono work in helping people go through the process?

Ms. Annamaria Enenajor:

That's certainly one thing we're contemplating, once the government has passed legislation on pardons. We would be very much interested in assisting people as much as possible. However, until we see the model the government is implementing for the purpose of pardons, it will be difficult for us to know whether we are capable of doing that.

Ms. Ruby Sahota:

You talked about automatic deletion. We were informed on Monday that automatic deletion would be very difficult to do. Because of the way the charge is listed in CPIC, prior to 1996, it would be a narcotics possession charge or conviction, and post 1996, it would be seen as a possession of a substance in schedule II.

Ms. Annamaria Enenajor:

Yes.

Ms. Ruby Sahota:

How would they be able to pick out...They would basically have to pick out all of those charges which could be for various different narcotics or different substances in schedule II and then go through all the court documents and police records. It would be quite extensive.

Ms. Annamaria Enenajor:

Yes, that's correct. It would be very difficult for those prior to the Controlled Drugs and Substances Act, but schedule II of the Controlled Drugs and Substances Act is only cannabis.

Ms. Ruby Sahota:

Is it only cannabis?

Ms. Annamaria Enenajor:

It's cannabis, cannabinoid, cannabis derivatives, cannabidiol. It's the schedule of cannabis derivatives. There is a list of around 10, 11 or 12, and of those there may be only one that is presently not legal.

Ms. Ruby Sahota:

So, that's what you meant by saying some people can still be helped. You're saying those that are coming after that change in the law are they the ones that we can automatically delete?

Ms. Annamaria Enenajor:

Yes.

The Chair:

Thank you.

Mr. Motz, you have seven minutes.

Mr. Glen Motz (Medicine Hat—Cardston—Warner, CPC):

Thank you very much, Mr. Chair, and thank you to both witnesses for being here today. I want to ask you both the same question.

Were either one of your organizations consulted in the drafting of this bill? I know your answer to my second question, were your objectives met in this bill? Obviously, they weren't. From the Police Association, you answered both. Were either of your groups consulted before the drafting of this bill?

Mr. Tom Stamatakis:

Were we directly consulted? Not in an extensive way. We had some exchanges, but we didn't have a specific consultation with respect to this bill.

Ms. Annamaria Enenajor:

I would say the same thing. We had an open line of communication with Mr. Goodale's office to the extent that we would send him information and ideas. His office would acknowledge the receipt, but we weren't consulted about the actual substance of the bill. The first time we saw it was when it was released to the public.

Mr. Glen Motz:

Officials briefed us when they were here on Monday. There are about 250,000 individuals, according to the records that they relied upon, who might be eligible for this process. Do those figures align with what you have heard or believe to be a true and accurate number of Canadians who have a minor possession of marijuana as a criminal record?

(1555)

Ms. Annamaria Enenajor:

My understanding is that it is half that number that reflects people who have a previous cannabis conviction record or a previous criminal record for simple cannabis possession. You said something that might be the reason for that. You said there are about 250,000 people who would eligible. The number of people who are eligible for pardons, under this piece of legislation, is different from the number of people who have previous cannabis conviction records.

The eligibility pares down the number of people and it may be reasonable to suspect that one of the requirements for eligibility is that individuals have to have only simple cannabis possession records. You can imagine that a vast number of people who have simple cannabis possession also have another offence on their record, be it an administrative offence, a fine or another drug-related offence. That would automatically disqualify them. I can see that the number of people who might be able to benefit from this would be substantially less than the number of people who actually have simple cannabis possession on their records.

Mr. Glen Motz:

Any comments from the Canadian Police Association, sir?

Mr. Tom Stamatakis:

I couldn't comment specifically on the number, but that doesn't surprise me that the number would be relatively low. As I said in my remarks, in my experience police organizations have de-prioritized targeting people for simple possession, particularly cannabis, for quite some time.

Mr. Glen Motz:

One of the other things the officials told us on Monday was that based on the 250,000, they anticipate there will be potentially up to only 10,000 individuals who would take advantage of this record suspension opportunity.

Are you hearing anything different on either part? Is that something you can speak to?

Mr. Tom Stamatakis:

Anecdotally, it's not unusual in my experience that people don't pursue getting a pardon or having a record expunged. It's a step that people have to take, so it's not uncommon for me to come across people in my work who could apply for a pardon, or an expungement of some other record, but don't for whatever reason.

Ms. Annamaria Enenajor:

I think that's correct.

It doesn't surprise me that the number is so low. I'm surprised because I hope it would have benefited more people, which is one of the reasons we are asking for it to be automatic. If it's just the push of a button, you don't have to go through the process.

There is a difficulty in getting people to take advantage of a scheme that's developed where there's a historical documentation provision requirement. It's quite difficult to get these documents. You have to physically go to the court; they may not have them there; they have to order them from storage and that's only one of maybe two, three, four or five documents that you have to obtain.

The process in itself could be a deterrent simply because it is too cumbersome and difficult to do. There is also the additional cost that may weed out people as well and make them think it's not worth it.

Mr. Glen Motz:

We talked about that on Monday. There are the fingerprinting costs and the application for a record from the local police jurisdiction where that offence was committed and potentially other costs associated with that as well. It really doesn't make this a cost-neutral venture.

You mentioned, and it was talked about the last time briefly as well, the challenge of obtaining past records. We know in policing that sometimes these offences occurred in jurisdictions where the record-keeping was not as we would be accustomed to today, or in larger municipalities or organizations, and it's a problem.

Do you have solutions on how we might address that? We may not find them because they're in a box in the basement somewhere. They're not modernized or digitized, so how do we go about this?

(1600)

Ms. Annamaria Enenajor:

I agree it's very challenging, but that challenge can be turned on its head, I think, and that's what I was suggesting in my earlier remarks.

We don't have to focus on all the records. Why don't we focus on the ones that matter, the ones that impede people from getting jobs, volunteering or crossing the border? Nobody is going into the basement of a courthouse and using those documents to prevent someone from getting a job. The CPIC database is the impediment.

The Chair:

Mr. Motz, I'm going to have to owe you 11 seconds for the next round.

Mr. Dubé, you have seven minutes, please.

Mr. Matthew Dubé (Beloeil—Chambly, NDP):

Thank you very much.

First of all, I want to thank you both for being here.

I want to continue on this idea about CPIC that you mentioned in your testimony, and correct me if I'm not understanding this correctly. In other words, any time a potential landlord, employer or whoever is asking any question that requires some kind of background check, their verification would occur through CPIC, is that correct?

Ms. Annamaria Enenajor:

That's my understanding of how it happens.

Mr. Matthew Dubé:

Okay.

I just want to back up a little to the question about historical injustice, because this seems to have been the grounds on which the government is distinguishing between the injustices committed on the members of the LGBTQ community through Bill C-66, the individuals who would be affected by this legislation, and who have been affected by criminal records for simple possession.

The numbers you've cited in your brief, that I've cited and that many have cited about the disproportionate impact, are essentially government numbers, if I can phrase it that way. Is that correct?

Ms. Annamaria Enenajor:

They are numbers that have been provided through either freedom of information requests and that have been processed by academics or Statistics Canada.

Mr. Matthew Dubé:

So in other words, the government would be aware of that information when drafting this type of legislation.

Ms. Annamaria Enenajor:

I would imagine that it wouldn't surprise them.

Mr. Matthew Dubé:

That brings me to this. You referenced a Supreme Court case, so there really is no legal foundation for what constitutes a historical injustice. Obviously that decision you referenced goes into it, but when the minister tries to create a standard—and he was very careful in his testimony Monday to not use that phrase again, although others like Minister Blair have—there's no real precedent. There's no measuring stick as to what would reach that threshold.

Ms. Annamaria Enenajor:

Right, yes. The case I was referring to wasn't about historical injustices. It was about equality.

Mr. Matthew Dubé:

Right.

Ms. Annamaria Enenajor:

The definition of equality under the charter is a definition that has been developed through case law, and it's a term of art. When you say “equality”, you don't mean formal equality, you mean substantive equality, and that has a meaning. It has content.

Historical injustice is not a legal term of art. You could use it to describe anything that you deem to be a historical injustice, but I think what Minister Goodale was doing in his testimony was being very careful, because the government in essence has created it to be a term of art because of the way that it has structured Bill C-66. I think Bill C-66 was designed to address it with the term “historical injustice”. There was a schedule, and on that schedule they put offences they deemed to be historical injustices. In order for them to have an argument to exclude certain offences from that schedule, they would have to define them as something other than historical injustices.

So I think it's a term of art that's artificially constructed, but you can define historical injustice in any way that you choose to.

Mr. Matthew Dubé:

So ultimately what you're positing by using the discussion about equality is that there is clearly an inequity in how these individuals were treated and such. If you're going to use this term of art, as you say, then it could easily fall under the same sort of construct, but ultimately, it's unnecessary to go forward with expungement. If it's perceived in a particular way, if the social acceptance does exist for this activity now, which is now legal, then there's no reason why it couldn't just simply be expunged.

Ms. Annamaria Enenajor:

Well, what I was trying to lay out had to do with the harm that was done by the historical injustices, the offences that essentially were homophobic in nature. They discriminated against individuals on the basis of sexual orientation. That is a violation of the charter, and it is false to try to draw a distinction, if you're looking at what is a violation of the charter, between laws that are discriminatory on their face and those that are discriminatory in their effect.

(1605)

Mr. Matthew Dubé:

Perfect.

Ms. Annamaria Enenajor:

So it's a false distinction if your objective is to try to define things that would violate section 15 of the charter.

Mr. Matthew Dubé:

I appreciate that. So some of the issues that people would have that would qualify for the process laid out in Bill C-93—and we've had confirmation from officials on this—would include things like those you've mentioned, some of these administrative offences, such as failure to appear in court, unpaid fines, which some would say could be fines of as low as $50. Even then “low” is a relative term, naturally.

In your experience, would it not be the same marginalized individuals who would be targeted by those criteria that we're seeking to remediate with this legislation?

Ms. Annamaria Enenajor:

In my experience, and I believe in the experience of many of my colleagues who defend these people on a daily basis, there's not necessarily any correlation between the number of offences on a person's rap sheet, a person's record, and the extent to which the person poses a real and true danger to society.

In fact, my clients who have the longest conviction records are the ones who have the greatest mental health challenges. They cannot understand, and for that reason they miss court dates. They are compulsive in their behaviour in terms of not showing up for court or compulsively stealing and things like that. That doesn't necessarily correlate with the people we are seeking to target as being the most dangerous and reckless people in society.

Mr. Matthew Dubé:

And so there's a big distinction between achieving a public safety objective by not wanting to give someone a way out when there might be more serious issues and someone who might have an unpaid fine or this type of administrative offence.

Ms. Annamaria Enenajor:

Exactly. It's not necessarily the existence of another offence on their record that speaks to the danger they pose to society, but really the nature of the offence.

Mr. Matthew Dubé:

Ultimately we favour expungement; it seems that the government doesn't.

However, even if they were to remain with the pardon called the record suspension system, would it not be preferable for it to be automatic to avoid this application process that, despite being expedited on the federal government's side, is still costly and drawn out, given what's been raised here today and on Monday?

Ms. Annamaria Enenajor:

Yes, absolutely.

One of my primary concerns is that this legislation, while well-meaning and much better than the status quo.... I'm not here to completely dismantle it. I think it's fantastic that the government has taken this initiative. My concern is that people will not take it up.

Mr. Tom Stamatakis:

If it is automatic, how do you determine the nature of those additional offences to determine whether there is a public safety risk or not?

Ms. Annamaria Enenajor:

I think if there are other offences, you wouldn't qualify for this.

The Chair:

I have to leave it there.

This is an interesting point in the debate, so maybe Monsieur Picard can pick it up in the next seven minutes.

Mr. Michel Picard (Montarville, Lib.):

No, I won't. I'll change the subject. [Translation]

Madam, do you think consuming cannabis is a basic right? [English]

Ms. Annamaria Enenajor:

No. [Translation]

Mr. Michel Picard:

Do you think an activity that is prohibited and then becomes permissible is worthy of an administrative correction—without getting into the administrative aspect—where the correction does not necessarily relate to a basic right? [English]

Ms. Annamaria Enenajor:

No. [Translation]

Mr. Michel Picard:

On Monday, we heard from department officials, and they explained the difference between a suspension and….[English]

What's “expungement” in French? I don't know.

On the difference between expungement and suspension, the pardon has a paper trail, but there's no such document to explain an expungement, so no one can arrive with a document.

Do you agree with that?

Ms. Annamaria Enenajor:

I do not. I make reference to that in my written submission, but I can respond right now.

Essentially, what Minister Goodale was trying to say was that pardons are more beneficial for government crossings to the United States, because a successful applicant will have documented proof of a pardon while an expungement does not. This would only be the case where the government creates a regime that results in that objective.

This question was raised in this committee when the government was studying Bill C-66, which was a bill to create expungement for historically unjust sentences. When the CEO of the Parole Board, Talal Dakalbab, testified before this committee, he was asked this very same question.

Talal Dakalbab testified that those who receive an expungement pursuant to Bill C-66 could carry with them the Parole Board of Canada's expungement decision. This is a quote from that testimony: This document shows that their offence has been expunged or that they have obtained a pardon or a record suspension. This is usually how this information can be removed from the systems of other countries.

There is a mechanism—if the government constructs the legislation in that way—to provide a document that is equally as useful in the process of an expungement but that is not in a criminal record database. With something, for example, like a birth certificate, there is meaning and weight to its significance, but it's not in a police database; it doesn't prevent you from getting a job.

Where it can be created, as Minister Goodale mentioned in the case of a suspension, it can also be created in the case of an expungement, and that was suggested by the CEO of the Parole Board when testifying about Bill C-66.

(1610)

Mr. Michel Picard:

What's the point of creating something new when you already have something that works and is understood by other police forces, namely U.S. customs?

Ms. Annamaria Enenajor:

What are you suggesting?

Mr. Michel Picard:

The pardon and the document that accompanies the pardon and everything is based on something that exists already with the exact same result, and it works. This is the language that's used daily with other police forces in other countries. Why are we recreating the wheel when we have something that is perfectly efficient and achieves the objective at stake?

Ms. Annamaria Enenajor:

It's for the same reason that we have Bill C-93 proposed, as opposed to just the Criminal Records Act. There's a specific mischief that the government is responding to, which is a historical injustice, in my submission. The government has recognized that there's a history of disproportionate impact of cannabis convictions, of cannabis prohibition and enforcement of this law, on specific people in Canada. That's why the government is implementing, in addition to what it already has.... It's saying let's do something a little bit more. They're saying that little bit more is that they're going to remove the fee associated with it and remove the waiting period. They're not recreating the wheel, but responding to a specific mischief.

What I'm proposing is also a response to that specific mischief, but my suggestions are going a bit further. There is room to construct something where there is a unique mischief that the government is responding to, particularly when it pertains to historical injustice that will result in people losing faith and confidence in our justice system because it doesn't treat people fairly.

In terms of recreating the wheel, there are currently approximately 23 states in the United States that have either decriminalized or legalized cannabis, and of those 23, seven implemented some kind of measure for expungement or pardons or amnesty for cannabis-related offences, and of those seven, six are expungements.

In the United States, it is standard pro forma to approach things by way of expungement. The United States will understand that language better than they would understand a pardon, because it means something different in the United States. A presidential or a congressional pardon is something different from what we call a pardon. [Translation]

Mr. Michel Picard:

During your opening statement, you talked about focusing on the most important records.

I completely agree that someone who is looking for a job needs their pardon in order to find employment. You're saying that the government, or at least an administrative body, should do the work. How is someone in an administrative organization supposed to decide which records on the list or in the database are most important? [English]

Ms. Annamaria Enenajor:

I think in my description of what was important, I didn't mean important in the sense of a qualitative assessment of the content of the file or the record. What I meant by important is the location of the document that has the most impact on the person's life.

Let's say that there's an individual who had a conviction in 1983 of simple cannabis possession. The entry would be in CPIC, and that entry may also be contained in physical documents in a courthouse, in a storage facility somewhere. If we want to spend our resources to rid that person of the stigma associated with the criminal record, we should go after the digital record in CPIC rather than the paper record in the basement of a courthouse, because the digital record is the one that's most likely to have an impact on that person's ability to find employment.

Maybe I wasn't clear, and I apologize for that, but it wasn't the content of the document that's most important. It was really trying to discern which types of records we want to target for the purpose of making sure that our efforts and our resources are expended only where they will be the most effective in assisting people to get their lives back on track.

(1615)

The Chair:

Thank you, Mr. Picard.

There was reference to Bill C-66 coming before this committee. I don't think it actually came before this committee. It was some other committee, but it wasn't this one, I'm pretty sure. It was probably justice.

Mr. Eglinski, you have five minutes.

Mr. Jim Eglinski (Yellowhead, CPC):

Thank you.

I'd like to thank both witnesses for being here.

I'll start with you, ma'am.

I'm going to go back in history a little bit because I was there. I started policing in the 1960s and drugs just started to filter into Canada's community in about the mid-1960s. I was there when we started an active enforcement program, regardless of whether it was Edmonton city police or Vancouver RCMP. I watched the progression as it came up to today. I've been there and watched it.

One thing that you mentioned—and I do agree with you—is that we can not rely on anything out there for this record thing other than CPIC because CPIC didn't start when the drugs started. There are lots of records that are lost who knows where. We discussed that a little bit.

We've had discussions here by our parole people who say they have to look at it and decide whether that person should be eligible or shouldn't be eligible. They say that they're going to be able to do it quite quickly. It should be immediately, but when they sit it here they say it may take some time. To me, that's not going to be cheap and fast.

I've brought this up a number of times. I think everybody here in this room kind of knows that I think pressing a button is the way to do it for simple possession charges. It was very clear to this committee the other day that if the charge was reduced 15 or 20 years ago from something else to simple possession and that's what the Crown decided to go on and that's what the person was convicted of, then all we can rely on is that simple possession charge.

In this day and age of artificial intelligence, some of the best minds in the world here in Canada could not develop a program that would connect the CPIC program held by the RCMP with a computer going through that thing faster than we can with a group of people. You'd think a logical way of doing it would be where the computer would go and kick out the ones that should be kicked out and delete them.

I wonder what are your feelings on that.

Ms. Annamaria Enenajor:

I think there's definitely room to develop a program like that. I think an even more complex algorithm could be developed to determine whether there are aspects of a person's record in its entirety that warrant further inspection to respond to some of the concerns of the Police Association, which may be valid with respect to.... You don't want to expunge the records or delete the records of somebody who should probably be followed, but for simple possession....

Mr. Jim Eglinski:

Thank you for that. I think we're thinking the same way.

Could you send us a list of the six states that are doing the system because I would like to find out if any of them are doing it by computer or if they're trying to do it the manual way.

I would be very interested to know that.

(1620)

Ms. Annamaria Enenajor:

Yes.

Mr. Tom Stamatakis:

I agree with what you're suggesting. The only concern I would raise is that the problem with just expunging that record—or deleting that record, to use your term—is that there are records that exist elsewhere in other databases. You need to still have some kind of an accompanying document or record that says that the CPIC entry has been deleted, so that—

Mr. Jim Eglinski:

A properly produced program with the proper agencies working on it would be able to do that.

Ms. Annamaria Enenajor:

There are a number of jurisdictions in the United States—they're municipalities—that are using artificial intelligence and predictive coding to identify records and eliminate them. I'm just on our web site right now because we have listed some of them there, but I can certainly provide this to the committee.

Mr. Jim Eglinski:

Thank you.

Tom, just to let you know, it's $25 for a check in your city and $25 if they want to add a fingerprint check. Ottawa is $42 for a criminal check, $99 if you want fingerprints and $139 if you're a company.

Mr. Tom Stamatakis:

Thank you.

The Chair:

You're done your five minutes.

My ever-vigilant clerk has corrected me. Bill C-66 did come before this committee. The benefit of getting old is that everything seems fresh again.

Ms. Dabrusin, you have five minutes, please.

Ms. Julie Dabrusin (Toronto—Danforth, Lib.):

Thank you to both of you. It has been helpful to get your perspectives on things, especially in the context of what we heard on Monday as well.

Ms. Enenajor, first, you stated that this bill shows a recognition of historical injustices. If this bill passed as is, unamended, would you be happy to see it go through as a first step in righting those historical injustices?

Ms. Annamaria Enenajor:

Absolutely.

Ms. Julie Dabrusin:

I want to speak to you about some other points.

One of the issues that came up on Monday was really about tracking down all the records. The question seemed to be, in what was suggested to us by the officials, that if it was upon them to do all the work themselves as opposed to putting the onus on the person seeking the pardon, they would have to go and check records that might be in basements to see if it was actually simple possession of cannabis as opposed to something else.

Ms. Annamaria Enenajor:

Yes.

Ms. Julie Dabrusin:

However, if I understand what you've suggested today, these would all be schedule II. Would that be how it's marked in CPIC, as schedule II?

Ms. Annamaria Enenajor:

Yes, schedule II.

Ms. Julie Dabrusin:

At that point, all but one of those items would be in fact legal today.

Ms. Annamaria Enenajor:

It has been a while since I've juxtaposed schedule II and the schedule of the Cannabis Act, but I do believe it's almost identical.

I know for sure that schedule II of the Controlled Drugs and Substances Act is only cannabis and cannabis-derived substances.

Ms. Julie Dabrusin:

Then one simplified process might not get everyone, especially because laws change and schedules change over time. However, if there was a way to date it back, one way would be to actually make it somehow automatic for schedule II possession—and I'm not using the right legal terminology because I don't have the act in front of me—

Ms. Annamaria Enenajor:

Yes.

Ms. Julie Dabrusin:

—and then maybe have to do something else for those when you have perhaps different items and schedules and it's different legislation.

Ms. Annamaria Enenajor:

Yes, exactly. One of the things we proposed in one of the documents we sent to the government was a multi-tiered system that responded to different kinds of offences.

For example, it makes sense if you have only one conviction for simple cannabis possession that's over 40 years old and you've never done anything since then. Who cares? Just expunge it. It's so useless to have that.

In terms of the risk of it being anything more serious than simple cannabis possessions, if they're 40 years old, why don't we just get rid of all those ones? Different tiers of types of offences can attract different responses.

(1625)

Ms. Julie Dabrusin:

You have outlined what that would look like. At this point, we're looking at legislation, and I guess you would agree with me that it's important that we pass this legislation quickly.

Ms. Annamaria Enenajor:

Yes.

Ms. Julie Dabrusin:

It would be helpful, then, if you have any suggestion as to proper wording.

Ms. Annamaria Enenajor:

Yes.

Ms. Julie Dabrusin:

I don't know if you've already provided that to the committee.

Ms. Annamaria Enenajor:

I have not. I think we have a draft piece of legislation. However, I can provide that to the committee.

Ms. Julie Dabrusin:

That would be wonderful. I'd appreciate that, if you'd be able to send in what you would propose as a draft.

The other question that has been on my mind is when we'd looked at record suspensions previously with a motion—I think it was M-161—one of the witnesses mentioned that one of the largest barriers was outstanding fines. The time didn't start clicking for a lot of people because of it.

Here, the time isn't a factor anymore under this bill, but my understanding is that you can't qualify under Bill C-93 if you still have outstanding fines. How do you feel about that piece, about the outstanding fines? Would it be helpful if people were not required to pay their outstanding fines to qualify for the pardon or record suspension?

Ms. Annamaria Enenajor:

I actually thought there was no relationship between the presence of an outstanding fine and eligibility for Bill C-93, so I'm—

Ms. Julie Dabrusin:

My understanding was that all penalties, any time that had to be served, if there was time that had to be served, or any outstanding fines, would have to have been completed before you would be able to quality.

Ms. Annamaria Enenajor:

Yes, completed. That's right.

That was a difficulty in access on this issue. Many times the people who don't pay their fines are unable to do so. These are the same people who are unable to afford pardons, ultimately. We're trying to target those people who have, as a result of their criminal convictions, become marginalized and are unable to be gainfully employed and contribute to society. Then we're doubly punishing them by preventing the only mechanism by which they can actually go out and be employed and contribute to society and gain the type of income that would allow them to pay the fine. It's a contradiction in terms to not have contemplated a way to go around that.

Ms. Julie Dabrusin:

Thank you.

The Chair:

Mr. Motz, you have five minutes.

Mr. Glen Motz:

Thank you, Chair.

I'd like to continue on with the issue of fines. I think it's important to appreciate that if you have an outstanding fine, and if there's a significant timeline, it's turned into a warrant. You have a certain amount of time to pay your fine, and if you don't, it goes to warrant. The moment you start dealing with that, then, you have an outstanding warrant. Generally, if it's for minor possession, with a $150 or $200 fine generally, you get picked up and you're released, because really you've paid your fine. That's kind of how things generally work for minor possession.

I want to also talk about CPIC for a second. CPIC is a database that identifies to law enforcement that an individual has been dealt with with a record. I'm splitting hairs here, but CPIC doesn't actually contain the record.

Ms. Annamaria Enenajor:

Right.

Mr. Glen Motz:

The way the government has looked at Bill C-93 is that there's still a requirement for the department to go and verify through fingerprints and the actual record, not just CPIC. It's not as simple as hitting a button and removing it off CPIC. Now you can do that on the database that contains the actual criminal record.

But that's a different story. I want to ask you specifically about the fact that right now, the process from the department's perspective is to try to do it inexpensively from.... It's free for an applicant. It's not free for the department. They figure it will cost a couple of hundred dollars per person if their numbers are accurate in terms of the number of people who are going to be applying. I still have questions as to how well that might be done. If I'm applying for a record suspension because of a minor possession of marijuana, the onus is on me to go to “a” jurisdiction; it's not multiple but one conviction. That's all I'm allowed to deal with.

Ms. Annamaria Enenajor:

Yes.

Mr. Glen Motz:

I have to go back to that place of jurisdiction and I have to go and find the actual conviction from the courthouse.

Ms. Annamaria Enenajor:

Yes.

Mr. Glen Motz:

I have to give my fingerprints, to verify that I'm me, and confirm that I have that record. Then I submit that as part of the package that the Crown has put together for people to apply for this.

I mean, do you think that's an efficient way of doing this? Really, in terms of what we're asking, I have to apply through a process online. I have to follow a sequence where I check the boxes. The onus is on me to do those things. Then the department, the Parole Board, has a clerical function where they might say, yes, this person's fingerprints match up through the C-216Cs or the new systems now, or, yes, this is the record, and there's nothing else that impedes this person from becoming or being.... They only have one conviction; they've qualified. To me, that seems like a really long process, potentially, and it will limit people who want to get this conviction.... I'm wondering whether this will actually benefit the people we're expecting it to benefit—those who are prohibited from getting the type of job they want because of a simple possession charge.

What are your thoughts on that?

(1630)

Ms. Annamaria Enenajor:

I think your instincts are correct. Even today, the largest number of applications for pardons.... The process that you describe, which is the Bill C-93 process, is better and less onerous than the process we currently have for record suspension.

Mr. Glen Motz:

With a full pardon.

Ms. Annamaria Enenajor:

For a full pardon.

Mr. Glen Motz:

Okay.

Ms. Annamaria Enenajor:

That's because it eliminates the requirement that you demonstrate good conduct and it eliminates the requirement that you have to show a measurable benefit that the pardon will give to you. They're all qualitative aspects. Often people obtain counsel to help them do that, because you're presenting a case for yourself. It's not really just running around a courthouse trying to find specific documents and putting in your fingerprints. You're making an argument for yourself. The discretionary element is no longer there in Bill C-93.

Mr. Glen Motz:

I have just a minute or so left, and I'm curious to know something. I've asked some individuals that I know who are in business this question: Listen, as an employer, if someone applies for a position with you, and you ask them for a records check or they come in with it, now that marijuana is legalized, are you concerned that the individual has a previous conviction for simple possession of marijuana? The answer I've gotten back from them is that, no, they don't care.

Ms. Annamaria Enenajor:

Yes.

Mr. Glen Motz:

I think most employers don't care about whether something that's been legalized will have an impact on them. I know it impacts the individual.

I don't know if you have any thoughts on that particular issue.

Ms. Annamaria Enenajor:

I haven't really thought about that specific issue.

The decision whether or not to hire someone on the basis of a criminal record is discretionary. My concern is about who the people are who are being most impacted as a result of the exercise of that discretion. There's always the potential for it to harm an individual and to limit them.

While a lot of employers may not ultimately care, I think we're not there yet. That may happen in a couple of years. Mr. Stamatakis mentioned that there have been sweeping cultural changes in our perception and our understanding of cannabis, and I think that's only going to continue. But until we get there we still have people who are being denied employment and volunteer opportunities.

The Chair:

Thank you.

Our next witness is on his way from court, and the lawyers among us know exactly what that means, so I'm going to stretch this session a little bit further. Before I ask Mr. Graham for the next five minutes, I'll take a question from our analysts with respect to testimony on the schedule.

Go ahead.

Ms. Julia Nicol (Committee Researcher):

You may not be able to answer this, but if I understand correctly, you said that in CPIC it will say this is a schedule II offence. Item 1 of that schedule, natural cannabis and derivatives, is no longer an issue, but item 2, the synthetic cannabinoid receptor agonist, remains a criminal offence. Would the item number have been listed in CPIC in every case, because if not, we have an issue with figuring it out.

(1635)

Ms. Annamaria Enenajor:

I don't think so. It's not that detailed.

Ms. Julia Nicol:

That's what I thought. That's where we have a problem. You can't tell by relying just on CPIC.

Ms. Annamaria Enenajor:

Yes.

The Chair:

Thank you.

Mr. Graham, for five minutes, please.

Mr. David de Burgh Graham (Laurentides—Labelle, Lib.):

That was my first question, so thank you for that.

Mr. Stamatakis, when you're looking at an electronic record, what do you know? When you pull up somebody's criminal record, what do you see?

Mr. Tom Stamatakis:

It gives you a very brief description of the offence. There's no context or additional information.

Mr. David de Burgh Graham:

Of all our historical criminal records in this country—I imagine there are quite a few of them—how many have been digitized? Do we have any sense of that?

Mr. Tom Stamatakis:

No, and I would agree with my co-panellists here that record-keeping is an issue. The other issue is that while we all rely on CPIC nationally, provincially there are different databases that capture information as well. Even if you delete a record from CPIC, it doesn't mean the record is automatically going to delete from those other databases that different police agencies use in different jurisdictions.

I say this from a policing perspective.

Mr. David de Burgh Graham:

Are police databases generally synchronized in any way? Is there some way of doing so, or is everyone their own little island?

Mr. Tom Stamatakis:

No, they're not synchronized. Policing falls under provincial jurisdiction, and each province will make their own decisions with respect to provincial databases that might be used to capture law enforcement-generated data.

Mr. David de Burgh Graham:

While I appreciate the sentiment, is there any way we can implement Mr. Eglinski's idea of using AI to find these data?

Mr. Tom Stamatakis:

I think you could. I agree with the sentiment that in today's world, there should be some way of quickly managing records, at least with CPIC. If you came up with a process where there was a document that a person could be given that confirms that the record has been deleted or expunged, it would be helpful. If you focus just on CPIC, it's not going to solve the problem when it comes to simple possession.

Mr. David de Burgh Graham:

Do all police forces feed into CPIC?

Mr. Tom Stamatakis:

Yes, it's a national database. All police services across the country have access to CPIC.

Mr. David de Burgh Graham:

So, as we were saying before, CPIC doesn't do the reverse. That's why there's no coordination. It's a one-way situation.

Mr. Tom Stamatakis:

Yes.

Mr. David de Burgh Graham:

Okay.

If someone has multiple possession charges but nothing else, would they have to apply for each one individually? What's your take on that? Or could they apply once for the 10 or 20 times they got caught?

Mr. Tom Stamatakis:

That's a good question.

Mr. David de Burgh Graham:

I'm not sure either. That's why I'm asking.

Mr. Tom Stamatakis:

Yes. I think my reading of it is that it's specifically talking about simple possession. If there aren't those other circumstances, then I don't see why you couldn't apply it once. But I don't think it's clear.

Mr. David de Burgh Graham:

Okay. But as we said earlier, if you have any other record, then it's moot anyway.

In your opening remarks, you expressed concern about people who had their plea bargains down to a simple possession, but I think the underlying hint of that was that if that was the case, they probably also had an additional criminal record, and that's why there would be a concern. If that's the case, then that criminal record would make it a moot point, would it not?

Mr. Tom Stamatakis:

It would just be my concern that the board wouldn't have access to that information, because my experience as a police officer is that there are often those plea arrangements made for good reason. As I said in my opening remarks, those agreements are arrived at for a reason, and this changes the landscape, obviously. To be frank, if all someone has is a simple possession charge as a result of a plea agreement from 10 years ago or five years ago and there's nothing else, I have no issue with that. But our experience, from a policing perspective, is that these people often are involved in a lot of other things. I agree with you: if that's the case, then they wouldn't be eligible to apply, but it's just giving that little bit more discretion to be able to confirm that.

Mr. David de Burgh Graham:

To do that, we'd have to have the Parole Board subjectively look at each record as it comes up, which is sort of the opposite extreme from what your colleague here is suggesting. Would that be a fair assessment?

(1640)

Mr. Tom Stamatakis:

I suppose what I would say is that I'm advocating for them to have the ability to do that where they believe there's a reason to do so. I'm not suggesting you create a mechanism where they have to do it in every case.

Mr. David de Burgh Graham:

Okay. Thank you.

The Chair:

Mr. Dubé.

Mr. Matthew Dubé:

Thank you, Chair.

I just wanted to come back to where cannabis amnesty is at, in terms of this bill, because certainly it's better than nothing but ultimately the fact remains that the best outcome for the individuals you're seeking justice and remediation for would be expungement. Is that fair?

Ms. Annamaria Enenajor:

Yes, that's the best outcome.

Mr. Matthew Dubé:

Okay. And then it's a little more than the bare minimum, but another good step would be it being automatic in some way. We're getting bogged down in how that would occur, but if the government was willing to do so...?

Ms. Annamaria Enenajor:

Yes.

Mr. Matthew Dubé:

Even if it wasn't automatic, would a model like what was proposed in Bill C-66 be feasible? We talked about the language being used there, the historical injustice language being applied, but ultimately the Bill C-66 model could very easily have been—or still be—applied in this case, potentially, correct?

Ms. Annamaria Enenajor:

Potentially, but Bill C-66 is actually a little bit more complex than what I'm proposing, because the offences listed in Bill C-66 were not only used to prosecute consensual homosexual activities, they were also used to prosecute non-consensual homosexual activities. So with Bill C-66, in your application, you have to either find information that would demonstrate that it was a consensual act, or swear an affidavit to that effect, so it's actually a lot more homework with Bill C-66.

Maybe there's a mirror to what the analyst was asking me before, where you're not sure what the nature of the underlying offence may be and whether it qualifies for what the objective you're trying to accomplish is. In those cases, you may actually have to go back to not just the court documents, to find those, but you may have to order the court transcript. Because oftentimes, even the court documents won't say the nature of the substance. You have to get the evidence.

Mr. Matthew Dubé:

I just want to go back to a question that was posed earlier about travel at the border. I think there are domestic concerns that are important enough when it comes to things like jobs and volunteering and so forth. I just want to make sure we're distinguishing something here, because there seems to be an argument that a pardon or a record suspension is better because it provides documentation.

I have two comments about that. One is there's nothing that would prevent the government from keeping a record of records that were expunged if people so requested. It seems like a bit of a contradiction, but ultimately, that would be feasible. The other piece is that in your testimony you were referring not so much as to whether it is important or not to have documentation, but to the fact that even if you have a record suspension, it is not necessarily recognized by the Americans, so there's no guarantee even there that your travel would be facilitated.

Ms. Annamaria Enenajor:

At most, a record suspension would buttress your application for an entry waiver to the United States. You would still be required to make an application for an entry waiver if you've been denied entry. The pardon and the record suspension or an expungement would not prevent you from being deemed inadmissible.

The Chair:

Thank you.

I would like to go back to the issue of the U.S. border officer. Your testimony was that a pardon and an expungement as far as that officer is concerned are equally useless.

Ms. Annamaria Enenajor:

Yes.

The Chair:

With either one, you're essentially in exactly the same position as the person who has a conviction or any outstanding charge because the question is the same.

Ms. Annamaria Enenajor:

Yes.

The Chair:

Whether it's a charge, a conviction, an expungement or a pardon, it's all useless as far as the U.S. border officers are concerned.

Ms. Annamaria Enenajor:

That's correct.

The Chair:

Thank you. That's comforting.

Ms. Annamaria Enenajor:

Unfortunately, we can't pass laws that impact the United States.

The Chair:

That's been one of the sales points of the bill.

Ms. Annamaria Enenajor:

Yes.

The Chair:

Before we suspend I'll ask Mr. Eglinski in his generous way to move that we accept the report of the subcommittee.

Mr. Jim Eglinski:

I move that we accept the report of the subcommittee.

The Chair:

That's excellent. I thank you for that.

Mr. Jim Eglinski:

I'm just trying to co-operate with you and be part of the team.

The Chair:

It's democracy in action.

Thank you very much. With that we'll suspend briefly.

(1645)

(1645)

The Chair:

We are going to be running up against bells, colleagues. Apparently they're half-hour bells so with your indulgence, and it will have to be unanimous indulgence, and given our late start I would like to run 15 minutes into the bells and then we'll adjourn.

Thank you.

Mr. Friedman, I'll ask you to begin your testimony. If you could cut it down from 10 minutes that would be appreciated.

Mr. Solomon Friedman (Criminal Defence Lawyer, As an Individual):

Good afternoon, Mr. Chair and committee members.

Thank you for inviting me to address you today on the subject of Bill C-93.

First, let's start with the positive. The philosophy behind this proposed legislation is sound. It is fundamentally unjust for individuals to suffer under the continued stigma of a criminal record for conduct that is no longer illegal.

As we are all well aware, a criminal record is indeed a significant barrier to success in our society. It compromises a person's ability to obtain employment, education, housing, financing, volunteer opportunities and travel. These are all roadblocks, individually and cumulatively, to a person's ability to integrate into society, contribute positively to the larger community and lead a productive, prosocial life.

The injustice of maintaining the criminal convictions for individuals previously convicted for simple possession of cannabis is further compounded when we examine the uneven and discriminatory effect of the criminalization of cannabis on already marginalized groups in Canada. In Toronto, for example, where black people make up 8% of the population, they account for 25% of all persons charged with possession of marijuana between 2003 and 2013. The same is true with respect to indigenous persons. Take Regina, Saskatchewan, where 9% of residents are indigenous but were 41% of all persons charged with cannabis possession.

Historically, these offences have disproportionately impacted the most vulnerable in our society: the poor, the marginalized, the mentally ill, the racialized and indigenous people. If the statistics aren't enough, I can tell you from the unfortunately steady stream of clients through my office that those charged with simple possession of marijuana share these traits. They generally derive from marginalized groups and, in a cruel twist of irony, these criminal convictions themselves further marginalize those same groups, perpetuating a cycle of criminalization, stigma and inequality.

Bill C-93 undoubtedly comes from a good place, and the government should be applauded for that. However, while well intentioned and a positive first step—there's always a “however”, especially when you bring in a lawyer—it remains, in my respectful view, deeply flawed. I will address each of these flaws in turn.

First, the bill requires that affected individuals apply to the Parole Board of Canada for a record suspension. This requires that a formal application be filled out and sent into the Parole Board for review. While the bill explicitly provides that no fee is payable for this particular application, unlike the ordinary record suspension fee, I suspect that for many Canadians this process will not be free.

There are numerous companies that for a significant fee will, quote, “assist” individuals in completing record suspension applications. In fact, as of today, the top ad under the Google search results for “cannabis pardon Canada” was a for-profit website offering their services for the low monthly price of $72 and $116 per month if expedited. To be clear, that is a monthly price on a 16-month payment plan. Who do you think this website is targeting to pay $72 or $116 per month on a 16-month payment plan?

We're talking about the low, low price of somewhere between $1,152 and $1,856, and that, of course, is irrespective of whether or not the government charges a fee for these applications. Recall that persons most likely affected by these criminal records are those already at the margins of society: people who have faced systemic barriers to success in education, employment and elsewhere. This bill, intentionally or otherwise, may serve as a barrier for people to obtain the very benefits it purports to offer.

Surely, in our age of electronic data, these records of criminal convictions for simple possession of cannabis can be proactively located by the Parole Board of Canada and identified for whatever action is ultimately legislated, be it record suspension expungement or otherwise. The burden, in my view, should be on government to rectify these records. While for those of us in this room the prospect of completing a government application may not be particularly daunting, it might be near impossible to those facing financial, educational, mental health or other challenges.

Second, Bill C-93 requires that individuals have completed their sentence prior to applying for a record suspension. Why? Why should an individual continue to be penalized, whether it is by a real jail sentence, a conditional sentence, probation conditions or otherwise, for conduct that is no longer illegal?

(1650)



Why should an individual have to await the expiry of a lengthy term of probation for an offence that no longer exists under our law?

In my view, the injustice created by these criminal convictions should be addressed immediately, without waiting for expiration of any sentence, whether it is a prescribed period of probation, payment of a fine or some other sanction. And if you're too poor to pay your fine, well, you can never complete your sentence and you can never apply for this record suspension.

Third, I turn to the most fundamental issue of all with respect to Bill C-93: the very nature of the record suspensions mechanism. A record suspension is exactly what it sounds like. It is not a pardon; those don't exist anymore. It is not amnesty or expungement. It is a statutory process whereby the record of an offence is “suspended”, that is, “kept separate and apart from other criminal records”. A record suspension can be revoked. This happens automatically upon the commission of virtually all Criminal Code or controlled drugs and substances offences.

But it is broader than that. A record suspension may be revoked if the board is satisfied that the person “is no longer of good conduct”. Let me give you real-life examples of individuals I have assisted who have been served with applications from the Parole Board to revoke their record suspension: people who have been the subject of numerous police checks, intelligence, or otherwise, or have received highway traffic offences such as careless driving. They were found to no longer be of good conduct. Now, I am happy to say we successfully defended those applications to revoke the record suspension.

But there you are. This will be hanging over your head for the rest of your life. Moreover the minister retains the discretion to approve the disclosure of such a record where he or she is satisfied that disclosure is “in the interests of the administration of justice or for any purpose related to the safety or security of Canada or any state allied or associated with Canada.”

I can think of a state allied or associated with Canada that might be very interested in the otherwise criminal records of individuals convicted for the simple possession of cannabis.

In other words, the offence always hangs over the individual's head, record suspension notwithstanding. Most importantly, unlike expungement which requires notification to the RCMP and all other federal agencies to destroy all records to which the expungement order relates, there is no such broad requirement for a record suspension.

In review, the proposed application is itself a barrier to access, particularly for an already marginalized population. The bill requires individuals to complete their sentences before applying. In my respectful view, this is illogical, counterproductive and unnecessary. The record suspension is not a deletion of the conviction record itself; it is a suspension, a temporary suspension, one that can be revived by either administrative or statutory process.

What, then, is the alternative?

I should first note that Bill C-93 is better than nothing. But better than nothing is a mighty low bar for our Parliament. You can do better. You must do better. Instead, I would urge a scheme of expungement along the lines already provided for in the Expungement of Historically Unjust Convictions Act. The record of these convictions for the simple possession of cannabis should be expunged permanently and automatically.

In this regard, I would propose a private member's bill, Bill C-415, sponsored by Mr. Murray Rankin and introduced last October. It comes much closer to the goal of achieving true justice and relieving the disproportionate criminalization and stigmatization for those convicted of a now legal act of simple possession of cannabis.

The government has maintained in its backgrounder to this bill that expungement is only appropriate “where the criminalization of the activity in question and the law never should have existed, such as in cases where it violated the Charter.”

While the first clause of that requirement is debatable when it comes to cannabis. I can tell you as a criminal defence lawyer that the criminal prohibition of cannabis has caused much more harm than good. There is no doubt that the disproportionate application of the law violates the charter guarantee of equality and runs contrary to our most fundamental constitutional values.

It is a historical wrong that ought to be redressed. Parliament can do so via the remedy of expungement. I would urge you to do exactly that.

Thank you very much for your kind attention.

(1655)

The Chair:

Thank you, Mr. Friedman.

We essentially have a half an hour. I'm thinking five minutes, five minutes, five minutes, five minutes, that will take us to 20 after. Then maybe we'll get in a couple more four-minute rounds, if that's all right with people.

Ms. Dabrusin, you have five minutes.

Ms. Julie Dabrusin:

Thank you for setting out what you saw as the basis of some of your concerns about this bill.

One of my first questions—because I asked this in the last panel—is: looking at Bill C-93, would it be an improvement to this bill if we removed the requirement that a person pay any outstanding fine to qualify?

Mr. Solomon Friedman:

Absolutely.

Ms. Julie Dabrusin:

I believe you said this, but I just want to be really clear. Would it be an improvement if we remove the need to complete any of their outstanding probation?

Mr. Solomon Friedman:

Absolutely.

Ms. Julie Dabrusin:

One of the things you raised, which I raised on Monday when we had people here, was that I also did the Google search and saw the same thing. How would you recommend we inform people that this is a free process?

Mr. Solomon Friedman:

I was speaking this morning to one of my colleagues who used to work at the Canadian Civil Liberties Association. She said they had people all the time saying they were in communication with Pardons Canada and were told to spend $2,000. There's a serious information gap.

My best suggestion, respectfully, is to remove the application requirement. We're in a digital era, these records can be accessed. I don't know how much government databases cost and how easy they are to manage, so maybe I'm making some assumptions there, but I know that we have statistics as to how many records of conviction there are.

I say to the Parole Board of Canada, do it yourself. Maybe I'm just a practical guy. I don't see a possible benefit of having individuals apply. Vet them, if there's some question they don't meet the standards, then engage them.

(1700)

Ms. Julie Dabrusin:

One of the things that was raised as a concern by the department when they came on Monday was that, if they were going to dig through all the records to figure out if this was a qualifying record, people would be waiting 10 years to do this record search, as opposed to it being faster if somebody made the applications person by person.

Mr. Solomon Friedman:

I suspect tens of thousands of people don't even know if they have a criminal conviction for the possession of cannabis, who don't understand the implications of it. Colour me extremely skeptical that the Government of Canada can't do a search through their own conviction database.

I deal with police officers every day in my professional employment; they all have access to CPIC, that is their centralized database. They put someone's name in, they get the records of conviction. Surely as it's a database, you can do the opposite, put in the records of conviction to get the names.

Ms. Julie Dabrusin:

When I read it, Bill C-415 doesn't look as if it proposes an automatic system as well.

Mr. Solomon Friedman:

It does not. I think that's a flaw that should be addressed, automatic and expungement.

Ms. Julie Dabrusin:

The other thing I was wondering is it looks as if it goes to members of the Parole Board, as opposed to the administrative process of Bill C-93.

Mr. Solomon Friedman:

Yes.

Ms. Julie Dabrusin:

Which process do you prefer, the administrative or going to the Parole Board?

Mr. Solomon Friedman:

I'm a little agnostic about that. If you're going to the Parole Board anyway and they have the specialty in processing pardons...but then again, I've heard about the backlog for pardons. If you're not going to do it automatically, if you have some administrative process that can short-circuit the already long waiting list for record suspensions, that's probably better.

Ms. Julie Dabrusin:

The last witness spoke about the fact that if you were looking through CPIC, if you were going to try to do this automatic search, CPIC would pull up that it's a schedule II possession, and that schedule II was essentially all cannabis, and one item is now still illegal. Could you confirm that? Her suggestion was to just pull those out.

Mr. Solomon Friedman:

Yes, I tend to agree with that. My frame of reference here is having seen hundreds or thousands of criminal record printouts from some of my clients. The nature of the offence is very clearly delineated. That's why I said if you can go one way, that is, put a person's name to get a list of offences, those offences are listed right there and they're listed with enough specificity in my view that you could engage the record suspension or expungement process.

Ms. Julie Dabrusin:

All right, thanks.

The Chair:

Welcome to the committee, Mr. Cooper, you have five minutes.

Mr. Michael Cooper (St. Albert—Edmonton, CPC):

Thank you very much, Mr. Chair.

Thank you, Mr. Friedman.

I agree with you that Bill C-415 is not a perfect piece of legislation, but in my view, it is a far better piece of legislation than this legislation. I look forward to voting in favour of it in about 45 minutes.

Mr. Solomon Friedman:

Good for you.

Mr. Michael Cooper:

As you noted in your testimony, a pardon is not a deletion, but rather a suspension. Therefore, if one were asked by an employer or if they were looking for housing or looking to volunteer as a coach of their kid's soccer team or whatever it may be, if they'd been convicted of a criminal offence, they'd have to answer yes, would they not?

Mr. Solomon Friedman:

Well, if they have received a record suspension, that removes any effects of conviction. My view would actually be that an effective conviction is having to answer yes to the fact that you've been convicted.

The vulnerable sector is different. I direct your attention to section 6.3 in the Criminal Records Act where the vulnerable persons issue is raised. There is a schedule of offences there, and that schedule of offences would not apply to a possession of cannabis charge. In my view, I don't think a record suspension would, necessarily, trigger an issue with the vulnerable sector. But of course, the trouble with the record suspension is, because the record is there, some future legislature can come and change that rule, right? Some future legislature can come and say, no, this should fall under a vulnerable sector. Or when I said that a record suspension can be revoked statutorily or administratively, I mean statutorily. If the record still exists, then a future parliament can decide, hey, all those record suspensions are right back to convictions.

That's why, in my view, an expungement is far preferable.

(1705)

Mr. Michael Cooper:

Right. In terms of the application process to the Parole Board, you talked about it being quite onerous. We saw, with Bill C-66, passed by the government, a process where someone could get an expungement but they would have to apply. I think approximately 9,000 or 10,000 Canadians were thought to be eligible. I think at last count it's something like seven or eight people who've bothered to apply or have been able to get through all of the paperwork. We're looking at about 250,000 people who might be eligible, and the estimate is that 10,000 might apply. Isn't even that, perhaps, a little optimistic?

Mr. Solomon Friedman:

I think 10,000 is extremely optimistic. Remember, when it comes to this category of convictions, we're dealing with a disproportionate population in terms of marginalization. We're talking about individuals with mental health or educational deficits. I think you're going to have an even lower proportion than under the historically unjust convictions.

Maybe I'm an eternal optimist. This is an age of electronic databases. I understand there might be some people whose records might be difficult to access; maybe there was a paper database converted to an electronic one; great. We'll put asterisks next to those people and they can get letters from the Parole Board saying, “Hey, maybe you should apply and clear this up for us”, but I'm certain that out of that 250,000, the vast majority can be simply rectified electronically and automatically.

Mr. Michael Cooper:

It's been done in other jurisdictions—San Francisco. Automatic [Inaudible—Editor] system.

Mr. Solomon Friedman:

San Francisco; snap of the fingers.

Mr. Michael Cooper:

Yes.

Mr. Solomon Friedman:

I don't know. Do they have much better computers than the Government of Canada? We're talking about the City of San Francisco there. Surely this can be done.

Mr. Michael Cooper:

I guess what really bothers me is that we've got 33 sitting days left in this Parliament. This bill is not going to be passed. It's been a number of months since legalization came into effect. I voted against legalization, but I agree with you that it's fundamentally unjust to be burdened with a criminal record for committing an offence that is perfectly legal today and, frankly, a vast majority of Canadians have no objection to it.

Shouldn't this really have been part and parcel of the government's legalization legislation?

Mr. Solomon Friedman:

That might be a little outside of my can. I'm a lawyer without an opinion on something. I'll say this. You're doing a lot of good work here and when it comes to the private member's bill, Bill C-415, I hope that the work and the research this committee does, if this bill doesn't pass in the present Parliament, goes on to the next parliament that can handle it and address all of these concerns with respect to the application process, expungement versus record suspension, and ensure that this is the most just version of this bill possible, whenever it gets passed.

The Chair:

Thank you.

Mr. Dubé.

Mr. Matthew Dubé:

Thank you, Chair.

Just for the record, and in defence of Mr. Rankin who's not here to defend his bill, I will say that our position, and his, is that it should be automatic, but there's some consternation as to whether royal recommendation is required. If there's a certain amount of cost, we'll definitely see what the rulings are in this committee when we present similar amendments to this legislation. I do want that to be clear. Certainly the expungement that's proposed in the bill is definitely a vast improvement, so we'll see, as Mr. Cooper said, how the vote goes in the next few minutes.

Mr. Friedman, thank you for being here. I appreciate it.

I did want to ask about the statistics, the 10,000 out of 250,000 and then the seven out of 9,000 or whatever it is for Bill C-66. Obviously, based on your comments, I think there might be a safe assumption—if there's such a thing to make here. I'm just wondering, do you think the 240,000 others who won't apply would likely not be applying because they fall into some category of marginalization or because of the different exemptions that exist relating to, for example, unpaid fines in the legislation?

Mr. Solomon Friedman:

Yes, I think there are a number of factors here. First of all, it's all well and good to think that, when Parliament passes an act, it's somehow simultaneously transmitted, maybe telepathically or otherwise, to every Canadian.

There are people who have no idea what it is that you guys are up to on a whole number of fronts—

(1710)

The Chair:

Neither do we.

Voices: Oh, oh!

Mr. Solomon Friedman:

—present company excluded, of course. That's number one.

You're going to have people who simply won't know, and you know why? When you look at what's important in their lives, they might just not care. They might have learned to live with a criminal conviction and its consequences. That's number one; you have a communications problem.

That problem is further compounded when you look at the population groups that are disproportionately affected by the criminal prohibition of cannabis, people who have educational challenges or mental health challenges who might live on the margins of society. If we can improve their lives by removing a barrier to employment, financing, travel, etc., in my respectful view, Parliament should do everything it possibly can to reach those people, because the people who will be reached and will know about it can probably hire lawyers like me.

Forget hiring your predatory pardon application people. They'll probably have counsel, and they have probably dealt with this a long time ago, and they probably got a proper record suspension by going through that process a long time ago. We want to reach the people who really need to be reached.

In my respectful view, the bill needs to be amended significantly.

Mr. Matthew Dubé:

The officials who were here on Monday talked about non-traditional means, and it almost sounds like some kind of Twitter strategy. I'm not trying to be glib about it; it's very unclear what they're actually going to do.

From what we've been discussing and what we discussed when we did a study on record suspension as a broader issue and the reforms that are required, we talked about these sorts of bad actors trying to act in this realm.

Basically, the government would have to develop some kind of strategy to compete against these individuals, and ultimately, the amount of work that it would require could easily be the work that would be applied to finding the records, deleting them and going through expungement.

Do you think that is a fair assessment of that type of situation?

Mr. Solomon Friedman:

I'm not an expert on government databases, but as I said, it boggles the mind that a bunch of smart people can't get together, get a software developer here or there, look at the database and just pick out these records.

As a self-employed criminal lawyer, I know I get a lot of unwanted automatic mail from various Government of Canada agencies. They find me, and they know exactly what I am up to, what taxes I've paid and when my installments are due, so the Government of Canada is really good at those automatic record-accessing databases. Surely when it comes to helping out some poor, marginalized, mentally ill people who are really in need of this assistance, for whom this could make a big difference in whether or not they reintegrate into society, I have to think—and I'm not being glib, either—that some smart people can sit down in a room and get it done.

Mr. Matthew Dubé:

I think it's safe to say that expungement would be the best option. If that doesn't come to pass, would it still be better to have the record suspension be automatic and just remove the burden of applying?

My sense from what you've said is yes. Am I understanding you correctly?

Mr. Solomon Friedman:

Yes, and I say that with all of the bill. It's better than nothing, but you guys can do better than nothing, for sure, and you can do better than better than nothing.

Mr. Matthew Dubé:

Thank you.

The Chair:

Ms. Sahota, you have five minutes, please.

Ms. Ruby Sahota:

Thank you.

It's my understanding—and I am quite hopeful that this bill will pass, hopefully with some improvements that have been suggested by our witnesses—that the bill will pass before the House rises, unless the Conservatives don't want to see it pass. I don't know what will happen in the months to come, but the hope is that this will pass.

Mr. Solomon Friedman:

I feel like I'm at an uncomfortable family dinner here.

Some hon. members: Oh, oh!

Ms. Ruby Sahota:

Yes, well....

The Chair:

Let's not make this any more uncomfortable.

Mr. Solomon Friedman:

I just had my Passover Seder last week, and I've had more than enough of that.

Ms. Ruby Sahota:

Okay, I'm sorry about that, but I don't know—

The Chair:

Would you go on to the question?

Ms. Ruby Sahota:

When Mr. Cooper mentioned that, I just thought it was strange.

You have specifically stated that you see the pardon or record suspension versus expungement as a big difference.

The witness before had come and stated.... Some arguments have been made about how people are treated when crossing the border and that it would be different in the two instances. She said it makes no difference whatsoever. That was Campaign For Cannabis Amnesty: It makes absolutely no difference whatsoever.

My understanding from some of the witnesses on Monday is that, when a record has been suspended, it no longer shows up in CPIC, and a police officer doing a records check would not be able to see it. An employer would also not be able to see it once a record has been suspended.

What obstacles do you still think would stand in the path of these marginalized or vulnerable people with a record suspension versus an expungement?

Mr. Solomon Friedman:

As I noted, the real issue to me...and I agree there is a difference of opinion when it comes to travel. That really goes to what version of the CPIC registry we have given to the U.S. Department of Homeland Security. They don't get it every day, as I understand it. They may have an outdated version.

For me the issue is that a record suspension can be revoked at any time. It can be revoked for something that reasonable people might disagree about, as to whether or not it's a good reason. As I said, a serious Highway Traffic Act offence.... Do you want somebody who otherwise wouldn't have a criminal record to have a criminal conviction hanging over their head if they get convicted of careless driving—which is a provincial offence, not a criminal offence? All of a sudden your criminal record is right back over your head.

If the records are deleted, they can't be brought back. That's the difference between expungement and a record suspension. It's in the name. It's just a suspension, it's not gone.

Ms. Ruby Sahota:

It's my understanding from the witnesses who have come before us that they actually want that mechanism to be there in cases where there has been a mistake. This is because it is so complex to do the reverse situation, where people have to figure out whether they have a simple charge of possession or whether there were other charges involved.

The minister did also state that 95% of those records that have been suspended in the past for other situations are never revoked, so why is this such a big concern? Do you see this as something that would happen differently in this case?

Mr. Solomon Friedman:

I'm a criminal defence lawyer. I'm concerned about the 5%. That's a serious concern.

Like I said, you have a marginalized individual who has a conviction for cannabis possession who then, let's say, is noted by...and this is a real-life example. Their car is pulled over and they're found to be in the company of individuals who have serious criminal records or they are just found to be somewhere where serious criminal activity is being committed. They're not charged, never mind convicted, or they're charged and then charges are withdrawn. That can be the basis for revoking a record suspension.

Remember, what are we talking about here? We're not talking about something that is still an offence and for which you've been pardoned because of your good behaviour now and for which you've repented. We're talking about something that is not illegal anymore. How can someone even have it hanging over their head, I would respectfully ask? It's not illegal anymore. Why do we still want it in the system? What right case could there be to restore the conviction for something that's no longer a crime? Frankly, I fail to see that.

(1715)

Ms. Ruby Sahota:

Thank you.

The Chair:

The bells are ringing, but with consent I'm going to run this to 5:30. It's agreeable to all, I hope.

Mr. Motz, you have four minutes.

Mr. Glen Motz:

Thank you.

First of all, you have some ideas in mind and some recommendations. Is it possible that you could provide this committee with a list of recommendations that—

Mr. Solomon Friedman:

I have them right here.

Mr. Glen Motz:

—would improve this legislation?

That would be great if you could provide this list to the committee.

Mr. Solomon Friedman:

I'd be happy to do it.

Mr. Glen Motz:

We confirmed yesterday with officials that individuals charged with minor possession of more than 30 grams in public before October 17, 2018, will be eligible for this expedited record suspension. However, right now, possession of more than 30 grams is still an offence.

Mr. Solomon Friedman:

You have to ask the government that passed the Cannabis Act. There was a fight about it and I wasn't a big fan of that provision either.

Mr. Glen Motz:

That's inconsistent. What are the consequences of that?

Mr. Solomon Friedman:

As I said, that has to be directed to whoever drafted the legislation. I looked at that. I looked at this legislation and to me it doesn't make a whole lot of sense. To me, that's actually a fundamental flaw with the way the Cannabis Act was drafted. If we're doing better than the Cannabis Act then I think we're ahead. I find the silver lining.

Mr. Glen Motz:

Okay.

Hopefully your recommendations have something to address that with.

I have one last question. Do you think that this record suspension process could potentially create some precedent for other charges down the road?

Mr. Solomon Friedman:

I think that any time Parliament decriminalizes activity that was previously criminal in the code—in other words, now it's no longer criminal—people shouldn't suffer the stigma of a criminal record for having engaged in that behaviour in the past. If Parliament today says it's not illegal, I don't understand why you should suffer the effects of it.

(1720)

Mr. Glen Motz:

We looked at a study—I think it was M-161, which Mr. Long brought—where we talked about how there are some individuals who we all know who have conviction for other offences, like theft and whatever else.

Mr. Solomon Friedman:

Those offences won't be suspended. The cannabis possession—

Mr. Glen Motz:

Right, under this legislation.... What I'm referring to is, should there be some mechanism whereby we can make that easier? Do you see this process maybe impacting that conversation?

Mr. Solomon Friedman:

Like I said, if somebody has multiple criminal convictions, this legislation is only going to suspend the possession of cannabis.

That's not insignificant, by the way. If a criminal record is disclosed to someone, where before it had theft under $5,000 and a drug possession, now it will just have a theft under $5,000. That changes the conversation about what kind of criminal history you have. It's not a drug conviction you have anymore; it's just a theft under $5,000. To me, what—

Mr. Glen Motz:

If you have both of those convictions, you don't qualify for a suspension.

Mr. Solomon Friedman:

Yes. That's fair enough, right? I hear that. My view is that all of these should disappear. Whether you have one or five or 10 other convictions, why should you have the stigma of this conviction when it's not a crime anymore?

Mr. Glen Motz:

Thank you.

The Chair:

Mr. Picard, you have four minutes.

Mr. Michel Picard:

I will pass my time to Mr. Spengemann.

Mr. Sven Spengemann (Mississauga—Lakeshore, Lib.):

Thank you, Mr. Chair.

Mr. Friedman, thanks very much. It's great to have you back.

I have two questions before I pass it to my colleague.

Can you zoom in a bit more on the vulnerable persons section under current current law and describe what kind of checks are being done beyond those of an average criminal record check?

Secondly, do you have any other jurisdictions in mind, other than the U.S., that have gotten this right or have taken us, in your mind, as close to the answers as we should be?

Mr. Solomon Friedman:

If you take a look at the Criminal Records Act, there's a link to section 6.3, which defines “vulnerable person”. In section 6.3, it provides that, at the request of a person who is responsible for the well-being of a vulnerable person, they can essentially disclose these records through a request process.

Then there's schedule 1. Schedule 1 sets out the kinds of offences that would still be disclosed even when you've received a record suspension. They're largely sexual offences, and that makes a good deal of sense. You're talking about somebody who is applying to work in the care of vulnerable people. Even though they may now be of good character, I certainly understand that.

There are, however—and I'm sure you have studied this—what are called non-conviction records. That is, even though you don't have a conviction, you can be barred from certain opportunities because you've been in contact with police, you have provincial offences, you're on bail conditions or a whole number of things.

This offence, however—the possession of cannabis—is not listed in schedule 1. It wouldn't fall under that disclosure mechanism for vulnerable people set out in section 6.3.

Mr. Sven Spengemann:

Very briefly, are there other jurisdictions that we should look at that have gotten this right, beyond the U.S.?

Mr. Solomon Friedman:

I'm not in a position to comment beyond the U.S. I'd comment specifically on San Francisco, where it was automatic. No application was done; they went through the database and just erased the records of conviction.

Mr. Sven Spengemann:

Thanks very much.

Michel.

Mr. Michel Picard:

Thank you, sir.

Let's say that a pardon—or whatever name we use under this bill—resulted in the fact that, since it's no longer illegal, past experience doesn't count because it's supposed to be suspended. When someone goes for a job interview and all that, since it's not illegal now, do you think that a company should look for past experience related to cannabis? For example, have they been sentenced for cannabis possession? Whereas somewhere, in fact, it's no longer illegal and they should not be concerned about that.

Mr. Solomon Friedman:

You and I might agree they shouldn't be concerned about it, but the government is not in a position to set internal company policies. If a company has a policy that if you have a drug conviction then you're not getting hired, if they get that record, you're not getting hired.

There are also other factors at play. Some of this has to do with bonding or insurance issues. Their insurance provider might say that they can't have somebody working on a job site if they have a conviction record. There's nothing—at least that I can see—that Parliament could do about that. The simple thing to do is to remove that record.

While we may all have a very enlightened view, saying that it was in the past and it's now legal, so come work for me—I'd probably feel that way about a prospective employee—you can't legislate that, other than removing the record of conviction.

(1725)

Mr. Michel Picard:

Yes, but let's say, for example, in the trucking industry, you couldn't care less whether they have been convicted or not. The concern is whether the driver is using cannabis or not. Legal or not, the industry cannot have a driver under the influence of cannabis while he or she is working and for a certain period of time there should not be any traces of it. This is, as you said, in our policy for companies.

It comes to a point where people who will obviously really need this suspension will ask, with the process we propose, to get this result, because they need a paper to prove that they don't have a criminal record. So, using a system that already exists, where you have a paper confirming that the pardon has been obtained, what is the need to go much further, based on your testimony, since the objectives have been achieved?

Mr. Solomon Friedman:

I look at the nature of the population that's disproportionately targeted by these convictions. Those are not people who may have the sophistication or the education to know about the record suspension process or to be able to go through it without undue hardship, like engaging the services of one of these predatory companies for thousands of dollars.

If what we are trying to ensure here is justice and fairness for people who are convicted of an offence that no longer exists, then surely there is no need to have them jump through the hoops, the same hoops that we've put someone through minus the fee and approval process. We'd have to go through the hoops for people who are convicted of an offence that is still on the books.

Remember, it is not a crime anymore, so, in my view, the government should do everything it can to remove every obstacle, every burden, that's put on someone for having committed something that is no longer illegal.

The Chair:

Before I adjourn, do you have an opinion with respect to an individual who has multiple convictions for possession over a number of years? Is that one application for all, or is it one application for each conviction?

Mr. Solomon Friedman:

My view is these should happen automatically. If you're going to do an application process, then it should be one application for all of these. It should apply to people regardless of what other history they may have. These convictions, in my view, should simply disappear.

The Chair:

With that, the meeting is adjourned.

Thank you.

Comité permanent de la sécurité publique et nationale

(1530)

[Traduction]

Le président (L'hon. John McKay (Scarborough—Guildwood, Lib.)):

Mesdames et messieurs, il est 15 h 30. Nous avons le quorum, et je ne veux pas faire perdre de temps aux témoins et aux membres, alors la séance est ouverte. Il s'agit de la 159e réunion. Bon sang, c'est l'un des comités les plus travaillants qu'il m'ait été donné de voir.

Nous avons deux témoins durant la première heure; le premier représente l'Association canadienne des policiers, et l'autre, Campaign for Cannabis Amnesty.

À la fin de la première heure, je vais demander à quelqu'un de présenter une motion d'acceptation du rapport du Sous-comité. En fait, je vais demander à M. Eglinski d'être prêt, puisqu'il a été si gentil.

Cela dit, je vais tout simplement demander aux témoins de prendre la parole dans l'ordre figurant sur l'avis de convocation.

Nous commençons par M. Stamatakis de l'Association canadienne des policiers.

M. Tom Stamatakis (président, Association canadienne des policiers):

Bonjour, monsieur le président, et bonjour aux membres du Comité. Merci de m'avoir invité à comparaître devant vous cet après-midi dans le cadre de l'étude actuelle du Comité sur le projet de loi C-93.

Je comparais cet après-midi au nom de l'Association canadienne des policiers, qui, comme bon nombre d'entre vous le savent déjà, est la plus importante organisation de défense des policiers au pays, représentant plus de 60 000 civils qui travaillent sur la première ligne et professionnels assermentés de l'application de la loi des quatre coins du pays. Nos membres sont nos « troupes sur le terrain » comme on dit lorsqu'il est question de sécurité publique, et ce sont eux qui ressentent en premier les répercussions des décisions des élus de tous les ordres de gouvernement.

Comme j'ai l'habitude de le faire, je vous présenterai une déclaration préliminaire relativement brève afin qu'on ait le plus de temps possible pour vos questions et vos commentaires, surtout que l'objet du projet de loi C-93 est relativement simple.

D'entrée de jeu, je tiens à dire que, de façon générale, l'Association canadienne des policiers soutient l'objectif du projet de loi C-93. Même si, évidemment, nous avons constaté un important changement quant au statut juridique du cannabis au cours de la dernière année, il ne fait aucun doute que les attitudes sociales à l'égard de la marijuana changeaient depuis très longtemps. C'est quelque chose qu'on a de toute évidence constaté parmi les policiers ainsi qu'au sein du grand public. Même si on a souvent entendu la fameuse expression de la « guerre contre la drogue » au sujet des attitudes des policiers concernant ces substances — qui ne se limitent pas au cannabis —, d'après mon expérience, la plupart des services de police au Canada, sinon l'ensemble, ont depuis longtemps arrêté de mettre l'accent sur l'application de la loi en cas de possession simple.

Maintenant que le cadre juridique a rattrapé les attitudes sociales, il n'y a selon moi aucune bonne raison de refuser d'expurger les casiers judiciaires des gens qui, autrement, ont toujours été des citoyens respectueux des lois et de leur donner l'occasion de participer pleinement dans des domaines où, sinon, l'accès leur aurait été refusé en raison d'une erreur commise dans le passé. Ne serait-ce que pour cette raison, notre association soutient de façon générale le projet de loi.

Cela dit, nous voulons profiter de l'occasion pour exprimer une certaine préoccupation au sujet de la nature automatique du processus de suspension du casier proposé dans le projet de loi. Il ne fait absolument aucun doute qu'une écrasante majorité de demandes qui seront présentées en vertu de ces modifications viendront de personnes qui ne représentent pas un risque permanent pour la sécurité publique, raison pour laquelle leur demande devrait être traitée le plus rapidement possible.

Cependant, je tiens à dire qu'il y aura aussi certaines demandes présentées par des délinquants où l'accusation de possession simple a été le fruit d'une transaction en matière pénale avec la Couronne alors que le chef d'accusation initial était plus grave. Dans de telles situations, il est possible que la Couronne et le tribunal aient accepté une entente sur plaidoyer en raison du fait que la déclaration de culpabilité allait témoigner de façon permanente de l'infraction. En outre, ils n'auraient pas accepté un chef d'accusation moindre s'ils avaient su que le chef d'accusation pourrait être éliminé par la suite sans possibilité d'examen.

Même si je comprends qu'il sera à la fois impossible et tout à fait injuste d'attribuer des accusations non prouvées à quelqu'un — même en cas de négociation de plaidoyer —, je crois que le projet de loi pourrait être facilement modifié pour que l'on puisse s'assurer que les changements proposés à la Loi sur le casier judiciaire — et précisément l'ajout de l'article 4.1, qui empêche la Commission des libérations conditionnelles de réaliser une évaluation des antécédents du demandeur — ne permettent pas à des récidivistes de passer entre les mailles du filet.

Un amendement qui permettrait à la Commission des libérations conditionnelles de conserver ne serait-ce qu'un infime pouvoir discrétionnaire d'évaluer le comportement d'un demandeur depuis la déclaration de culpabilité — ou, assurément, toute déclaration de culpabilité subséquente — dissiperait les préoccupations des policiers, qui veulent s'assurer que la sécurité communautaire ne sera pas compromise par un petit nombre de récidivistes qui pourraient tirer profit de la loi, tout en s'assurant de maintenir une administration de la justice digne de confiance.

Comme je l'ai mentionné, je ne veux pas que ma déclaration préliminaire traîne en longueur. La légalisation du cannabis a assurément constitué un changement important pour les agents d'application de la loi sur le terrain, et je tiens à souligner que la transition remarquablement sans heurts au nouveau régime au cours des huit derniers mois — depuis l'entrée en vigueur des changements — témoigne du professionnalisme de nos membres.

Dans l'ensemble, le projet de loi semble une solution pleine de bon sens pour garantir que les casiers judiciaires reflètent le nouveau consensus au sujet du cannabis au Canada. Nous apprécions le fait que le gouvernement ait consulté directement des experts de l'application de la loi tandis qu'il procédait à ce changement stratégique, et nous avons hâte de poursuivre cette consultation.

Nous croyons que le projet de loi C-93, avec quelques légers amendements visant à s'assurer que la Commission des libérations conditionnelles conserve un certain pouvoir discrétionnaire pour que les délinquants de longue date et les récidivistes soient tenus responsables de leurs actes, permettra aux gens d'éviter la stigmatisation associée à une déclaration de culpabilité tout en donnant à ceux qui le méritent vraiment une deuxième chance.

Merci beaucoup de m'avoir invité à comparaître devant le Comité aujourd'hui.

(1535)

Le président:

Merci, monsieur Stamatakis.

Nous passons à Mme Annamaria Enenajor de Campaign for Cannabis Amnesty. Vous avez 10 minutes.

Mme Annamaria Enenajor (fondatrice et directrice, Campaign for Cannabis Amnesty):

Merci.

Bonsoir, monsieur le président, et bonsoir aux membres du Comité. Je m'appelle Annamaria Enenajor. Je suis avocate criminaliste et fondatrice et directrice de campagne de Campaign for Cannabis Amnesty.

Campaign for Cannabis Amnesty est un groupe de défense sans but lucratif qui veut réparer les erreurs du passé causées par des décennies d'interdiction du cannabis. L'organisation a été fondée en avril 2018, il n'y a pas très longtemps, en réaction à l'absence de lois fédérales sur la stigmatisation des déclarations de culpabilité précédentes associées à des infractions liées à des gestes qui ne seraient plus illégaux en vertu de la Loi sur le cannabis. Depuis, la campagne demande au gouvernement d'adopter une loi pour effacer les casiers judiciaires liés à la possession simple de cannabis. Selon nous, aucun Canadien ne devrait avoir un casier judiciaire pour des actes mineurs et non violents qui ne constituent plus des crimes.

C'est un honneur de comparaître devant vous aujourd'hui, et je tiens à formuler à votre intention quelques observations et de modestes recommandations relativement au projet de loi C-93. La campagne soutient la mise en œuvre des mesures visant à éliminer la stigmatisation des déclarations de culpabilité passées liées au cannabis qui ont une incidence disproportionnée sur les Canadiens marginalisés. Cependant, dans son libellé actuel, le projet de loi C-93 ne va pas assez loin.

L'histoire de l'application des infractions liées à la possession de cannabis au Canada en est une d'injustice et d'inégalité historiques. Les Canadiens ayant des antécédents différents consomment du cannabis et sont en possession de cette drogue à des taux similaires. En fait, le Canada affiche l'un des plus hauts taux de consommation de cannabis du monde. En 2017, 46,6 % des Canadiens — près de la moitié des Canadiens — avaient admis avoir consommé du cannabis à un moment de leur vie.

Malgré cette consommation généralisée, de plus en plus de données probantes des sciences sociales révèlent que ce ne sont pas tous Canadiens qui ont été confrontés aux mêmes conséquences associées à de tels actes. Le profilage racial et les soupçons relativement à certains groupes précis en raison de stéréotypes ont fait en sorte que certains Canadiens étaient plus susceptibles d'être épiés par les responsables de l'application de la loi que d'autres. Les Canadiens noirs, les Autochtones du Canada et les Canadiens à faible revenu étaient plus susceptibles d'être interpellés, fouillés, arrêtés, poursuivis et incarcérés pour des infractions liées à la possession de cannabis que les Canadiens blancs. Ce n'est pas un phénomène tragique et accidentel. C'est une injustice historique et une violation systémique de la Charte qui exige réparation.

La disposition sur l'égalité de la Charte visait à assurer une égalité concrète, pas seulement théorique. La Cour suprême du Canada a établi constamment, à commencer par l'affaire Eldridge, en 1997, qu'une fin ou une intention discriminatoire n'est pas une condition nécessaire à une conclusion de violation de la disposition sur l'égalité de la Charte. Il suffit que l'application d'une loi, même si cette dernière semble neutre à première vue, ait pour effet de refuser à quelqu'un une protection équivalente et un bénéfice équivalent. Dans la mesure où le gouvernement tente de faire une distinction entre les lois qui sont discriminatoires à première vue et celles qui le sont dans leur application, une distinction n'a pas sa place aux fins de nos protections constitutionnelles.

Même si, historiquement, les lois liées au cannabis n'étaient pas discriminatoires à première vue, il est évident qu'elles l'étaient dans leur application. Elles ont perpétué des désavantages liés à la race, à l'origine ethnique et à la couleur de la peau, tous des motifs de distinction illicites en vertu de la Charte.

L'application inégale et disproportionnée des infractions liées au cannabis d'une telle ampleur et d'une telle envergure encourage la méfiance et le ressentiment à l'égard des responsables de l'application de la loi, le cynisme à l'égard de l'administration de la justice et un sentiment compréhensible que la promesse d'une égalité concrète en vertu de la Charte est un mythe pour de nombreux Canadiens. Une réponse forte appropriée à cette histoire honteuse est par conséquent nécessaire pour maintenir l'intégrité de notre système de justice.

Même si la campagne se réjouit de la volonté du gouvernement de reconnaître la stigmatisation et le fardeau disproportionné découlant du maintien de casiers judiciaires pour d'anciens cas de possession simple de cannabis, nous estimons que le projet de loi ne va pas assez loin.

Vu les graves conséquences des condamnations pour possession de cannabis sur la vie des Canadiens et l'héritage d'inégalité découlant de l'application disproportionnée et discriminatoire de la loi, le gouvernement fédéral doit réagir à cette injustice historique au moyen d'une mesure assez forte pour dénoncer cette histoire honteuse. Les gens qui ont des casiers judiciaires pour possession simple de cannabis devraient se retrouver dans la même position que les millions de Canadiens qui faisaient et continuent de faire exactement la même chose.

(1540)



Même si le geste était criminel, ces gens n'étaient pas confrontés aux mêmes conséquences en raison de facteurs qui n'ont rien à voir avec la culpabilité morale ou la criminalité, des facteurs comme la race, le revenu, les liens familiaux ou le quartier où ils vivent. Par conséquent, ils n'ont jamais été arrêtés et n'ont jamais été déclarés coupables et ils ont pu poursuivre leur vie et avoir des occasions auxquelles n'avaient pas accès d'autres Canadiens. Par conséquent, le projet de loi C-93 devrait être modifié pour permettre l'élimination gratuite, automatique, simple et permanente des infractions pour possession simple de cannabis dans les casiers judiciaires.

Si le gouvernement n'est pas prêt à aller aussi loin, alors selon nous il y a d'autres aspects de ce genre de régime sur lesquels le gouvernement pourrait miser afin que la mesure soit tout de même satisfaisante. Par exemple, le gouvernement pourrait intégrer certains aspects d'un régime de radiation qui permettrait d'améliorer l'utilité du projet de loi et de le mettre en oeuvre d'une façon qui serait bénéfique pour le plus de personnes possible.

Par exemple, lundi, au moment de la dernière réunion du Comité, nous avons entendu que, en raison de nos pratiques de tenue de dossiers, qui sont décentralisées et souvent archaïques, il serait tout simplement trop ardu de tenter de trouver, puis de détruire tous les dossiers pertinents. Le simple fait qu'on ne puisse pas le faire pour tous les dossiers ne signifie pas qu'on ne peut pas le faire pour certains et, en fait, pour les plus importants. Comme l'honorable Ralph Goodale l'a mentionné lundi, même si les dossiers liés aux infractions criminelles n'existent pas dans une seule base de données nationale, les dossiers des déclarations de culpabilité qui ont la plus grande incidence sur l'emploi, le bénévolat et les déplacements sont conservés au même endroit.

Le Centre d'information de la police canadienne, le CIPC, est une base de données nationale tenue par la GRC. Si une personne est arrêtée, accusée et déclarée coupable d'un crime, il en existe une trace dans la base de données du CIPC. Lorsqu'un employeur demande une vérification des antécédents, par exemple, et qu'il la demande à la GRC, cette dernière n'envoie pas des agents fouiller dans les tribunaux pour obtenir tous les dossiers disparates des tribunaux et tous les renseignements au sujet de la personne. Elle effectue une recherche dans le CIPC. Lorsque le Canada communique des renseignements sur les déclarations de culpabilité au sujet de ses citoyens aux États-Unis, il n'envoie pas non plus des photocopies de documents dans des boîtes conservées un peu partout au pays dans différentes administrations. Il communique l'information d'une base de données: le CIPC.

Si nous ne pouvons pas éliminer tous les dossiers, nous pouvons cibler une base de données qui revêt une importance extraordinaire. Éliminer automatiquement toutes les infractions pour possession simple de cannabis du CIPC contribuerait beaucoup à éliminer l'impact d'une déclaration de culpabilité sur la vie des Canadiens, même si cela ne constituerait pas une radiation totale.

L'élimination automatique des entrées du CIPC relativement aux infractions de possession simple de cannabis est aussi une façon économique de fournir un soulagement immédiat aux Canadiens. Un processus de demande qui inclut la collecte de dossiers des bases de données provinciales, territoriales et locales des forces de l'ordre comporte des retards et des coûts cachés. Même si le projet de loi C-93 élimine les frais de demande de 631 $ habituellement requis dans le cadre des demandes de suspension du casier, les demandeurs devront peut-être tout de même avoir à payer pour les empreintes digitales, les renseignements des tribunaux et les vérifications des dossiers des services de police locaux, et les frais pourraient atteindre plusieurs centaines de dollars.

Dans certaines discussions au sein du Comité, on s'est demandé si les suspensions du casier allaient aider les Canadiens qui veulent se rendre aux États-Unis. J'aimerais vous en parler très rapidement, et vous pourrez me poser plus de questions à ce sujet plus tard. Les suspensions du casier n'aident pas les Canadiens qui tentent de traverser la frontière pour se rendre aux États-Unis. En effet, les Américains ne reconnaissent pas les pardons accordés à l'étranger, peu importe l'effet de la déclaration de culpabilité. En fait, ni les pardons étrangers ni les radiations étrangères ne permettent efficacement de prévenir une inadmissibilité aux États-Unis. Essentiellement, ces deux mesures seront tout aussi inutiles l'une que l'autre.

J'ai fourni au Comité des observations complètes par écrit qui contiennent d'autres recommandations, points et observations au sujet de cette loi. Cependant, je tiens à conclure en formulant ma recommandation principale, qui est la suivante: le projet de loi C-93 devrait prévoir l'élimination permanente et automatique de toutes les entrées de déclaration de culpabilité pour possession simple de cannabis dans la base de données du CIPC.

Nos recommandations secondaires sont formulées dans notre mémoire.

(1545)



Nous espérons que les recommandations que nous proposons permettront d'accroître l'utilité du projet de loi, d'aider à atteindre les objectifs énoncés et de favoriser une mise en œuvre bénéfique pour le plus de personnes possible.

Merci de votre temps.

Le président:

Merci beaucoup.

Nous allons maintenant passer à Mme Sahota. Vous avez sept minutes, s'il vous plaît.

Mme Ruby Sahota (Brampton-Nord, Lib.):

Merci, monsieur le président.

Pour commencer, j'aimerais en savoir un peu plus au sujet de Cannabis Amnesty. J'imagine que je n'ai pas vraiment eu l'occasion de faire des recherches.

Vous êtes la fondatrice de l'organisation. Quand a-t-elle été créée et quel était l'objectif à ce moment-là?

Mme Annamaria Enenajor:

Elle a été créée vers avril 2018.

Je suis avocate criminaliste. Beaucoup de mes clients font face à des accusations criminelles liées au cannabis. Une des choses que vous avez probablement remarquées, c'est que je ne suis pas avocate depuis longtemps. Je ne pratique pas le droit depuis très longtemps, mais l'une des choses qui m'ont beaucoup surprise, c'est que, souvent, lorsqu'il est question d'infractions, les gens craignent moins la peine en tant que telle que l'impact que tout ça aura pour le reste de leur vie. C'est quelque chose qui m'a frappée. Je pensais qu'une personne commet un crime, qu'elle purge sa peine, puis que la vie continue. J'ai trouvé particulièrement troublant que des gens qui tentaient de ramener leur vie sur la bonne voie voyaient leurs efforts essentiellement sabotés par un système de communication d'information qui les empêchait d'obtenir un emploi, de faire du bénévolat ou de voyager, par exemple, en raison de la stigmatisation associée au fait d'avoir commis dans le passé une infraction criminelle.

Mme Ruby Sahota:

Où est située l'organisation?

Mme Annamaria Enenajor:

Dans mon bureau, à Toronto.

Mme Ruby Sahota:

Je trouve ça intéressant. Lundi, nous nous sommes penchés sur... De toute évidence, vous avez examiné les coûts liés aux empreintes, aux dossiers des tribunaux et aux vérifications de la police. J'aimerais savoir si l'un de vous pourrait nous fournir de l'information sur le coût d'une vérification des dossiers de police et de l'obtention des documents des tribunaux dans les régions où vous exercez.

M. Tom Stamatakis:

Je ne pourrais pas vous fournir une réponse précise. C'est différent d'une administration à l'autre.

Mme Ruby Sahota:

L'administration dans laquelle vous travaillez...

M. Tom Stamatakis:

Je travaille à Vancouver, et, pour être honnête, je n'ai pas eu à m'occuper d'une vérification des dossiers ou d'empreintes digitales depuis un certain temps dans cette administration. Je ne sais pas quels sont les coûts actuellement.

Mme Annamaria Enenajor:

Je n'ai pas de réponse à vous donner, mais je sais où je peux obtenir l'information. J'ai parlé à un groupe de gens entrepreneurs qui travaillent à la Legal Innovation Zone de l'Université Ryerson, à Toronto; ils ont conçu une application qui pourrait aider les gens à rationaliser le processus et à mieux gérer les coûts associés à une demande de pardon. L'application s'appelle ParDONE.

Par l'intermédiaire de notre partenariat, ils ont réalisé beaucoup de recherche sur les disparités partout dans le cadre des demandes de pardon.

(1550)

M. Tom Stamatakis:

Je vais vous fournir quelques exemples de certaines administrations. Je ne sais pas si vous voulez que j'envoie l'information au Comité.

Mme Ruby Sahota:

Oui. Ce serait utile. Merci.

Mme Annamaria Enenajor:

Je pourrais communiquer avec eux moi aussi, parce que je sais qu'ils ont créé une base de données pour la cause. Ça varie. Je sais que, dans mon administration, c'est environ 50 $ pour une vérification de la police locale. Je ne me rappelle plus si c'est à Regina ou à Winnipeg, mais je crois que, à Winnipeg, le prix peut atteindre 125 $.

Mme Ruby Sahota:

ParDONE représente-t-il les gens qui remplissent la documentation pour obtenir un pardon? Y a-t-il un coût associé à tout ça?

Mme Annamaria Enenajor:

Oui, c'est ce qu'ils font.

Mme Ruby Sahota:

Savez-vous exactement quel est le coût?

Mme Annamaria Enenajor:

Je ne suis pas sûre. Je ne leur ai pas parlé du modèle tarifaire, parce que nos discussions portaient sur la possibilité d'offrir les services à titre bénévole, parce que nous sommes une organisation sans but lucratif. Ils ont cependant mentionné que, même s'ils tentent de réduire les coûts le plus possible, en raison des coûts accessoires liés à la prise des empreintes... Même si on élimine les 631 $, il reste la prise des empreintes, la vérification par la police locale et la vérification des antécédents.

Mme Ruby Sahota:

Votre organisation pourrait-elle fournir les services gratuitement pour aider les gens dans le cadre de ce processus?

Mme Annamaria Enenajor:

C'est assurément l'une des choses que nous envisageons, une fois que le gouvernement aura adopté la loi sur les pardons. Nous aimerions beaucoup aider les gens le plus possible. Cependant, tant qu'on ne voit pas le modèle que le gouvernement met en œuvre aux fins des pardons, c'est difficile pour nous de savoir si nous pourrons le faire.

Mme Ruby Sahota:

Vous avez parlé d'une élimination automatique. On nous a dit lundi qu'une élimination automatique serait très difficile à faire. En raison de la façon dont les accusations sont consignées dans le CIPC, avant 1996, il s'agirait d'une accusation ou d'une déclaration de culpabilité pour possession de stupéfiants, et, après 1996, il s'agirait plutôt de possession d'une substance désignée à l'annexe II.

Mme Annamaria Enenajor:

Oui.

Mme Ruby Sahota:

De quelle façon les responsables pourraient-ils trier... Essentiellement, il faudrait réunir toutes les accusations qui peuvent être liées à différents stupéfiants ou à différentes substances désignées à l'annexe II, puis examiner tous les documents des tribunaux et les dossiers de police. Ce serait beaucoup de travail.

Mme Annamaria Enenajor:

Oui, c'est exact. Ce serait très difficile pour les cas qui relèvent de la Loi réglementant certaines drogues et autres substances, mais pour ce qui est de l'annexe II de la Loi, il s'agit seulement du cannabis.

Mme Ruby Sahota:

C'est seulement le cannabis?

Mme Annamaria Enenajor:

C'est le cannabis, les cannabinoïdes, les produits dérivés du cannabis, le cannabidiol. C'est l'annexe des dérivés du cannabis. Il y a une liste d'environ 10, 11 ou 12 substances, et, du nombre, il y en a peut-être seulement une qui n'est pas légale à l'heure actuelle.

Mme Ruby Sahota:

Par conséquent, c'est ce que vous voulez dire lorsque vous dites que certaines personnes peuvent encore être aidées. Vous dites que ceux dont les dossiers datent d'après les changements apportés à la loi sont ceux que nous pouvons effacer automatiquement?

Mme Annamaria Enenajor:

Oui.

Le président:

Merci.

Monsieur Motz, vous avez sept minutes.

M. Glen Motz (Medicine Hat—Cardston—Warner, PCC):

Merci beaucoup, monsieur le président, et merci à nos deux témoins d'être là aujourd'hui. Je tiens à vous poser à tous les deux la même question.

Vos organisations ont-elles été consultées dans le cadre de la rédaction du projet de loi? Je connais la réponse à ma deuxième question: vos objectifs ont-ils été atteints grâce au projet de loi? Évidemment que non. Pour ce qui est de l'association des policiers, vous avez répondu aux deux. Vos groupes ont-ils été consultés avant la rédaction du projet de loi?

M. Tom Stamatakis:

Nous a-t-on consultés directement? Pas de façon poussée. Il y a eu certains échanges, mais il n'y a pas eu de consultation précise relativement au projet de loi.

Mme Annamaria Enenajor:

J'abonde dans le même sens. Nous avons eu une ligne de communication ouverte avec le bureau de M. Goodale dans la mesure où nous lui avons envoyé des renseignements et des idées. Son bureau accusait réception, mais nous n'avons pas été consultés au sujet du contenu proprement dit du projet de loi. La première fois que nous l'avons vu, c'est lorsqu'il a été rendu public.

M. Glen Motz:

Des fonctionnaires nous ont informés lorsqu'ils sont venus ici, lundi. Selon les dossiers sur lesquels ils se sont appuyés, 250 000 personnes pourraient être admissibles dans le cadre du processus. Ce chiffre correspond-il à ce que vous avez entendu ou croyez être le nombre réel et exact de Canadiens qui ont un dossier criminel pour possession simple de marijuana?

(1555)

Mme Annamaria Enenajor:

D'après ce que j'ai compris, la moitié de ces gens ont un dossier de condamnation ou un casier judiciaire précédent pour une infraction de possession simple de cannabis. Vous avez dit quelque chose qui explique peut-être la situation. Vous avez dit qu'environ 250 000 personnes seraient admissibles. Le nombre de personnes admissibles à un pardon en vertu du projet de loi est différent du nombre de personnes qui ont des casiers judiciaires faisant état d'infractions associées au cannabis.

Les critères d'admissibilité réduisent le nombre de personnes admissibles, et on peut raisonnablement avancer qu'une des exigences d'admissibilité, c'est que les personnes doivent seulement avoir des dossiers pour possession simple de cannabis. On peut imaginer qu'un grand nombre de personnes qui ont été déclarées coupables de possession simple de cannabis ont aussi été condamnées pour d'autres infractions, que ce soit une infraction administrative, une amende ou une autre infraction liée à la drogue. Ces personnes seraient donc automatiquement disqualifiées. Je peux très bien imaginer que le nombre de personnes pouvant bénéficier de ces mesures serait beaucoup moins élevé que le nombre de personnes qui ont réellement une infraction pour possession simple de cannabis dans leur casier judiciaire.

M. Glen Motz:

Monsieur, voulez-vous formuler des commentaires au nom de l'Association canadienne des policiers?

M. Tom Stamatakis:

Je ne veux pas parler précisément du nombre, mais ça ne me surprend pas que le nombre soit relativement peu élevé. Comme je l'ai dit dans ma déclaration, d'après mon expérience, les organisations policières ont arrêté de mettre la priorité sur l'arrestation de personnes pour possession simple, particulièrement du cannabis, et ce, depuis assez longtemps.

M. Glen Motz:

Une autre des choses que les fonctionnaires nous ont dites lundi, c'était que, à la lumière du chiffre de 250 000, ils prévoyaient qu'il y aurait peut-être jusqu'à 10 000 personnes à peine qui tireraient parti de l'occasion d'obtenir une suspension du casier. Entendez-vous des choses différentes de votre côté?

Est-ce quelque chose dont vous pouvez parler?

M. Tom Stamatakis:

D'un point de vue anecdotique, il n'est pas inhabituel, à la lumière de mon expérience, de constater que les gens n'entreprennent pas un processus pour obtenir un pardon ou pour faire radier leur dossier. C'est un processus que les gens doivent réaliser, et il n'est pas rare selon moi de rencontrer des gens dans le cadre de mon travail qui pourraient présenter une demande de pardon ou une demande de radiation d'un autre dossier quelconque, mais qu'ils ne le font pas pour une raison ou une autre.

Mme Annamaria Enenajor:

Je crois que c'est exact.

Ça ne me surprend pas que le chiffre soit aussi bas. Je suis surprise parce que j'aurais espéré que la mesure profite à plus de personnes, et c'est la raison pour laquelle je demande que le processus soit automatique. S'il faut simplement appuyer sur un bouton, il n'est pas nécessaire de mettre en place tout le processus.

Il est difficile de pousser les gens à tirer parti d'un cadre qui est mis en place et qui exige la communication de documents historiques. C'est très difficile d'obtenir de tels documents. Il faut se rendre physiquement au tribunal. Le document peut ne pas être là. Il faut alors demander le document qui a été archivé, et on ne parle là qu'un des peut-être deux, trois, quatre ou cinq documents que la personne doit obtenir.

Le processus en lui-même pourrait être un facteur dissuasif tout simplement parce qu'il est trop lourd et difficile. Il y a aussi les coûts supplémentaires qui peuvent pousser plusieurs personnes à estimer que le jeu n'en vaut pas la chandelle.

M. Glen Motz:

Nous en avons parlé lundi. Il y a les coûts de la prise des empreintes et ceux liés à la demande de dossiers du service de police local où l'infraction a été commise. Il y a aussi possiblement d'autres coûts associés à tout ça. Ce n'est vraiment pas un processus libre de coûts.

Vous avez mentionné — et c'est quelque chose qui avait été soulevé rapidement la dernière fois aussi — la difficulté liée au fait d'obtenir des dossiers historiques. Nous savons dans le milieu policier que, parfois, les infractions ont été perpétrées dans des administrations où la tenue des dossiers n'est pas celle à laquelle nous sommes habitués aujourd'hui ou à laquelle on est habitués dans de grandes municipalités ou de grandes organisations, et ce peut être un problème.

Avez-vous des solutions ou savez-vous de quelle façon nous pourrions régler ce problème? On pourrait ne pas trouver les documents parce qu'ils sont dans une boîte, dans un sous-sol quelque part. Les systèmes ne sont pas modernes ni numérisés, alors de quelle façon pourrait-on procéder?

(1600)

Mme Annamaria Enenajor:

Je suis d'accord: c'est très difficile, mais c'est un défi qu'on peut éliminer, selon moi, et c'est ce que j'ai suggéré de faire dans ma déclaration précédemment.

Nous n'avons pas à trouver tous les dossiers. Pourquoi ne pas tout simplement mettre l'accent sur ceux qui sont importants, ceux qui empêchent les gens d'obtenir un emploi, de faire du bénévolat ou de traverser la frontière? Personne ne va dans le sous-sol d'un tribunal et ni n'utilise de tels documents pour empêcher quelqu'un d'obtenir un emploi. L'obstacle, c'est la base de données du CIPC.

Le président:

Monsieur Motz, je vais vous devoir 11 secondes au prochain tour.

Monsieur Dubé, vous avez sept minutes, s'il vous plaît.

M. Matthew Dubé (Beloeil—Chambly, NPD):

Merci beaucoup.

Tout d'abord, je vous remercie tous les deux d'être ici.

J'aimerais poursuivre sur cette idée au sujet du CIPC que vous avez mentionnée dans votre témoignage, et corrigez-moi si je n'ai pas bien compris. Autrement dit, chaque fois qu'un propriétaire possible, un employeur ou quiconque pose une question qui nécessite un certain type de vérification des antécédents, cette vérification serait faite par l'entremise du CIPC, est-ce exact?

Mme Annamaria Enenajor:

C'est ma compréhension du fonctionnement.

M. Matthew Dubé:

D'accord.

J'aimerais juste revenir un peu sur la question concernant l'injustice historique, parce que cela semble servir de fondement au gouvernement pour établir la distinction entre les injustices commises à l'endroit des membres de la communauté LGBTQ dans le cadre du projet de loi C-66, les personnes qui seraient touchées par cette législation et qui ont été touchées parce qu'elles ont un casier judiciaire pour possession simple.

Les chiffres que vous avez cités dans votre mémoire, que j'ai cités et que de nombreuses personnes ont cités concernant les répercussions disproportionnées, sont essentiellement des chiffres du gouvernement, pour ainsi dire. Est-ce exact?

Mme Annamaria Enenajor:

Ce sont des chiffres qui ont été fournis dans le cadre de demandes d'accès à l'information et qui ont été traités par des chercheurs ou par Statistique Canada.

M. Matthew Dubé:

Donc, autrement dit, le gouvernement aurait connaissance de cette information au moment de rédiger ce type de loi.

Mme Annamaria Enenajor:

J'imagine que cela ne le surprendrait pas.

M. Matthew Dubé:

Cela m'amène à ceci. Vous avez fait allusion à un cas devant la Cour suprême, et il n'y a donc aucun fondement juridique pour ce qui constitue une injustice historique. Évidemment, cette décision que vous avez mentionnée s'inscrit là-dedans, mais lorsque le ministre essaie de créer une norme — et il a pris grand soin, dans son témoignage lundi, de ne pas utiliser cette expression de nouveau, bien que d'autres comme le ministre Blair l'aient fait — il n'y a pas de réel précédent. Il n'y a pas d'instrument de mesure pour déterminer ce qui permettrait d'atteindre ce seuil.

Mme Annamaria Enenajor:

Exact, oui. Le cas auquel je faisais allusion ne concernait pas les injustices historiques. Il s'agissait d'égalité.

M. Matthew Dubé:

Exact.

Mme Annamaria Enenajor:

La définition d'égalité en vertu de la Charte est une définition qui a été élaborée grâce à la jurisprudence, et c'est un terme technique. Lorsque vous dites « égalité », vous n'entendez pas par là une égalité formelle, vous entendez l'égalité réelle, et cela a une signification. Cela a un contenu.

L'injustice historique n'est pas un terme juridique technique. Vous pourriez l'utiliser pour décrire tout ce que vous jugez être une injustice historique, mais je crois que ce que le ministre Goodale faisait dans son témoignage était très prudent, car le gouvernement l'a essentiellement créé pour que ce soit un terme technique, en raison de la façon dont il a structuré le projet de loi C-66. Je crois que ce projet de loi a été conçu pour qu'on l'examine au regard du terme « injustice historique ». Il y avait une annexe dans laquelle on inscrivait les infractions qu'on jugeait être des injustices historiques. Pour pouvoir avoir un argument permettant d'exclure certaines infractions de cette annexe, il faudrait les définir comme quelque chose qui ne correspond pas à des injustices historiques.

Je crois donc que c'est un terme technique qui a été construit de façon artificielle, mais vous pouvez définir l'injustice historique comme bon vous semble.

M. Matthew Dubé:

Donc, au final, ce que vous affirmez, c'est qu'en utilisant la discussion au sujet de l'égalité, il y a clairement une inégalité dans la façon dont ces personnes ont été traitées et ainsi de suite. Si vous décidez d'utiliser ce terme technique, comme vous le dites, cela pourrait facilement faire partie du même genre de concept, mais au final, il n'est pas nécessaire d'aller de l'avant avec la radiation. Si c'est perçu d'une façon particulière, si l'acceptation sociale existe maintenant pour cette activité, qui est maintenant légale, alors il n'y a aucune raison pour laquelle ce ne pourrait être simplement radié.

Mme Annamaria Enenajor:

Eh bien, ce que j'essayais d'exprimer avait trait aux dommages qui ont été causés par les injustices historiques, les infractions qui étaient essentiellement de nature homophobe. On a fait preuve de discrimination à l'endroit de personnes en se fondant sur l'orientation sexuelle. Il s'agit d'une violation de la Charte, et il est faux d'essayer d'établir une distinction, si vous examinez ce qui constitue une violation de la Charte, entre des lois qui sont discriminatoires à première vue et d'autres qui sont discriminatoires en réalité.

(1605)

M. Matthew Dubé:

Parfait.

Mme Annamaria Enenajor:

C'est donc une fausse distinction si votre objectif est de tenter de définir des choses qui pourraient contrevenir à l'article 15 de la Charte.

M. Matthew Dubé:

Je le reconnais. Donc certains des problèmes avec lesquels des gens seraient aux prises qui satisferaient au processus énoncé dans le projet de loi C-93 — et nous avons eu la confirmation des représentants à cet égard — incluraient des choses comme celles que vous avez mentionnées, certaines de ces infractions administratives, comme le défaut de comparaître en cour et des amendes impayées, qui, d'après certaines personnes, pourraient être d'aussi peu que 50 $. Même le terme « peu » est relatif, naturellement.

D'après votre expérience, ne serait-ce pas les mêmes personnes marginalisées qui seraient ciblées par ces critères auxquels nous cherchons à remédier avec le projet de loi?

Mme Annamaria Enenajor:

D'après mon expérience, et j'ai foi en l'expérience de nombre de mes collègues qui ont défendu ces gens au quotidien, il n'y a pas nécessairement de corrélation entre le nombre d'infractions sur le casier d'une personne, son casier judiciaire, et la mesure dans laquelle la personne présente un danger réel pour la société.

En fait, mes clients qui détiennent les casiers judiciaires les plus longs sont ceux qui présentent les problèmes de santé mentale les plus importants. Ils ne peuvent pas comprendre, et pour cette raison, ils ratent des dates de comparution en cour. Ils ont des comportements compulsifs lorsqu'ils ne se présentent pas en cour, ou bien ils volent de façon compulsive et font d'autres choses du genre. Cela ne correspond pas nécessairement aux gens que nous cherchons à cibler comme étant les gens les plus dangereux et irresponsables de la société.

M. Matthew Dubé:

Et il y a donc une grande distinction à faire entre l'atteinte d'un objectif de sécurité publique en ne voulant pas donner à quelqu'un une échappatoire, même lorsqu'il pourrait y avoir des enjeux plus graves, et le fait de ne pas sanctionner quelqu'un qui pourrait ne pas avoir payé une amende ou avoir commis ce type d'infraction administrative.

Mme Annamaria Enenajor:

Exactement. Ce n'est pas nécessairement l'existence d'une autre infraction dans son casier qui témoigne du danger que la personne présente pour la société: tout tient vraiment à la nature de l'infraction.

M. Matthew Dubé:

Au final, nous préconisons la radiation; il semble que le gouvernement ne soit pas de cet avis.

Toutefois, même si on devait conserver le pardon qu'on appelle le système de suspension du casier, ne serait-il pas préférable qu'il soit automatique afin d'éviter ce processus de demande qui, malgré qu'il soit accéléré du côté du gouvernement fédéral, demeure coûteux et interminable, compte tenu de ce qu'on a soulevé ici aujourd'hui et lundi?

Mme Annamaria Enenajor:

Oui, absolument.

Une de mes principales préoccupations, c'est que cette législation, bien que ses intentions soient bonnes et qu'elle soit bien meilleure que le statu quo... je ne suis pas ici pour la démanteler complètement. Je crois que c'est fantastique que le gouvernement ait pris cette initiative. Ma préoccupation, c'est que les gens ne vont pas l'adopter.

M. Tom Stamatakis:

Si c'était automatique, comment détermineriez-vous la nature de ces infractions additionnelles pour savoir s'il y a un risque ou non pour la sécurité du public?

Mme Annamaria Enenajor:

Je crois que s'il y a d'autres infractions, vous n'y seriez pas admissible.

Le président:

Je dois vous arrêter ici.

C'est un point intéressant dans le débat, donc peut-être que M. Picard peut le reprendre dans les sept prochaines minutes.

M. Michel Picard (Montarville, Lib.):

Non, je ne le ferai pas. Je vais changer de sujet. [Français]

Madame, est-ce que les activités de consommation, en général, représentent pour vous un droit fondamental? [Traduction]

Mme Annamaria Enenajor:

Non. [Français]

M. Michel Picard:

Est-ce qu'une activité qui est interdite et qui, après coup, devient permise mérite une correction administrative — sans décrire la nature administrative —, de sorte que la correction n'implique pas nécessairement la notion de droit fondamental? [Traduction]

Mme Annamaria Enenajor:

Non. [Français]

M. Michel Picard:

Lundi dernier, nous avons reçu les témoins du ministère et on nous a expliqué que la différence entre la suspension et...[Traduction]

Comment dit-on « expungement » en français? Je l'ignore.

Par rapport à la différence entre l'« expungement » en anglais et la suspension, le pardon a une trace écrite, mais il n'y a pas de tels documents pour expliquer un « expungement », donc personne ne fournit de document.

Êtes-vous d'accord avec cela?

Mme Annamaria Enenajor:

Non. J'en parle dans mon mémoire écrit, mais je peux répondre tout de suite.

Essentiellement, ce que le ministre Goodale essayait de dire, c'est que les pardons sont plus avantageux pour les passages frontaliers vers les États-Unis, parce qu'un demandeur dont la demande a été acceptée aura une preuve documentée d'un pardon, tandis que ce n'est pas le cas avec une radiation. Ce ne serait le cas que si le gouvernement créait un régime qui entraînerait cet objectif.

Cette question a été débattue au Comité lorsque le gouvernement étudiait le projet de loi C-66, qui était un projet de loi visant à créer la radiation pour certaines peines constituant des injustices historiques. Lorsque Talal Dakalbab, l'administrateur en chef des opérations de la Commission des libérations conditionnelles du Canada, a témoigné devant le Comité, on lui a posé la même question.

Talal Dakalbab a déclaré que ceux qui ont reçu une radiation conformément au projet de loi C-66 pourraient garder sur eux la décision de radiation de la Commission des libérations conditionnelles du Canada. Voici une citation de ce témoignage: Ce document démontre que leur infraction a été radiée ou encore qu'ils ont obtenu un pardon ou une suspension de casier. C'est habituellement de cette façon que cette information peut être retirée des systèmes d'autres pays.

Il y a un mécanisme — si le gouvernement construit la législation de cette façon-là — pour fournir un document qui est tout aussi utile dans le cadre du processus de radiation, mais qui ne figure pas dans une base de données des casiers judiciaires. Un document comme, par exemple, un certificat de naissance, a un sens, un poids et une certaine importance, mais cela ne se trouve pas dans une base de données policière; cela ne vous empêche pas d'obtenir un emploi.

Quand ça peut être créé, comme l'a dit le ministre Goodale dans le cas d'une suspension, ça peut l'être aussi dans le cas d'une radiation, et c'est ce qui a été suggéré par l'administrateur en chef des opérations de la Commission des libérations conditionnelles du Canada lorsqu'il a témoigné au sujet du projet de loi C-66.

(1610)

M. Michel Picard:

Quel est le but de créer quelque chose de nouveau lorsque vous avez déjà quelque chose qui fonctionne et qui est compris par d'autres forces de police, notamment les douanes américaines?

Mme Annamaria Enenajor:

Que voulez-vous dire?

M. Michel Picard:

Le pardon et le document qui l'accompagne et tout le reste reposent sur quelque chose qui existe déjà et qui produit exactement le même résultat, et cela fonctionne. C'est le langage qui est utilisé au quotidien avec d'autres forces de police dans d'autres pays. Pourquoi réinventer la roue lorsque nous avons quelque chose qui est parfaitement efficace et qui atteint l'objectif visé?

Mme Annamaria Enenajor:

C'est pour la même raison que celle pour laquelle nous avons proposé le projet de loi C-93, plutôt que simplement la Loi sur le casier judiciaire. Il y a un méfait particulier auquel le gouvernement remédie, qui est une injustice historique, dans mon mémoire. Le gouvernement a reconnu qu'il y a un historique de répercussions disproportionnées des condamnations liées au cannabis, à l'interdiction du cannabis et à l'application de la loi sur des personnes particulières au Canada. C'est pourquoi il met en œuvre, en plus de ce qu'il a déjà... Il dit qu'il fait quelque chose de plus. Il dit qu'il va en plus éliminer les frais connexes et éliminer la période d'attente. Il ne réinvente pas la roue, mais il remédie à un méfait particulier.

Ce que je propose, c'est aussi de remédier à ce méfait particulier, mais ma suggestion va un peu plus loin. Il est possible de construire quelque chose où il y a un méfait unique auquel le gouvernement remédie, particulièrement lorsqu'il s'agit d'une injustice historique qui ferait en sorte que les gens perdront foi et confiance en notre système de justice parce qu'il ne traite pas les gens de manière équitable.

Pour ce qui est de réinventer la roue, en ce moment même, environ 23 États aux États-Unis ont ou bien décriminalisé ou bien légalisé le cannabis, et sur ces 23 États, 7 ont adopté un certain type de mesures de radiation, de pardon ou d'amnistie concernant des infractions liées au cannabis, et sur les 7, 6 ont opté pour des radiations.

Aux États-Unis, c'est la norme d'envisager les choses au moyen d'une radiation. Les États-Unis comprendront mieux ce libellé qu'un pardon, car cela veut dire quelque chose de différent aux États-Unis. Un pardon accordé par le président ou le Congrès est quelque chose de différent de ce que nous appelons un pardon. [Français]

M. Michel Picard:

Dans votre présentation, vous avez parlé de mettre l'accent sur les dossiers importants.

Je suis tout à fait d'accord qu'une personne qui cherche un emploi doit avoir son pardon pour obtenir cet emploi. Vous demandez que le travail soit fait par le gouvernement ou du moins l'administration. Comment une personne de l'administration peut-elle décider, à partir de sa liste de dossiers et de sa base de données, quels sont justement les dossiers les plus importants? [Traduction]

Mme Annamaria Enenajor:

Je crois que, dans ma description de ce qui était important, je ne voulais pas dire important dans le sens d'une évaluation qualitative du contenu du dossier ou du casier. Ce que je voulais dire par important, c'est que l'endroit où se trouve le document est ce qui a le plus d'incidence sur la vie de la personne.

Disons qu'une personne a été condamnée en 1983 pour possession simple de cannabis. L'entrée figurerait dans le CIPC et elle pourrait aussi être contenue dans des documents physiques dans un palais de justice, quelque part dans un entrepôt. Si nous voulons dépenser nos ressources pour libérer cette personne de la stigmatisation associée au casier judiciaire, nous devrions aller chercher le dossier numérique au CIPC plutôt que le dossier papier dans le sous-sol d'un palais de justice, parce que le dossier numérique est celui qui pourrait le plus avoir une incidence sur la capacité de la personne de trouver un emploi.

Je n'ai peut-être pas été claire, et je m'en excuse, mais ce n'était pas le contenu du document qui est le plus important. Il s'agissait vraiment d'essayer de discerner quels types de dossiers nous voulons cibler afin de nous assurer que nos efforts et nos ressources sont dirigés uniquement là où ils seront le plus efficaces pour aider les gens à remettre leur vie sur la bonne voie.

(1615)

Le président:

Merci, monsieur Picard.

On a dit que le projet de loi C-66 avait été renvoyé au Comité. En fait, je ne crois pas que cela ait été le cas. C'était un autre comité, mais pas celui-ci, j'en suis assez sûr. C'était probablement celui de la justice.

Monsieur Eglinski, vous avez cinq minutes.

M. Jim Eglinski (Yellowhead, PCC):

Merci.

J'aimerais remercier les deux témoins d'être ici.

Je vais commencer par vous, madame.

Je reviens un peu en arrière dans l'histoire, parce que j'étais là. J'ai commencé à travailler dans les services de police dans les années 1960, et les drogues commençaient à peine à s'infiltrer dans la communauté du Canada vers le milieu des années 1960. C'est à ce moment-là que nous avons lancé un programme d'application de la loi actif, et il importait peu que ce soit la police de la Ville d'Edmonton ou la GRC de Vancouver. J'ai observé la progression jusqu'à aujourd'hui. J'étais là et je l'ai observée.

Une des choses que vous avez mentionnées — et je suis d'accord avec vous — c'est que nous ne pouvons pas nous appuyer sur quoi que ce soit en ce qui concerne cette question du casier, sauf le CIPC, parce qu'il n'était pas là lorsque le problème des drogues a commencé. Beaucoup de dossiers se perdent Dieu sait où. Nous en avons discuté un peu.

Des gens de la Commission des libérations conditionnelles du Canada ont dit ici qu'ils doivent examiner le casier et décider si la personne est admissible ou ne devrait pas l'être. Ils disent qu'ils seront en mesure de le faire assez rapidement. Cela devrait être immédiat, mais lorsqu'ils s'assoient ici, ils disent que cela pourrait prendre un certain temps. Pour moi, cela ne sera pas bon marché et rapide.

J'en ai parlé à un certain nombre d'occasions. Je crois que tout le monde ici dans la salle sait que je suis d'avis que le fait d'appuyer sur un bouton est la façon de faire pour les accusations de possession simple. Il était très clair pour le Comité l'autre jour que si l'accusation a été réduite il y a 15 ou 20 ans, passant de quelque chose à la possession simple, et que c'est ce que la Couronne a choisi de faire et c'est de quoi la personne a été accusée, alors nous pourrons tous nous fier à cette accusation de possession simple.

En ces temps d'intelligence artificielle, certains des meilleurs esprits du monde ici, au Canada, n'ont pas réussi à élaborer un programme qui pourrait rattacher le programme du CIPC détenu par la GRC à un ordinateur qui passerait en revue cette chose plus rapidement que ce que nous pouvons faire avec un groupe de gens. On pourrait penser que la façon logique de le faire serait de suivre l'ordinateur et de cerner ceux qui devraient être éliminés et les supprimer.

Je me demande ce que vous en pensez.

Mme Annamaria Enenajor:

Je crois qu'il est certainement possible d'élaborer un programme comme celui-là. Un algorithme encore plus complexe pourrait être conçu pour déterminer s'il y a des aspects du casier d'une personne dans son intégralité qui justifient une inspection approfondie pour réagir à certaines des préoccupations de l'Association canadienne des policiers, lesquelles peuvent être valides relativement à... Vous ne voulez pas supprimer le casier d'une personne qui devrait probablement être suivie, mais pour possession simple...

M. Jim Eglinski:

Merci. Je crois que nous voyons les choses de la même façon.

Pourriez-vous nous faire parvenir une liste des six États qui utilisent le système, parce que j'aimerais savoir s'ils fonctionnent avec un ordinateur ou s'ils essaient de le faire de façon manuelle.

J'aimerais beaucoup le savoir.

(1620)

Mme Annamaria Enenajor:

Oui.

M. Tom Stamatakis:

Je suis d'accord avec ce que vous proposez. La seule préoccupation que je soulèverais, c'est que le problème avec la seule radiation du casier — ou la suppression de ce casier, pour reprendre votre terme — c'est que certains casiers existent ailleurs dans d'autres bases de données. Il vous faut tout de même un certain type de document connexe ou de dossier qui dit que l'entrée dans le CIPC a été supprimée, de sorte que...

M. Jim Eglinski:

Un programme bien produit avec les bons organismes qui travaillent dessus serait en mesure de faire cela.

Mme Annamaria Enenajor:

Il y a un certain nombre d'administrations aux États-Unis — ce sont des municipalités — qui utilisent l'intelligence artificielle et le codage prédictif pour repérer les casiers et les éliminer. Je suis justement sur notre site Web en ce moment, parce que nous avons énuméré certaines d'entre elles, mais je peux certainement fournir cela au Comité.

M. Jim Eglinski:

Merci.

Monsieur Stamatakis, juste pour que vous soyez au courant, c'est un chèque de 25 $ pour votre ville et de 25 $ si elle veut ajouter une vérification des empreintes digitales. C'est 42 $ à Ottawa pour une vérification judiciaire, 99 $ si vous voulez des empreintes digitales et 139 $ si vous êtes une entreprise.

M. Tom Stamatakis:

Merci.

Le président:

Vos cinq minutes sont écoulées.

Mon greffier toujours vigilant m'a corrigé. Le projet de loi C-66 a été présenté devant le Comité. L'avantage, quand on vieillit, c'est que tout semble nouveau.

Madame Dabrusin, vous avez cinq minutes, s'il vous plaît.

Mme Julie Dabrusin (Toronto—Danforth, Lib.):

Merci à vous deux. J'ai trouvé utile d'entendre votre point de vue, particulièrement dans le contexte de ce que nous avons entendu lundi également.

D'abord, madame Enenajor, vous avez affirmé que ce projet de loi montre une reconnaissance des injustices historiques. Si le projet de loi est adopté tel quel, sans amendement, seriez-vous heureuse de le voir franchir la première étape pour corriger ces injustices historiques?

Mme Annamaria Enenajor:

Absolument.

Mme Julie Dabrusin:

J'aimerais vous parler de quelques autres points.

Une des questions qui sont ressorties lundi concernait vraiment le suivi de tous les casiers. Selon ce que les représentants nous ont laissé entendre, la question semblait être la suivante: s'il revenait à eux de faire tout le travail, plutôt que d'imposer le fardeau à la personne qui demande le pardon, ils iraient vérifier les casiers qui pourraient se trouver dans les sous-sol pour voir s'il s'agissait en fait de possession simple de cannabis plutôt que d'autre chose.

Mme Annamaria Enenajor:

Oui.

Mme Julie Dabrusin:

Cependant, si je comprends ce que vous avez suggéré aujourd'hui, tous ces cas auraient trait à l'annexe II. Est-ce que c'est ainsi que c'est inscrit dans le CIPC, que l'infraction est liée à l'annexe II?

Mme Annamaria Enenajor:

Oui, l'annexe II.

Mme Julie Dabrusin:

À ce moment-là, tous ces éléments sauf un seraient en fait légaux aujourd'hui.

Mme Annamaria Enenajor:

Cela fait un certain temps que j'ai juxtaposé l'annexe II et celle de la Loi sur le cannabis, mais je crois que c'est presque identique.

Je sais avec certitude que l'annexe II de la Loi réglementant certaines drogues et autres substances ne concerne que le cannabis et les substances dérivées du cannabis.

Mme Julie Dabrusin:

Alors un processus simplifié ne pourrait peut-être pas rejoindre tout le monde, tout particulièrement en raison du fait que les lois et les annexes changent au fil du temps. Toutefois, s'il y avait une façon de remonter jusque là, un moyen consisterait en fait à le rendre automatique pour la possession au titre de l'annexe II — et je n'utilise pas la bonne terminologie juridique, car je n'ai pas la loi sous les yeux...

Mme Annamaria Enenajor:

Oui.

Mme Julie Dabrusin:

... et peut-être faire autre chose lorsque vous avez des articles et des annexes différents et que c'est une législation différente.

Mme Annamaria Enenajor:

Oui, exactement. Une des choses que nous avons proposées dans un des documents que nous avons fait parvenir au gouvernement, c'était un système à plusieurs niveaux qui répondait à des types d'infractions différents.

Par exemple, c'est logique si vous n'avez qu'une seule condamnation pour possession simple de cannabis vieille de plus de 40 ans et que vous n'avez rien fait de mal depuis. Qui s'y intéresse? Radiez-la. C'est vraiment inutile de l'avoir.

En ce qui concerne le risque qu'il s'agisse de quelque chose de plus grave que la possession simple de cannabis, si la condamnation date de 40 ans, pourquoi nous ne pouvons pas juste nous débarrasser de toutes ces condamnations? Des niveaux différents de types d'infractions peuvent attirer des réponses différentes.

(1625)

Mme Julie Dabrusin:

Vous avez décrit à quoi cela ressemblerait. En ce moment, nous examinons la législation, et j'imagine que vous diriez comme moi que c'est important que nous l'adoptions rapidement.

Mme Annamaria Enenajor:

Oui.

Mme Julie Dabrusin:

Il serait donc utile d'avoir des suggestions concernant un libellé approprié.

Mme Annamaria Enenajor:

Oui.

Mme Julie Dabrusin:

Je ne sais pas si vous en avez déjà fourni un au Comité.

Mme Annamaria Enenajor:

Je ne l'ai pas fait. Je crois que nous avons l'ébauche d'un texte de loi. Toutefois, je peux la fournir au Comité.

Mme Julie Dabrusin:

Ce serait fantastique. Je vous serais reconnaissante de nous envoyer ce que vous proposez comme ébauche.

L'autre question qui me préoccupe, c'est lorsque nous avons examiné les suspensions du casier auparavant avec une motion — je crois que c'était la motion M-161 — un des témoins a mentionné qu'un des plus grands obstacles tenait aux amendes impayées. La période ne commençait pas à courir pour beaucoup de gens en raison de cela.

Ici, la période n'est plus un facteur en vertu de ce projet de loi, mais selon ma compréhension des choses, vous ne pouvez pas demander le pardon en vertu du projet de loi C-93 si vous avez des amendes impayées. Que pensez-vous de cet élément, les amendes impayées? Serait-il utile que les gens ne soient pas tenus de régler leurs amendes impayées pour demander le pardon ou la suspension du casier?

Mme Annamaria Enenajor:

Je croyais en fait qu'il n'y avait aucune relation entre la présence d'une amende impayée et l'admissibilité au projet de loi C-93, donc je...

Mme Julie Dabrusin:

Ce que je comprends, c'est que toutes les sanctions, toute peine qui devait être purgée, s'il y avait une peine à purger, ou toute amende à payer, devait l'être avant que vous soyez admissible.

Mme Annamaria Enenajor:

Oui, ça devrait être réglé. C'est exact.

Il y avait une difficulté d'accès à cet égard. Très souvent, les gens qui ne paient pas leurs amendes sont incapables de le faire. Ce sont les mêmes personnes qui ne peuvent pas se payer des pardons, au final. Nous essayons de cibler ces gens qui sont, en raison de leurs condamnations criminelles, devenus marginalisés et qui sont incapables d'obtenir un emploi rémunéré et de contribuer à la société. Puis, nous les punissons doublement en leur interdisant l'accès au seul mécanisme grâce auquel ils peuvent enfin sortir, obtenir un emploi et contribuer à la société, et toucher le type de revenu qui leur permettrait de payer l'amende. C'est une contradiction de n'avoir pas envisagé une façon de contourner cela.

Mme Julie Dabrusin:

Merci.

Le président:

Monsieur Motz, vous avez cinq minutes.

M. Glen Motz:

Merci, monsieur le président.

J'aimerais poursuivre sur la question des amendes. Je pense qu'il est important de comprendre que, si vous avez une amende en souffrance et que le délai est important, un mandat est émis. Vous avez un certain temps pour payer votre amende, et si vous ne le faites pas, cela devient un mandat. À ce stade, il s'agit alors d'un mandat non exécuté. Généralement, c'est pour possession simple, avec une amende de 150 à 200 $ en général; vous êtes interpellé puis relâché, car vous avez payé votre amende. C'est un peu comme ça que les choses fonctionnent généralement pour la possession simple.

Je veux aussi parler du CIPC un instant. Le CIPC est une base de données qui indique aux responsables de l'application de la loi si une personne a écopé d'un casier judiciaire. Je coupe les cheveux en quatre, mais le CIPC ne contient pas le casier.

Mme Annamaria Enenajor:

Correct.

M. Glen Motz:

Selon le gouvernement, le projet de loi C-93 indique que le ministère doit toujours vérifier les empreintes digitales et le casier proprement dit, et pas seulement le CIPC. Ce n'est pas aussi simple que d'appuyer sur un bouton et de le retirer du CIPC. Vous pouvez le faire dans la base de données qui contient le casier judiciaire proprement dit.

Mais c'est une autre histoire. J'aimerais vous poser une question précise sur le fait que, à l'heure actuelle, le processus, du point de vue du ministère, consiste à essayer de le faire à moindre coût, à partir de... C'est gratuit pour un demandeur. Ce n'est pas gratuit pour le ministère. Les responsables pensent que cela coûtera quelques centaines de dollars par personne si leurs chiffres sont exacts quant au nombre de personnes qui vont présenter une demande. J'ai encore des questions sur la façon dont cela pourrait être fait. Si je demande la suspension du casier en raison d'une possession simple de marijuana, il m'incombe de me rendre auprès d'« une » administration; il s'agit non pas de condamnations multiples, mais d'une seule condamnation. C'est tout ce que je suis autorisé à traiter.

Mme Annamaria Enenajor:

Oui.

M. Glen Motz:

Je dois retourner auprès de cette administration et trouver la déclaration de culpabilité auprès du palais de justice.

Mme Annamaria Enenajor:

Oui.

M. Glen Motz:

Je dois fournir mes empreintes digitales, pour vérifier mon identité et confirmer que j'ai écopé de ce casier judiciaire. Je soumets ensuite ces renseignements dans le cadre de la trousse que la Couronne a créée afin que les gens puissent faire une telle demande.

Pensez-vous que c'est un moyen efficace de procéder? En réalité, en ce qui concerne ce que nous demandons, je dois faire la demande en suivant un processus en ligne. Je dois suivre une séquence où je coche les cases. C'est à moi qu'il incombe de faire ces choses. Ensuite, le ministère, la Commission des libérations conditionnelles, remplit une fonction administrative, au cours de laquelle elle peut affirmer, oui, que les empreintes digitales de cette personne correspondent bien à celles figurant sur le formulaire C-216C ou dans le nouveau système maintenant ou bien, oui, c'est bien le casier judiciaire, et rien n'empêche cette personne de devenir ou d'être... La personne n'a qu'une seule condamnation; elle est qualifiée. À mes yeux, cela semble être un processus très long, potentiellement, et il limitera le nombre de personnes qui veulent que cette condamnation... Je me demande si le processus profitera réellement à ceux à qui nous pensons qu'il bénéficiera — ceux à qui il est interdit d'obtenir le type d'emploi qu'ils souhaitent en raison d'une accusation de possession simple.

Qu'en pensez-vous?

(1630)

Mme Annamaria Enenajor:

Je pense que vous avez vu juste. Même aujourd'hui, le plus grand nombre de demandes de pardon... Le processus que vous décrivez, celui prévu par le projet de loi C-93, est meilleur et moins exigeant que le processus actuel de suspension du casier judiciaire.

M. Glen Motz:

Avec un pardon complet.

Mme Annamaria Enenajor:

Pour un pardon complet.

M. Glen Motz:

D'accord.

Mme Annamaria Enenajor:

C'est parce que cela élimine l'obligation de démontrer une bonne conduite ainsi que celle de démontrer un avantage mesurable que le pardon vous apportera. Ce sont tous des aspects qualitatifs. Souvent, les gens obtiennent des conseils pour les aider dans cette démarche, parce qu'ils présentent leur cas. Il ne s'agit pas de simplement parcourir en tous sens un palais de justice pour trouver des documents spécifiques et de faire prendre vos empreintes digitales. Vous présentez un argument en votre faveur. L'élément discrétionnaire n'existe plus dans le projet de loi C-93.

M. Glen Motz:

Il ne me reste qu'une minute, à peu près, et une chose pique ma curiosité. J'ai posé la question suivante à des personnes que je connais qui sont en affaires: en tant qu'employeur, si une personne postule au sein de votre entreprise et que vous lui demandez une vérification des antécédents ou qu'elle vous présente ces renseignements, maintenant que la marijuana est légalisée, craignez-vous que la personne ait déjà été condamnée pour possession simple de marijuana? Leur réponse est non, ils s'en moquent.

Mme Annamaria Enenajor:

Oui.

M. Glen Motz:

Je pense que la plupart des employeurs se moquent de savoir si quelque chose qui a été légalisé aura une incidence sur eux. Je sais que cela a une incidence sur la personne.

Je ne sais pas si vous avez des idées sur cette question.

Mme Annamaria Enenajor:

Je n'ai pas vraiment réfléchi à cette question particulière.

La décision d'engager ou non une personne en fonction d'un casier judiciaire est discrétionnaire. Ce qui me préoccupe, c'est de savoir qui sont les personnes les plus touchées par l'exercice de ce pouvoir discrétionnaire. Il est toujours possible que cela nuise à une personne et la limite.

Bien que beaucoup d'employeurs ne s'en soucient peut-être pas au bout du compte, je pense que nous n'en sommes pas encore là. Cela peut arriver dans quelques années. M. Stamatakis a mentionné que notre perception et notre compréhension du cannabis avaient subi de profonds changements culturels et que cela ne ferait que continuer. Mais jusqu'à ce que nous en arrivions là, nous avons encore des personnes à qui on refuse des emplois et des possibilités de bénévolat.

Le président:

Merci.

Notre prochain témoin est sur le point d'arriver du tribunal, et les avocats parmi nous savent exactement ce que cela signifie. Je vais donc prolonger un peu plus la séance. Avant de demander à M. Graham de prendre la parole pour les cinq prochaines minutes, je vais laisser nos analystes poser une question concernant les témoignages inscrits à l'horaire.

Allez-y.

Mme Julia Nicol (attachée de recherche auprès du Comité):

Vous ne pourrez peut-être pas répondre à cette question, mais si je comprends bien, vous avez dit que le CIPC indiquerait qu'il s'agit d'une infraction visée à l'annexe II. L'item 1 de cette annexe, cannabis naturel et dérivés, n'est plus un problème, mais l'item 2, l'agoniste de synthèse des récepteurs cannabinoïdes, demeure une infraction criminelle. Le numéro d'item aurait-il été indiqué dans le CIPC dans tous les cas, car sinon, nous aurons du mal à le déterminer.

(1635)

Mme Annamaria Enenajor:

Je ne le pense pas. Ce n'est pas si détaillé.

Mme Julia Nicol:

C'est ce que je pensais. C'est là que nous avons un problème. Vous ne pouvez pas le dire en vous fiant uniquement au CIPC.

Mme Annamaria Enenajor:

Oui.

Le président:

Merci.

Monsieur Graham, vous avez cinq minutes.

M. David de Burgh Graham (Laurentides—Labelle, Lib.):

C'était ma première question. Alors, merci de votre intervention.

Monsieur Stamatakis, que savez-vous lorsque vous consultez un dossier électronique? Que voyez-vous lorsque vous extrayez le casier judiciaire d'une personne?

M. Tom Stamatakis:

Vous obtenez une brève description de l'infraction. Il n'y a pas de contexte ni de renseignements supplémentaires.

M. David de Burgh Graham:

Parmi tous nos casiers judiciaires historiques — j'imagine qu'ils sont assez nombreux —, combien ont été numérisés? Avons-nous une idée de leur nombre?

M. Tom Stamatakis:

Non, et je conviens avec mes collègues ici que la tenue de registres est un problème. L'autre problème est que, bien que nous dépendions tous du CIPC à l'échelle nationale, il existe à l'échelle provinciale différentes bases de données qui permettent également de répertorier de l'information. Même si vous supprimez un dossier dans le CIPC, cela ne signifie pas qu'il va automatiquement être supprimé des autres bases de données utilisées par différents services de police dans différentes administrations.

Je le dis du point de vue de la police.

M. David de Burgh Graham:

Les bases de données de la police sont-elles généralement synchronisées? Y a-t-il un moyen de le faire, ou chacun a-t-il sa propre petite île?

M. Tom Stamatakis:

Non, elles ne sont pas synchronisées. Les services de police relèvent de la compétence des provinces, et chaque province prendra ses propres décisions concernant les bases de données provinciales pouvant être utilisées pour la saisie des données générées par les responsables de l'application de la loi.

M. David de Burgh Graham:

Même si je comprends le point de vue, pouvons-nous mettre en œuvre l'idée de M. Eglinski d'utiliser l'intelligence artificielle pour trouver ces données?

M. Tom Stamatakis:

Je pense que vous pourriez le faire. Je suis d'accord avec le point de vue selon lequel, dans le monde d'aujourd'hui, il devrait exister un moyen de gérer rapidement les dossiers, du moins avec le CIPC. Si vous proposiez un processus au moyen duquel une personne pourrait recevoir un document confirmant que le casier a été supprimé ou radié, cela serait utile. Si vous vous concentrez uniquement sur le CIPC, cela ne résoudra pas le problème de la possession simple.

M. David de Burgh Graham:

Est-ce que toutes les forces de police contribuent au CIPC?

M. Tom Stamatakis:

Oui, c'est une base de données nationale. Tous les services de police du pays ont accès au CIPC.

M. David de Burgh Graham:

Donc, comme nous le disions précédemment, le CIPC ne fait pas l'inverse. C'est pourquoi il n'y a pas de coordination. C'est une situation à sens unique.

M. Tom Stamatakis:

Oui.

M. David de Burgh Graham:

D'accord.

Si quelqu'un a fait l'objet de plusieurs chefs d'accusation pour possession, sans plus, devrait-il présenter une demande pour chaque chef d'accusation, individuellement? Quelle est votre opinion à cet égard? Ou pourrait-il présenter une seule demande pour les 10 ou 20 fois où il s'est fait prendre?

M. Tom Stamatakis:

C'est une bonne question.

M. David de Burgh Graham:

Je ne suis pas sûr non plus. C'est pourquoi je pose la question.

M. Tom Stamatakis:

Oui. Je pense que, si je comprends bien, il est spécifiquement question de possession simple. S'il n'y a pas d'autres circonstances, je ne vois pas pourquoi vous ne pourriez pas faire une demande unique. Mais je ne pense pas que ce soit clair.

M. David de Burgh Graham:

D'accord. Mais comme nous l'avons dit plus tôt, si vous avez un autre casier, la question est donc purement théorique.

Dans votre déclaration liminaire, vous avez exprimé votre inquiétude à propos des personnes qui négocient leur plaidoyer pour ramener l'infraction à la possession simple, mais je pense que l'idée sous-jacente était que, si tel était le cas, elles auraient probablement un casier judiciaire supplémentaire, et c'est pourquoi ce serait une préoccupation. Si tel est le cas, le casier judiciaire rendrait l'argument purement théorique, n'est-ce pas?

M. Tom Stamatakis:

Je crains simplement que la Commission n'ait pas accès à cette information, car selon mon expérience en tant que policier, ces négociations de plaidoyer sont souvent conclues pour une bonne raison. Comme je l'ai dit dans mes remarques liminaires, ces accords sont conclus pour une raison, et cela change le portrait, évidemment. Pour être franc, si tout ce qu'une personne a est une accusation pour possession simple résultant d'une négociation de plaidoyer conclue il y a dix ou cinq ans et qu'il n'y a rien d'autre, cela ne me pose aucun problème. Or, d'après notre expérience, du point de vue de la police, ces personnes sont souvent impliquées dans beaucoup d'autres choses. Je suis d'accord avec vos propos: si tel est le cas, elles ne pourraient pas présenter de demande, mais il s'agit juste de donner un peu plus de pouvoir discrétionnaire pour qu'on puisse le confirmer.

M. David de Burgh Graham:

Pour ce faire, il faudrait que la Commission des libérations conditionnelles examine chaque dossier au fur et à mesure, ce qui est un peu à l'opposé de ce que laisse entendre votre collègue ici. Serait-ce une évaluation juste?

(1640)

M. Tom Stamatakis:

Je dirais donc que je préconise qu'ils aient au moins la possibilité de le faire quand ils croient qu'il y a une raison de le faire. Je ne dis pas qu'il faut créer un mécanisme pour que ce soit fait dans tous les cas.

M. David de Burgh Graham:

D'accord. Merci.

Le président:

Monsieur Dubé, allez-y.

M. Matthew Dubé:

Merci, monsieur le président.

J'aimerais simplement revenir sur la position de Cannabis Amnesty, pour ce qui est de ce projet de loi, parce que c'est certainement mieux que rien, mais au bout du compte, il n'en demeure pas moins que la meilleure issue pour les personnes pour lesquelles vous cherchez à obtenir justice et réparation, ce serait la radiation des condamnations. N'est-ce pas?

Mme Annamaria Enenajor:

Oui, ce serait l'issue la plus favorable.

M. Matthew Dubé:

D'accord. C'est un peu plus que le strict minimum, et l'étape suivante,ce serait que ce soit en quelque sorte automatique. Nous nous enlisons dans la recherche d'une solution, mais si le gouvernement était prêt à le faire...?

Mme Annamaria Enenajor:

Oui.

M. Matthew Dubé:

Même si ce n'était pas automatique, un modèle comme celui qui a été proposé dans le projet de loi C-66 aurait-il été réalisable? Nous avons parlé du libellé utilisé, de l'injustice historique du langage utilisé, mais au final, le modèle du projet de loi C-66 aurait très facilement pu être — ou pourrait toujours être — appliqué dans le cas qui nous occupe, n'est-ce pas?

Mme Annamaria Enenajor:

Oui; mais le projet de loi C-66 est en fait un peu plus complexe que ce que je propose, car les infractions énumérées dans le projet de loi C-66 n'ont pas seulement servi à intenter des poursuites pour des activités homosexuelles consensuelles, elles ont également intenté des poursuites pour des activités homosexuelles non consensuelles. Donc, dans le cadre du projet de loi C-66, vous devez, dans la demande, soit trouver des informations démontrant que c'était un acte consensuel, soit une déclaration sous serment en ce sens, et le projet de loi C-66 représente beaucoup plus de travail.

C'est peut-être un peu la même chose que ce que l'analyste m'a demandé plus tôt, dans les cas où vous n'êtes pas certain de la nature de l'infraction sous-jacente et que vous ne savez pas si elle répond à l'objectif que vous essayez d'atteindre. Vous devriez peut-être non seulement revoir les documents de la Cour pour trouver cette information, mais peut-être aussi demander les transcriptions de la Cour. Car bien souvent, même les documents de la Cour ne mentionnent pas la nature de la substance. Vous devez avoir cet élément de preuve.

M. Matthew Dubé:

J'aimerais revenir sur une question qui a été posée tout à l'heure sur la circulation à la frontière. Je pense qu'il existe des préoccupations nationales assez importantes, quand il s'agit de choses comme l'emploi, le bénévolat et ainsi de suite. J'aimerais être certain que nous faisons bien la distinction, car il semble, selon certains qu'il vaut mieux obtenir un pardon ou une suspension du casier judiciaire, car cela fournit plus de documentation.

J'ai deux commentaires à faire à ce sujet. Le premier, c'est que rien n'empêcherait le gouvernement de monter un dossier sur les casiers qui ont été effacés, si les gens le demandent. Cela semble être un peu contradictoire, mais au bout du compte, ce serait faisable. L'autre commentaire, c'est que, dans votre témoignage, vous n'avez pas dit s'il était important ou non d'avoir de la documentation, vous avez dit que, même si votre casier judiciaire a été suspendu, les Américains ne reconnaîtront pas nécessairement cette suspension, et donc rien ne garantit que votre voyage sera facilité.

Mme Annamaria Enenajor:

Dans la plupart des cas, une suspension du casier judiciaire appuierait votre demande de dispense pour entrer aux États-Unis. Vous devrez quand même présenter une demande de dispense pour entrer, si l'entrée vous a été refusée. Le pardon, la suspension du casier judiciaire ou la radiation des condamnations ne vous empêcheront pas d'être déclaré interdit de territoire.

Le président:

Merci.

J'aimerais revenir sur la question de l'agent des services frontaliers des États-Unis. Dans votre témoignage, vous avez dit que, pour cet agent, le pardon ou la radiation des condamnations sont tout aussi inutiles.

Mme Annamaria Enenajor:

Oui.

Le président:

Dans l'un ou l'autre cas, vous êtes exactement dans la même situation qu'une personne qui a été condamnée ou fait l'objet d'une accusation en instance, car la question est la même.

Mme Annamaria Enenajor:

Oui.

Le président:

Que ce soit une accusation, une condamnation, une radiation ou un pardon, tout ça est inutile dans l'esprit des agents des services frontaliers des États-Unis.

Mme Annamaria Enenajor:

C'est exact.

Le président:

Merci. C'est rassurant.

Mme Annamaria Enenajor:

Malheureusement, nous ne pouvons pas adopter de lois qui ont une incidence sur les États-Unis.

Le président:

Et c'est un des arguments de vente du projet de loi.

Mme Annamaria Enenajor:

Oui.

Le président:

Avant de suspendre la séance, je demanderais à M. Eglinski de faire preuve de générosité et de proposer que nous acceptions le rapport du sous-comité.

M. Jim Eglinski:

Je propose que nous acceptions le rapport du sous-comité.

Le président:

C'est excellent. Je vous en remercie.

M. Jim Eglinski:

J'essaie simplement de coopérer avec vous et de faire partie de l'équipe.

Le président:

C'est la démocratie en marche.

Merci beaucoup. Sur ce, nous allons brièvement suspendre la séance.

(1645)

(1645)

Le président:

Mesdames et messieurs, on s'attend à ce que la sonnerie d'appel se fasse entendre. Apparemment, elle va retentir 30 minutes avant le vote. Avec votre permission, laquelle devra être unanime, et étant donné que nous avons commencé en retard, j'aimerais continuer pendant 15 minutes, et ensuite nous ajournerons la séance.

Merci.

Monsieur Friedman, je vous demanderai de commencer votre témoignage. Si vous pouviez le faire en dix minutes, je vous en serais reconnaissant.

M. Solomon Friedman (avocat criminaliste, à titre personnel):

Bonjour, monsieur le président et membres du Comité.

Merci de m'avoir invité aujourd'hui pour parler du projet de loi C-93.

Tout d'abord, j'aimerais commencer par les aspects positifs. La philosophie du projet de loi proposé est bonne. Il est fondamentalement injuste que des gens traînent le boulet d'un casier judiciaire pour une conduite qui n'est plus illégale.

Comme nous le savons tous, dans notre société, un casier judiciaire est un obstacle considérable à la réussite. Il compromet la capacité d'une personne à décrocher un emploi, à étudier, à trouver un logement, à obtenir du financement, à faire du bénévolat et à voyager. Ce sont des obstacles, pris individuellement ou ensemble, à la capacité d'une personne d'intégrer la société, de contribuer positivement à la grande collectivité et de mener une vie productive et prosociale.

À l'injustice qui consiste à maintenir la condamnation au criminel de personnes ayant déjà été déclarées coupables de possession simple de cannabis s'ajoutent les effets inégaux et discriminatoires de la criminalisation du cannabis dans les groupes déjà marginalisés du Canada. À Toronto, par exemple, les Noirs représentent 8 % de la population, mais 25 % des personnes accusées de possession de cannabis entre 2003 et 2013. C'est vrai aussi pour les Autochtones. Prenons Regina, en Saskatchewan, où 9 % des résidants sont des Autochtones, mais où ils représentent 41 % des personnes accusées de possession de cannabis.

Historiquement, ces infractions ont eu des répercussions disproportionnées sur les personnes les plus vulnérables de notre société: les pauvres, les marginalisés, les personnes atteintes de maladies mentales, les personnes racialisées et les Autochtones. Si ces statistiques ne sont pas suffisantes, je peux vous dire que, d'après le flot continu — malheureusement — des clients dans mon bureau, les personnes qui sont accusées de possession simple de cannabis possèdent ces mêmes caractéristiques. Elles sont généralement issues de groupes marginalisés et, cruelle ironie du sort, ces condamnations au criminel marginalisent elles-mêmes davantage ces mêmes groupes, perpétuant ainsi le cycle de la criminalisation, de la stigmatisation et de l'inégalité.

Le projet de loi C-93 est sans aucun doute plein de bonnes intentions, et on devrait applaudir le gouvernement pour cela. Toutefois, même s'il s'agit d'une première étape positive et bien intentionnée — il y a toujours un « mais », surtout quand il y a un avocat — il demeure que le projet de loi comporte, à mon humble avis, de graves lacunes. Je vais vous les exposer tour à tour.

D'abord, le projet de loi exige que les personnes concernées présentent une demande de suspension de casier judiciaire auprès de la Commission des libérations conditionnelles du Canada. Une demande officielle doit être remplie et envoyée à la Commission des libérations conditionnelles pour examen. Certes, le projet de loi indique clairement qu'aucuns frais ne sont à payer pour cette demande particulière, contrairement aux demandes de suspension de casier ordinaires, je soupçonne que ce processus ne sera pas gratuit pour bon nombre de Canadiens.

Il existe de nombreuses sociétés qui, je cite, « aident » les gens à remplir leur demande de suspension de casier, pour des frais élevés. En fait, à ce jour, le premier site annoncé lorsqu'on lance une recherche sur Google avec les mots « cannabis pardon Canada », c'est un site à but lucratif offrant ses services pour un prix mensuel modique de 72 $ ou de 116 $ pour une procédure accélérée. Pour que ce soit bien clair, il s'agit d'un prix mensuel d'un plan de paiement sur 16 mois. Selon vous, quelles sont les personnes que le site Web cible et qui pourront payer 72 $ ou 116 $ par mois, selon un plan de paiement sur 16 mois?

Nous parlons d'un prix bas, très bas, de 1 152 $ à 1 856 $, et cela, bien sûr, sans tenir compte des frais que le gouvernement impose ou non pour ces demandes. N'oublions pas que les personnes les plus touchées par ces casiers judiciaires sont déjà en marge de la société: les personnes qui ont fait face à des obstacles systémiques nuisant à leur réussite à l'école, au travail ou ailleurs. Ce projet de loi, intentionnellement ou non, pourrait être un obstacle pour les personnes qui voudraient se prévaloir des avantages qu'il prétend offrir.

Bien sûr, à l'ère des données électroniques, la Commission des libérations conditionnelles du Canada peut de façon proactive trouver les casiers judiciaires liés aux condamnations criminelles pour possession simple de cannabis et les associer à toute mesure prévue par la loi, qu'il s'agisse d'une suspension du casier judiciaire, d'une radiation ou de quoi que ce soit d'autre. Selon moi, le fardeau de ces casiers devrait incomber au gouvernement. Si la perspective de remplir une demande du gouvernement n'est peut-être pas particulièrement intimidante, pour nous, mais pour les personnes qui font face à des difficultés sur le plan financier, éducatif ou de la santé mentale ou à d'autres difficultés, ce peut être une tâche pratiquement impossible.

Ensuite, le projet de loi C-93 exige que les personnes aient purgé leur peine avant de présenter une demande de suspension de casier judiciaire. Pourquoi? Pourquoi une personne resterait pénalisée, que ce soit par une véritable peine d'emprisonnement, par une peine d'emprisonnement avec sursis, par des conditions de probation ou d'une autre manière, pour une conduite qui n'est plus illégale?

(1650)



Pourquoi les gens devraient-ils être obligés d'attendre la fin d'une longue période de probation, alors que l'infraction qu'ils ont commise n'existe même plus sous le régime de la loi?

Je suis d'avis qu'il faut immédiatement réparer l'injustice qui découle de ces condamnations, sans attendre la fin prévue de la période de probation, sans imposer d'amende ni n'importe quel autre type de pénalité. Les gens qui n'ont pas les moyens de payer leur amende ne pourront jamais finir de purger leur peine et ne pourront donc jamais demander une suspension de leur casier judiciaire.

Troisièmement, je veux parler de l'enjeu le plus important du projet de loi C-93: la nature même du mécanisme de suspension du casier. Le mot le dit: une suspension de casier judiciaire n'est pas un pardon. Le pardon n'existe plus. Ce n'est pas non plus une amnistie ni une radiation. C'est un processus prévu par la loi selon lequel le casier judiciaire est « suspendu », c'est-à-dire qu'il doit « être classé à part des autres dossiers [...] relatifs à des affaires pénales ». Une suspension du casier peut être révoquée, ce qui arrive automatiquement dès que la personne commet n'importe quelle infraction prévue au Code criminel ou dans la Loi réglementant certaines drogues et autres substances.

Cela va même plus loin. Une suspension du casier peut être révoquée si la Commission est convaincue que l'intéressé « a cessé de bien se conduire ». Je vais vous donner des exemples réels de gens que j'ai aidés parce que la Commission avait demandé la révocation de la suspension de leur casier. Ce sont des gens qui ont fait l'objet de nombreuses vérifications policières, fondées sur des renseignements ou non, ou qui ont été accusés d'infractions au code de la route, par exemple de conduite imprudente. À cause de cela, la Commission a conclu qu'ils allaient cesser de bien se conduire. Je suis cependant heureux de pouvoir vous dire que nous avons contesté la révocation de la suspension du casier et que nous avons gagné.

Malgré tout, le problème est entier. Pour ces gens, le casier judiciaire restera comme une épée de Damoclès toute leur vie. En outre, le ou la ministre conserve le pouvoir discrétionnaire d'autoriser la communication du dossier dans le cas où il ou elle est convaincu que cela « sert l'administration de la justice ou est souhaitable pour la sûreté ou sécurité du Canada ou d'un État allié ou associé au Canada. »

Je peux penser à un État allié ou associé au Canada qui serait très intéressé par les casiers judiciaires des personnes qui ont été reconnues coupable de possession simple de cannabis.

Autrement dit, même si leur casier est suspendu, l'infraction continue de peser sur les personnes qui ont été reconnues coupables. Aussi, et c'est le plus important, contrairement à ce qui est fait dans le cas d'une radiation, où la GRC et les autres organismes fédéraux doivent détruire tous les documents visés par l'ordre de radiation, rien de tel n'est exigé dans le cas d'une suspension du casier.

En résumé, le processus de demande qui est proposé élève en réalité un obstacle, en particulier pour les populations déjà marginalisées. Le projet de loi prévoit que les gens devront finir de purger leur peine avant de présenter une demande. À mon avis, et avec tout le respect que je vous dois, cette approche est illogique, contre-productive et inutile. Une suspension du casier n'équivaut pas à la destruction du casier judiciaire lui-même, ce n'est qu'une suspension — une suspension temporaire —, dont la révocation est prévue dans la loi ou tient à la discrétion de l'administration.

Quelle est donc la solution, dans ce cas?

Je devrais d'abord dire que le projet de loi C-93 est mieux que rien. Cependant, « mieux que rien », c'est demander très peu au Parlement. Vous pouvez, et devez, faire mieux. Je vous recommande donc vivement d'adopter un modèle de radiation similaire à celui que prévoit la Loi sur la radiation de condamnations constituant des injustices historiques. Les dossiers judiciaires relatifs aux condamnations pour possession simple de cannabis devraient être radiés automatiquement et de façon permanente.

Par conséquent, je vous propose d'étudier le projet de loi C-415, c'est un projet de loi d'initiative parlementaire parrainé par M. Murray Rankin. Il a été présenté par M. Rankin en octobre dernier. Ce projet de loi remplit beaucoup mieux son objectif, la véritable justice, en soulageant les personnes qui ont été condamnées pour possession simple de cannabis — quelque chose de légal, aujourd'hui — de leur stigmatisation et des conséquences disproportionnées de leur condamnation au criminel.

Dans son document d'information accompagnant le projet de loi, le gouvernement affirme que « la radiation est une mesure extraordinaire réservée aux cas où la criminalisation de l'activité en question et la loi n'auraient jamais dû exister, par exemple dans les cas où elle contrevenait à la Charte ».

Même si l'on pourrait débattre longtemps du premier élément de cette exigence, en ce qui concerne le cannabis, je peux vous dire, en tant qu'avocat criminaliste, que l'interdiction pénale du cannabis a causé beaucoup plus de tort que de bien. Il ne fait aucun doute que l'application beaucoup trop lourde de la loi brime le droit à l'égalité garanti par la Charte et va à l'encontre de nos valeurs constitutionnelles et fondamentales.

Le Canada doit réparer un tort historique, et le Parlement peut le faire au moyen de la radiation. Je vous demande instamment de suivre exactement cette voie.

Je vous remercie de votre bienveillante attention.

(1655)

Le président:

Merci, monsieur Friedman.

Il nous reste environ une demi-heure. Je crois que je vais accorder cinq minutes, cinq minutes, cinq minutes et cinq minutes, ce qui devrait faire un peu plus de 20 minutes. Ensuite, je pourrais peut-être accorder deux fois quatre minutes, si tout le monde est d'accord.

Madame Dabrusin, vous avez cinq minutes.

Mme Julie Dabrusin:

Je vous remercie d'avoir exposé vos motifs de préoccupation par rapport à ce projet de loi.

L'une des questions que je veux poser en premier — et je l'ai aussi posée au dernier groupe de témoins — est la suivante: pourrait-on améliorer le projet de loi C-93 en supprimant l'exigence qu'une personne paie toutes ses amendes impayées avant d'être admissible à une suspension du casier?

M. Solomon Friedman:

Absolument.

Mme Julie Dabrusin:

Je crois que vous l'avez déjà dit, mais je tiens à ce que ce soit très clair: améliorerait-on le projet de loi en supprimant l'exigence selon laquelle les gens doivent attendre la fin de leur période de probation?

M. Solomon Friedman:

Absolument.

Mme Julie Dabrusin:

L'une des questions que vous avez abordées... C'est également un sujet que j'ai abordé lundi, lorsque nous interrogions les témoins. J'avais fait une recherche sur Google, et j'ai constaté la même chose. Selon vous, comment devrions-nous informer les gens que le processus est gratuit?

M. Solomon Friedman:

J'ai discuté ce matin avec l'une de mes collègues qui a déjà travaillé pour l'Association canadienne des libertés civiles. Selon elle, les gens qui communiquent avec Pardons Canada se font dire constamment qu'ils devront dépenser 2 000 $. Il y a vraiment un manque de communication.

Avec tout le respect que je vous dois, je crois que la meilleure façon de procéder serait d'éliminer le processus de demande. Nous vivons à l'ère des ordinateurs, et c'est ainsi que nous accédons à ces dossiers. J'ignore combien coûtent les bases de données gouvernementales et si elles sont faciles à gérer, alors je dois faire certaines suppositions, mais je sais qu'il existe des données sur le nombre de dossiers de condamnation.

Je dirais qu'il incombe à la Commission des libérations conditionnelles du Canada de régler le problème. Peut-être suis-je trop terre à terre, mais je ne vois pas l'avantage de demander aux gens de présenter eux-mêmes une demande. La Commission peut vérifier les dossiers, et, s'il y a quelque chose qui ne satisfait pas aux normes, communiquer avec les personnes concernées.

(1700)

Mme Julie Dabrusin:

Lundi, nous avons accueilli la représentante du ministère, qui nous a exposé ses préoccupations. Entre autres choses, elle nous a dit que le processus est beaucoup plus rapide lorsque les gens présentent des demandes individuelles. Si le ministère doit fouiller tous les dossiers afin de voir qui est admissible, la question ne sera pas réglée avant 10 ans.

M. Solomon Friedman:

Je soupçonne qu'il y a des dizaines de milliers de personnes qui ne savent même pas qu'elles ont été reconnues coupables de possession de cannabis et qui n'en comprennent pas les conséquences. Qualifiez-moi de sceptique si vous voulez, mais j'ai peine à croire que le gouvernement du Canada est incapable d'effectuer une recherche dans sa propre base de données sur les condamnations.

Chaque jour, j'interagis avec des agents de police dans le cadre de ma profession. Ils ont tous accès au Centre d'information de la police canadienne. C'est une base de données centralisée. Il leur suffit d'entrer le nom d'une personne pour voir si elle a eu des condamnations. Puisque c'est une base de données, vous pouvez sûrement faire le processus inverse et effectuer une recherche à partir des dossiers de condamnation pour obtenir des noms.

Mme Julie Dabrusin:

Je ne me rappelle pas avoir lu dans le projet de loi C-415 quoi que ce soit à propos d'un système automatique.

M. Solomon Friedman:

Il n'en propose pas, non. Je crois que c'est une lacune qui devrait être corrigée. Il faudrait un processus de radiation automatique.

Mme Julie Dabrusin:

Une autre chose; il semble que le processus fait intervenir les membres de la Commission des libérations conditionnelles. Ce n'est pas le processus administratif qui est prévu dans le projet de loi C-93.

M. Solomon Friedman:

Exact.

Mme Julie Dabrusin:

Quel processus préférez-vous, le processus administratif ou celui qui fait intervenir la Commission des libérations conditionnelles?

M. Solomon Friedman:

Je n'ai pas vraiment d'opinion. La Commission des libérations conditionnelles du Canada a l'expertise nécessaire pour traiter les demandes de pardon, alors, si on lui demande d'intervenir... D'un autre côté, j'ai entendu parler de son retard dans le traitement des demandes de pardon. Si vous ne mettez pas en place le processus automatique, mais que vous avez un processus administratif qui permettrait aux gens de contourner la liste d'attente déjà bien longue pour la suspension du casier, ce serait encore mieux.

Mme Julie Dabrusin:

L'un des témoins du groupe précédent nous a dit que, lorsqu'on fait une recherche automatique dans le Centre d'information de la police canadienne, le système peut afficher les infractions de possession d'une substance prévue à l'annexe II. Les substances prévues à l'annexe II étaient, essentiellement, toutes du cannabis; il reste une seule substance qui est encore illégale. Pouvez-vous confirmer que cela fonctionne bien ainsi? Elle a recommandé de simplement récupérer ces dossiers.

M. Solomon Friedman:

Oui, je crois que je suis d'accord. Mon cadre de référence, par rapport à cela, est que j'ai vu, pour certains de mes clients, des centaines ou des milliers de pages de casiers judiciaires. La nature de l'infraction est très clairement indiquée. C'est pourquoi j'ai dit qu'avec cette méthode, il suffit d'entrer le nom de la personne pour obtenir une liste de ces infractions. Les infractions sont énumérées à l'écran, et elles sont assorties de suffisamment de détails, selon moi, pour qu'on puisse ensuite procéder à la suspension du casier ou à la radiation.

Mme Julie Dabrusin:

D'accord, merci.

Le président:

Le Comité vous souhaite la bienvenue, monsieur Cooper, vous avez cinq minutes.

M. Michael Cooper (St. Albert—Edmonton, PCC):

Merci beaucoup, monsieur le président.

Merci, monsieur Friedman.

Je suis d'accord avec vous: le projet de loi C-415 n'est pas un projet de loi parfait, mais à mon avis, il est de loin supérieur au projet de loi à l'étude. J'ai hâte de voter en sa faveur dans 45 minutes environ.

M. Solomon Friedman:

Grand bien vous fasse.

M. Michael Cooper:

Comme vous l'avez dit dans votre témoignage, une suspension n'équivaut pas à une radiation. Dans ce cas, disons qu'une personne qui a été reconnue coupable d'une infraction au criminel cherche un emploi ou un logement ou veut être entraîneur bénévole de l'équipe de soccer de ses enfants, et qu'on lui demande si elle a un casier judiciaire, cette personne devra répondre oui, n'est-ce pas?

M. Solomon Friedman:

Eh bien, une suspension du casier judiciaire a pour effet d'effacer toutes les conséquences de la condamnation. Selon moi, une des conséquences d'une condamnation est d'avoir à répondre oui à ce genre de question.

Ce n'est pas la même chose pour les personnes vulnérables. J'aimerais attirer votre attention sur l'article 6.3 de la Loi sur les casiers judiciaires, où il est question des personnes vulnérables. La liste des infractions est donnée en annexe, et la liste ne comprend pas la possession de cannabis. Je ne crois pas qu'une suspension du casier poserait un problème pour les personnes vulnérables. Cependant, puisque le dossier existe toujours, un gouvernement futur pourrait toujours décider de modifier la loi, n'est-ce pas? Un prochain gouvernement pourrait décider que la possession simple devrait être visée à même dans le cas des personnes vulnérables. J'ai aussi mentionné que la loi prévoit les conditions de révocation de la suspension du casier, et c'est bien le cas, c'est dans la loi. La décision peut aussi être prise au niveau administratif. Puisque le casier existe toujours, un gouvernement futur pourrait décider de révoquer toutes ces suspensions.

Voilà pourquoi, à mon avis, la radiation est de loin la meilleure solution.

(1705)

M. Michael Cooper:

D'accord. À propos du processus faisant intervenir la Commission des libérations conditionnelles, vous avez dit que cela pouvait être très lourd. Le projet de loi C-66, qui a été adopté par le gouvernement, prévoit un processus permettant aux gens d'obtenir une radiation, sous réserve de la présentation d'une demande. Je crois qu'on estime qu'environ 9 000 ou 10 000 Canadiens sont admissibles, mais, aux dernières nouvelles, seulement sept ou huit personnes ont pris la peine de présenter une demande ou ont réussi à s'y retrouver dans toute la paperasse. On parle ici de quelque 250 000 personnes qui sont admissibles, et on estime que 10 000 vont peut-être présenter une demande. Selon vous, n'est-ce pas un peu trop optimiste?

M. Solomon Friedman:

Je pense que 10 000 est un chiffre extrêmement optimiste. N'oubliez pas que, lorsqu'il est question de cette catégorie de condamnations, on a affaire à une population disproportionnée du point de vue de la marginalisation. Il est question de personnes ayant des problèmes de santé mentale ou un déficit sur le plan de l'éducation. Je pense que la proportion sera encore moins élevée qu'au titre des condamnations constituant des injustices historiques.

Je suis peut-être un optimiste éternel. Nous sommes à une époque de bases de données électroniques. Je comprends qu'il pourrait être difficile d'accéder aux dossiers de certaines personnes; peut-être que c'était une base de données papier qui a été convertie en base de données électronique; excellent. Nous mettrons un astérisque à côté du nom des personnes à qui on peut envoyer une lettre de la Commission des libérations conditionnelles leur disant: « Hé, peut-être que vous devriez présenter une demande et régler cette question pour nous », mais je suis certain que, de ces 250 000 cas, la grande majorité pourra simplement être rectifiée par voie électronique et automatiquement.

M. Michael Cooper:

Cela été fait dans d'autres administrations, notamment à San Francisco. Un système [Inaudible] automatique.

M. Solomon Friedman:

San Francisco; en un claquement de doigts.

M. Michael Cooper:

Oui.

M. Solomon Friedman:

Je ne sais pas. Les ordinateurs de cette administration sont-ils bien meilleurs que ceux du gouvernement du Canada? Il est question de la Ville de San Francisco. C'est sûrement faisable.

M. Michael Cooper:

Je suppose que ce qui me dérange vraiment, c'est qu'il nous reste 33 jours de séance dans cette législature. Le projet de loi ne sera pas adopté. Cela fait un certain nombre de mois que la légalisation est entrée en vigueur. J'ai voté contre la légalisation, mais je souscris à votre opinion selon laquelle il est fondamentalement injuste que l'on soit accablé par un casier judiciaire parce qu'on a commis une infraction qui est parfaitement légale aujourd'hui et, honnêtement, à laquelle la grande majorité des Canadiens ne s'opposent aucunement.

En réalité, cette mesure n'aurait-elle pas dû faire partie intégrante du projet de loi du gouvernement pour la légalisation?

M. Solomon Friedman:

Cette question sort peut-être un peu de mon champ de compétences. Je suis avocat sans opinion sur quoi que ce soit. J'affirmerai ceci: vous faites beaucoup de bon travail ici et, en ce qui concerne le projet de loi d'initiative parlementaire C-415, j'espère que le travail et la recherche effectués par le Comité... si le projet de loi n'est pas adopté dans la législature actuelle, j'espère qu'il sera reporté à la prochaine législature, où on pourra s'en occuper et régler tous ces problèmes en ce qui a trait au processus de demande — la radiation par rapport à la suspension de casier — et s'assurer qu'il s'agit de la version la plus juste possible du projet de loi, peu importe quand il sera promulgué.

Le président:

Merci.

Monsieur Dubé, vous avez la parole.

M. Matthew Dubé:

Je vous remercie, monsieur le président.

Aux fins du compte rendu, et à la défense de M. Rankin qui n'est pas là pour défendre son projet de loi, je déclare que notre position — et la sienne — est que ce devrait être automatique, mais il y a une certaine consternation quant à la question de savoir si une recommandation royale est requise. Si certains coûts doivent être engagés, nous verrons assurément quelles sont les décisions prises au sein du Comité, quand nous présenterons des amendements semblables au projet de loi. Je veux que ce soit clair. Il est certain que la radiation qui est proposée dans le projet de loi constitue assurément une grande amélioration, alors nous verrons, comme l'a dit M. Cooper, quel sera le résultat du vote au cours des prochaines minutes.

Monsieur Friedman, je vous remercie de votre présence.

Je voulais vous poser des questions au sujet des statistiques: les 10 000 sur 250 000, puis les 7 sur 9 000 ou je ne sais quoi dans le cas du projet de loi C-66. Manifestement, à la lumière de vos commentaires, je pense qu'on pourrait présumer sans craindre de se tromper... s'il y a une telle supposition à faire. Je me demande tout simplement: pensez-vous que les 240 000 autres personnes qui ne présenteront pas de demande ne le feront probablement pas parce qu'elles appartiennent à une certaine catégorie de personnes marginalisées, ou bien est-ce en raison des diverses exemptions, par exemple, relativement à des amendes non payées, qui sont prévues dans le projet de loi?

M. Solomon Friedman:

Oui, je pense qu'il y a un certain nombre de facteurs. Tout d'abord, il est bien beau de croire que, quand le Parlement adopte une loi, l'information est je ne sais trop comment transmise simultanément — peut-être par télépathie ou autrement — à tous les Canadiens.

Certaines personnes n'ont aucune idée de ce que vous faites sur un grand nombre de fronts...

(1710)

Le président:

Nous non plus.

Des voix: Ha, ha!

M. Solomon Friedman:

... le groupe ici présent exclu, bien entendu. C'était le premier facteur.

Il y aura des gens qui ne seront tout simplement pas au courant, et vous savez pourquoi? Si on regarde ce qui est important dans leur vie, ils ne s'en préoccupent peut-être tout simplement pas. Ils ont peut-être appris à vivre avec un casier judiciaire et ses conséquences. C'est la première raison; vous avez un problème de communications.

Ce problème est exacerbé davantage si on regarde les groupes de la population qui sont disproportionnellement touchés par l'interdiction criminelle du cannabis, des gens qui ont des problèmes de scolarisation ou de santé mentale, qui pourraient vivre en marge de la société. Si nous pouvons améliorer leur vie en retirant un obstacle à l'emploi, au financement, aux voyages, etc., à mon humble avis, le Parlement devrait faire tout en son possible pour joindre ces personnes, parce que les gens avec qui on communiquera et qui seront au courant de la mesure pourront probablement retenir les services d'avocats comme moi.

Oubliez vos spécialistes des demandes de pardon qui profitent des gens. Ils auront probablement un avocat, et auront probablement réglé cette question il y a longtemps et obtenu une suspension de casier appropriée. Nous voulons joindre les personnes qui en ont réellement besoin.

À mon humble avis, le projet de loi doit faire l'objet d'amendements importants.

M. Matthew Dubé:

Les représentants qui ont comparu lundi ont parlé de moyens non traditionnels, et on dirait presque un genre de stratégie axée sur Twitter. Je n'essaie pas d'aborder la question avec désinvolture; on ne sait vraiment pas très bien ce que ces gens vont faire.

D'après les discussions que nous avons tenues et les sujets que nous avons abordés quand nous avons mené une étude générale sur la suspension de casier et sur les réformes requises, nous avons parlé de ces genres de mauvais joueurs qui tentent d'agir dans ce domaine.

Essentiellement, il faudrait que le gouvernement élabore une certaine stratégie qui lui permettra de livrer concurrence à ces personnes. En fin de compte, le travail qui serait requis pourrait facilement servir à trouver les casiers, à les supprimer et à procéder à la radiation.

Pensez-vous qu'il s'agit d'une évaluation équitable de ce type de situation?

M. Solomon Friedman:

Je ne suis pas expert en bases de données gouvernementales, mais, comme je l'ai dit, il est ahurissant qu'un tas de gens intelligents ne puissent pas se concerter, faire venir un développeur de logiciel, examiner la base de données et simplement en extraire ces casiers.

En ma qualité d'avocat criminaliste indépendant, je sais que je reçois beaucoup de correspondance automatique indésirable de divers organismes du gouvernement du Canada. Ils me trouvent, et ils savent exactement ce que je trame, combien d'impôts j'ai payés et d'ici quelle date je dois payer mes acomptes provisionnels, alors le gouvernement du Canada est vraiment doué pour utiliser ces bases de données afin d'accéder automatiquement aux dossiers. Je suis certain que, lorsqu'il s'agit d'aider des personnes pauvres, marginalisées et atteintes de maladie mentale qui ont vraiment besoin de cette aide, pour qui cela pourrait changer considérablement la donne en ce qui a trait à leur réinsertion dans la société — et je ne suis pas désinvolte, moi non plus —, des gens intelligents peuvent se réunir dans une salle et arriver à le faire.

M. Matthew Dubé:

Je pense qu'on peut affirmer sans crainte de se tromper que la radiation serait la meilleure option. Si cette disposition n'est pas adoptée, vaudrait-il tout de même mieux que la suspension de casier soit automatique et que l'on retire simplement le fardeau d'avoir à présenter une demande?

D'après les propos que vous avez tenus, j'ai l'impression que c'est le cas. Est-ce que je vous comprends bien?

M. Solomon Friedman:

Oui, et je l'affirme en ce qui concerne l'ensemble du projet de loi. C'est mieux que rien, mais vous pouvez faire mieux que rien, c'est certain, et vous pouvez faire mieux que mieux que rien.

M. Matthew Dubé:

Merci.

Le président:

Madame Sahota, vous disposez de cinq minutes; allez-y.

Mme Ruby Sahota:

Merci.

Je crois comprendre — et j'espère vraiment que le projet de loi sera adopté, espérons-le, après que certaines des améliorations qui ont été proposées par nos témoins y auront été apportées — que le projet de loi sera promulgué avant l'ajournement de la Chambre, à moins que les conservateurs ne veuillent pas qu'il soit adopté. Je ne sais pas ce qui arrivera au cours des mois à venir, mais j'espère qu'il sera promulgué.

M. Solomon Friedman:

J'ai l'impression d'être à un souper familial où règne un malaise.

Des députés: Ha, ha!

Mme Ruby Sahota:

Oui, eh bien...

Le président:

Ne rendons pas cette situation encore plus malaisante.

M. Solomon Friedman:

Je viens tout juste d'avoir mon seder de la Pâque la semaine dernière, et j'ai eu plus qu'assez de ces situations.

Mme Ruby Sahota:

D'accord, je suis désolée pour ce malaise, mais je ne sais pas...

Le président:

Voudriez-vous passer à la question?

Mme Ruby Sahota:

Quand M. Cooper a mentionné cela, j'ai simplement trouvé cela étrange.

Vous avez précisé que vous considérez le pardon ou la suspension de casier comme étant très différents de la radiation.

Le témoin qui a comparu avant vous est venu déclarer... Certains arguments ont été formulés au sujet de la façon dont les gens sont traités lorsqu'ils traversent la frontière et du fait que ce serait différent dans les deux cas. La dame a affirmé que cela ne change absolument rien. C'était l'avis de la Campaign For Cannabis Amnesty: cela ne change absolument rien.

Je crois comprendre d'après les déclarations faites par certains des témoins qui ont comparu lundi que, lorsqu'un casier a été suspendu, il ne s'affiche plus au CIPC et qu'un agent de police qui effectuerait une vérification du casier ne pourrait pas le voir. Un employeur ne pourrait pas non plus voir un casier une fois qu'il a été suspendu.

Selon vous, à quels obstacles ces personnes marginalisées ou vulnérables feraient-elles encore face dans le cas d'une suspension de casier par rapport à une radiation?

M. Solomon Friedman:

Comme je l'ai mentionné, le vrai problème, à mes yeux... et je conviens qu'il y a une divergence d'opinions en ce qui concerne les voyages. Cela dépend en réalité de quelle version du registre du CIPC nous avons fournie au département de la Sécurité intérieure des États-Unis. Il ne le reçoit pas tous les jours, à ce que je crois savoir. Sa version est peut-être désuète.

À mes yeux, le problème tient au fait qu'une suspension de casier peut être révoquée à tout moment. Elle peut l'être pour des raisons qui pourraient sembler appropriées ou non, selon des personnes raisonnables. Comme je l'ai dit, une infraction grave au titre du Code de la route... Voulez-vous qu'une personne qui, autrement, n'aurait pas de casier judiciaire soit considérée comme ayant fait l'objet d'une condamnation criminelle si elle est reconnue coupable de conduite imprudente, une infraction provinciale, et non criminelle? Soudainement, votre casier judiciaire réapparaît; c'est comme une épée de Damoclès au-dessus de votre tête.

Si les casiers sont supprimés, ils ne pourront pas être ramenés. Voilà la différence entre la radiation et la suspension de casier. C'est dans le nom. Ce n'est qu'une suspension; il ne disparaît pas.

Mme Ruby Sahota:

Je crois comprendre d'après les déclarations des témoins qui ont comparu devant nous qu'ils veulent que ce mécanisme soit là dans les cas où une erreur a été commise. C'est parce qu'il est très complexe d'inverser la situation, lorsque des gens doivent découvrir s'ils sont simplement accusés de possession ou si d'autres accusations étaient en cause.

Le ministre a également déclaré que 95 % des casiers qui ont été suspendus dans le passé pour d'autres situations ne font jamais l'objet d'une révocation, alors pourquoi est-ce une si grande préoccupation? Envisagez-vous que les choses se passeraient différemment dans ce cas-ci?

M. Solomon Friedman:

Je suis avocat criminaliste. Je me préoccupe des 5 %. Il s'agit d'une grave préoccupation.

Comme je l'ai mentionné, des personnes marginalisées qui ont été reconnues coupables de possession de cannabis et qui, ensuite, disons, se font remarquer par... et il s'agit d'un exemple de la vraie vie. La personne se fait arrêter en voiture et se trouve à être en compagnie de personnes qui ont un casier judiciaire grave, ou bien elle se trouve à un endroit où une activité criminelle grave est exercée. Elle n'est pas accusée et encore moins reconnue coupable; elle ne fait pas non plus l'objet d'accusations qui sont ensuite retirées. Ces situations pourraient être le fondement de la révocation d'une suspension de casier.

N'oubliez pas de quoi il est question. Il ne s'agit pas de quelque chose qui constitue encore une infraction pour laquelle on a obtenu un pardon parce qu'on a maintenant adopté un bon comportement et qu'on s'est repenti. Il est question de quelque chose qui n'est plus illégal. Comment une personne peut-elle même avoir encore cette épée de Damoclès au-dessus de la tête? Je vous pose la question respectueusement. Ce n'est plus illégal. Pourquoi le voulons-nous encore dans le système? Pour quelle bonne raison pourrait-on vouloir rétablir une condamnation pour quelque chose qui n'est plus un crime? Bien franchement, la raison m'échappe.

(1715)

Mme Ruby Sahota:

Merci.

Le président:

J'entends la sonnerie d'appel, mais avec le consensus, je vais poursuivre la séance jusqu'à 17 h 30. J'espère que tout le monde est d'accord.

Monsieur Motz, vous avez quatre minutes.

M. Glen Motz:

Merci.

Tout d'abord, vous avez des idées et des recommandations à l'esprit. Vous serait-il possible de fournir au Comité une liste de recommandations qui...

M. Solomon Friedman:

Je les ai devant moi.

M. Glen Motz:

... amélioreraient ce projet de loi?

Ce serait fantastique si vous pouviez transmettre cette liste au Comité.

M. Solomon Friedman:

Je serais heureux de le faire.

M. Glen Motz:

Nous avons confirmé hier avec les fonctionnaires que des personnes accusées de possession simple de plus de 30 grammes de cannabis en public avant le 17 octobre 2018 seront admissibles à cette procédure accélérée de suspension de casier judiciaire. Toutefois, à l'heure actuelle, la possession de plus de 30 grammes est encore une infraction.

M. Solomon Friedman:

Vous devez poser la question au gouvernement qui a adopté la Loi sur le cannabis. Il y a eu un vif débat à cet égard, et je n'aime pas beaucoup non plus cette disposition.

M. Glen Motz:

C'est incohérent. Quelles sont les conséquences de cette disposition?

M. Solomon Friedman:

Comme je l'ai dit, il va falloir parler aux personnes qui ont rédigé le projet de loi. J'ai examiné le projet de loi, et il ne me semble pas très logique. À mon avis, la rédaction de la Loi sur le cannabis comporte une lacune fondamentale en réalité. Si nous faisons mieux que la Loi sur le cannabis, alors je crois que nous sommes en avance. J'essaie de voir le bon côté des choses.

M. Glen Motz:

D'accord.

J'espère que vos recommandations pourront régler cela.

J'ai une dernière question. Est-ce que vous pensez que le processus de suspension de casier judiciaire pourrait créer un précédent pour d'autres accusations dans l'avenir?

M. Solomon Friedman:

Selon moi, chaque fois que le Parlement décriminalise une activité qui était criminelle auparavant dans le Code criminel — autrement dit, qu'elle n'est plus criminelle —, les gens ne devraient pas subir la stigmatisation associée à un casier judiciaire en raison de ce qu'ils ont fait par le passé. Si le Parlement dit aujourd'hui que ce n'est plus illégal, je ne comprends pas pourquoi il faudrait qu'on assume les conséquences d'une infraction passée.

(1720)

M. Glen Motz:

Nous avons examiné une étude — je crois que c'était la motion M-161 qu'a présentée M. Long — portant sur certaines personnes qui, nous le savons tous, avaient été condamnées pour d'autres infractions, comme pour vol ou autre chose.

M. Solomon Friedman:

Ces condamnations ne seront pas suspendues. La possession de cannabis...

M. Glen Motz:

D'accord, sous le régime de cette loi... Ma question est la suivante: devrait-il y avoir un mécanisme pour faciliter le processus? Pensez-vous que ce processus peut avoir des incidences à cet égard?

M. Solomon Friedman:

Comme je l'ai dit, si quelqu'un a plusieurs condamnations criminelles, ce projet de loi ne prévoit que la suspension de la condamnation pour possession de cannabis.

Ce n'est pas négligeable, soit dit en passant. Si on révèle le casier judiciaire d'une personne qui comportait auparavant des condamnations pour vol d'une valeur inférieure à 5 000 $ et pour possession de drogue, alors il ne reste que la condamnation pour vol d'une valeur inférieure à 5 000 $ . Cela change les antécédents criminels d'une personne. La condamnation pour possession de drogue disparaît; seule demeure la condamnation pour vol d'une valeur inférieure à 5 000 $. À mon avis...

M. Glen Motz:

Si on a écopé des deux condamnations, on n'est pas admissible à la suspension.

M. Solomon Friedman:

Oui. C'est assez juste, n'est-ce pas? Je comprends cela. Mon opinion, c'est que toutes les condamnations pour possession de cannabis devraient disparaître. Qu'on ait 1, 5 ou 10 autres condamnations, pourquoi devrait-on subir la stigmatisation de cette condamnation alors que ce n'est plus un crime?

M. Glen Motz:

Merci.

Le président:

Monsieur Picard, vous avez quatre minutes.

M. Michel Picard:

Je vais donner mon temps à M. Spengemann.

M. Sven Spengemann (Mississauga—Lakeshore, Lib.):

Merci, monsieur le président.

Monsieur Friedman, merci beaucoup. Nous sommes ravis de vous revoir au Comité.

J'ai deux questions avant de laisser la parole à mon collègue.

Pouvez-vous parler un peu plus en détail de l'article qui vise les personnes vulnérables dans la loi actuelle et nous décrire le type de vérifications qui sont effectuées au-delà des vérifications de casier judiciaire habituelles?

Ensuite, pensez-vous à d'autres pays, à l'exception des États-Unis, qui ont trouvé la solution ou qui sont pour nous, à votre avis, des exemples que nous devrions suivre?

M. Solomon Friedman:

L'article 6.3 de la Loi sur le casier judiciaire définit ce qu'est une « personne vulnérable ». Cet article prévoit qu'on peut essentiellement communiquer les dossiers, à la demande d'un particulier responsable du bien-être d'une personne vulnérable.

Il y a ensuite l'annexe 1 qui établit les types d'infractions qui seraient encore communiquées même après une suspension de casier judiciaire. Il s'agit en grande partie d'infractions d'ordre sexuel, et c'est très logique. On parle de quelqu'un qui présente sa candidature pour s'occuper de personnes vulnérables. Même si la personne a maintenant une bonne moralité, je peux certainement comprendre cela.

Ce sont, toutefois — et je suis certain que vous avez étudié cela —, ce qu'on appelle des accusations rejetées. Autrement dit, même si on n'a pas été condamné, on peut nous empêcher de profiter de certaines possibilités parce qu'on a eu des démêlés avec la police, commis des infractions provinciales et fait l'objet de conditions de mise en liberté sous caution et bien d'autres choses.

Cette infraction, cependant — la possession de cannabis —, ne figure pas dans la liste de l'annexe 1. Elle ne serait pas visée par ce mécanisme de communication pour les personnes vulnérables prévu à l'article 6.3.

M. Sven Spengemann:

Très brièvement, y a-t-il d'autres pays qui ont trouvé la solution, à l'exception des États-Unis, et que nous devrions examiner?

M. Solomon Friedman:

Je ne suis pas en mesure de parler d'autres pays que les États-Unis. Je vais mentionner précisément San Francisco, où c'était automatique. Les gens n'avaient pas besoin de présenter une demande; le gouvernement est allé dans la base de données et a simplement effacé les dossiers de la condamnation.

M. Sven Spengemann:

Merci beaucoup.

Michel, vous avez la parole.

M. Michel Picard:

Merci, monsieur.

Disons qu'une réhabilitation — ou peu importe le mot utilisé dans le projet de loi — fait en sorte que, puisque l'activité n'est plus illégale, la condamnation antérieure ne compte pas parce qu'elle est censée être suspendue. Lorsqu'une personne passe une entrevue pour obtenir un emploi et entame ce genre de démarches, étant donné que cette infraction n'est plus illégale, pensez-vous qu'une entreprise devrait examiner des antécédents liés au cannabis? L'entreprise, par exemple, devrait-elle vérifier si la personne a été condamnée pour possession de cannabis, alors que, en fait, ce n'est plus illégal, ou ne devrait-elle pas s'inquiéter de cela?

M. Solomon Friedman:

Vous et moi pouvons convenir que l'entreprise ne devrait pas se préoccuper de cela, mais le gouvernement n'est pas en mesure d'établir les politiques internes des entreprises. Si l'entreprise obtient le casier judiciaire d'un candidat et qu'elle a une politique qui prévoit de ne pas embaucher une personne qui a écopé d'une condamnation liée à la drogue, alors il n'aura pas l'emploi.

Il y a également d'autres facteurs qui entrent en jeu. Il s'agit en partie de questions de cautionnement et d'assurance. La compagnie d'assurances de l'entreprise peut dire que cette dernière ne peut pas prendre à son service une personne qui a un casier judiciaire. Le Parlement ne pourrait rien faire — du moins, il n'y a rien que je peux voir — à cet égard. La chose la plus simple à faire, c'est de retirer cette condamnation du casier judiciaire.

Nous pouvons tous avoir une opinion très éclairée et dire à un candidat potentiel que sa condamnation fait partie du passé, que cette possession est maintenant légale et qu'il peut travailler pour nous — c'est ce que je ferais probablement dans un tel cas —, mais nous ne pouvons pas légiférer cela autrement qu'en retirant le dossier de la condamnation.

(1725)

M. Michel Picard:

Oui, mais disons, par exemple, qu'on se fiche pas mal dans l'industrie du transport routier que la personne ait fait l'objet d'une condamnation ou non. La préoccupation de l'employeur est de savoir si le conducteur consomme du cannabis en travaillant. Que cette consommation soit légale ou non, l'industrie ne peut pas permettre à un conducteur de travailler avec les facultés affaiblies par le cannabis, et, pendant une certaine période, il ne devrait pas y avoir de traces de cannabis. Comme vous l'avez dit, cela figure dans les politiques des entreprises.

Il vient un temps où les gens qui auront évidemment vraiment besoin de cette suspension présenteront une demande, selon le processus que nous proposons, parce qu'ils ont besoin d'un document pour prouver qu'ils n'ont pas de casier judiciaire. Alors, comme il existe déjà un système où un document confirme que la personne a été réhabilitée, pourquoi est-il nécessaire d'aller beaucoup plus loin, selon votre témoignage, puisque les objectifs ont été réalisés?

M. Solomon Friedman:

Je regarde la nature de la population qui est ciblée de manière disproportionnée par ces condamnations. Ce ne sont pas des gens qui ont les capacités ou l'éducation pour savoir qu'il existe un processus de suspension de casier judiciaire ou être en mesure de le suivre sans trop de difficulté, comme retenir les services d'une de ces entreprises prédatrices pour des milliers de dollars.

Si ce que nous tentons d'assurer ici, c'est la justice et l'équité pour les personnes qui ont été condamnées pour une infraction qui n'existe plus, alors il n'est certainement pas nécessaire de leur faire franchir les mêmes obstacles, moins les frais et le processus d'approbation. Nous devons maintenir le processus pour les personnes condamnées pour des infractions qui existent encore.

N'oubliez pas que ce n'est plus un crime, alors, à mon avis, le gouvernement devrait faire tout ce qu'il peut pour lever chaque obstacle auquel se heurte une personne et chaque fardeau qu'elle doit porter pour avoir fait quelque chose qui n'est plus illégal.

Le président:

Avant que je lève la séance, avez-vous une observation concernant une personne qui a écopé de plusieurs condamnations pour possession de cannabis au fil des ans? Faut-il présenter une demande pour toutes ces condamnations, ou en déposer une pour chaque condamnation?

M. Solomon Friedman:

À mon avis, cela devrait se faire automatiquement. Si vous voulez mettre en place un processus de demande, alors il devrait s'agir d'une demande pour toutes les condamnations. Cela devrait s'appliquer aux gens, peu importe leurs autres antécédents. Ces condamnations, selon moi, devraient simplement disparaître.

Le président:

Sur ce, la séance est levée.

Merci.

Hansard Hansard

committee hansard secu 37087 words - whole entry and permanent link. Posted at 22:44 on May 01, 2019

2019-04-29 SECU 158

Standing Committee on Public Safety and National Security

(1530)

[English]

The Chair (Hon. John McKay (Scarborough—Guildwood, Lib.)):

I am calling this meeting to order.

I see that the minister has his coffee, so clearly he is ready to provide his testimony.

This is the 158th meeting of the Standing Committee on Public Safety, and pursuant to Standing Order 108(2), we are studying the subject matter of Bill C-93, an act to provide no-cost, expedited record suspensions for simple possession of cannabis.

With that, I want to welcome the minister on behalf of the committee, and I would anticipate that he will introduce his colleagues.

Hon. Ralph Goodale (Minister of Public Safety and Emergency Preparedness):

Thank you, Mr. Chairman, and good afternoon, once again, to the committee.

I am glad for the opportunity to discuss Bill C-93 this afternoon, legislation that will make it much easier for people convicted of simple possession of cannabis to clear their records and move on with their lives.

I am pleased, Mr. Chair, to be joined by Angela Connidis, from the Department of Public Safety; Ian Broom, who is with the Parole Board of Canada; and Jennifer Gates-Flaherty, who deals with criminal records at the RCMP.[Translation]

In the old system, when cannabis was illegal, Canadians were among the biggest, and youngest, consumers of cannabis in the world, to the delight of criminal organizations. Last autumn, we fulfilled our commitment to put an end to that ineffective and counterproductive ban.

However, a number of Canadians still have a criminal record for simple possession of cannabis. With Bill C-93, they will be able to rid themselves of it expeditiously. [English]

For people convicted solely of possessing cannabis for personal use, this legislation will simplify the process of getting a pardon in several ways. Ordinarily, applicants would have to pay a fee to the Parole Board of $631. We are eliminating that fee entirely for these purposes. Applicants also face a waiting period of up to 10 years to become eligible under the usual system, and we are getting rid of that waiting period too.

As the law currently stands, the Parole Board can deny applications based on a variety of subjective factors, such as whether a pardon would provide the applicant with a “measurable benefit”. Under Bill C-93, such factors would not be considered in the context of this legislation. In addition to the measures in the bill, the Parole Board is taking further steps, such as simplifying the application form, creating a 1-800 number and an email address to help people with their applications, and developing a community outreach strategy to encourage as many people as possible to take advantage of this new process.

We're doing all this in recognition of the fact that the criminalization of cannabis had a disproportionate impact on certain Canadians—notably, members of black and indigenous communities. We are doing it because we will all benefit when people with criminal records for nothing more than simple possession of cannabis can get an education and a job, find a place to live, volunteer at their kids' schools and generally contribute more fully to Canadian life. They are impeded in doing those things because of that criminal record.

There were several points raised about the bill during second reading debate and in public discussion that I would like to address. Let me say also that I certainly commend the committee for taking the initiative of holding these hearings with respect to Bill C-93 to do a prestudy and to deal with this matter in as expeditious a manner as possible.

First, there is the question of why we're proposing an application-based system instead of pardoning people's records generically and proactively as has been done, for example, in certain municipalities in California. Unfortunately, doing that same thing in Canada on a national scale is simply a practical impossibility.

For one thing, Canadian conviction records don't generally say “cannabis possession”. That's not the language that's used in the records. They say something like “possession of a schedule II substance,” and then you have to check police and court documents to find out what the particular substance was. The blanket, generic approach is not all that obvious, given the way that charges are entered and records are kept in the Canadian system. Doing this for every drug possession charge that potentially involves cannabis would be a considerable undertaking, even if all the documents were in one central computer database.

(1535)



In reality, that is not the case in Canada. Many of these paper records are kept in boxes in the basements of courthouses and police stations in cities and towns across the country. It's not as simple as just pushing a button on a computer. We could start the process today, but people would still be waiting for their records to be cleared years from now because of the way those records are retained. By contrast, when someone submits an application for a pardon under the provisions that we're proposing in Bill C-93, Parole Board officials can zero in on the relevant documents right away, and the person can get their pardon much faster.

Another question raised at second reading was about the appropriateness of waiving the fee. There was concern that taxpayers would be footing the bill for people who broke the law.

The fact is that if we don't waive the fee, wealthy Canadians with cannabis possession convictions will be able to get their pardons quite easily, but lower-income people will remain saddled with the criminal record and the stigma. Many people with records for cannabis possession don't have that spare $631 lying about. They need the pardon to get a job and earn a paycheque. It's a bit of a vicious circle. Also, waiving the fee is a good investment. A person who gets a pardon is better able to get an education and a job, and contribute to their community in all sorts of ways, including by paying taxes.

Finally, there's the question of why we are proposing an expedited pardons process rather than expungement. I would remind the committee that expungement is a concept that did not exist in Canadian law until we created it last year to destroy the conviction records of people who were criminalized simply for being gay. In those cases, the law itself was a patently unconstitutional violation of fundamental rights and the convictions that flowed from it were never legitimate in the first place.

The prohibition of cannabis on the other hand was not unconstitutional. It was just bad public policy. There is no doubt though that the manner in which it was applied disproportionately impacted certain groups within our society, particularly black and indigenous Canadians among others. That's why we're proposing to waive the fee and the waiting period, and to take numerous other steps to make getting a pardon for cannabis possession much faster and much easier.

As for the practical effects of pardons as opposed to expungement, criminal record checks come up empty in both cases. The effect of a pardon is protected by the Canadian Human Rights Act, and pardons are almost always permanent. Since 1970, more than half a million pardons have been issued and 95% of them are still in force today.

It's important not to minimize the effect of a pardon. Some of the debate in the House has made it sound as though a pardon is an insignificant thing. It's worth remembering that when this committee studied the pardon system in the fall, it heard from witnesses who emphasized just how consequential a pardon can be.

Louise Lafond, from the Elizabeth Fry Society, testified that a pardon is “like being able to turn that page over” and allow people to “to pursue paths that were closed to them.”

Catherine Latimer, from the John Howard Society, testified that pardons “allow the person to be restored to the community, as a contributing member without the continuing penalization of the past wrong.”

Rodney Small testified that for years he wanted to apply to law school, but couldn't for want of a pardon.

In other words, making pardons more accessible, with no fee and no waiting period, will have life-changing impacts for people dealing with the burden and the stigma of a criminal record for cannabis possession. We will all reap the benefits of having those people contribute more fully to their communities and to Canada as a whole.

(1540)



Thank you, Mr. Chairman, for your attention. I'd be happy, along with my colleagues from the various departments and agencies here, to try to answer your questions.

The Chair:

Thank you, Minister.

With that we go to Ms. Sahota for seven minutes, please.

Ms. Ruby Sahota (Brampton North, Lib.):

Thank you, Chair.

Thank you, Minister, and thank you, everyone, for being here today.

My first question is going to be along the lines of what you just finished with: the productivity increase.

There has been a lot of argument or debate on the issue of whether taxpayers should be footing the bill for the cost of all of these pardons. I'd like to hear a little more about what you think the cost might be and what tax revenues or benefits we may see as a result of people receiving these pardons.

Hon. Ralph Goodale:

Obviously, on the cost side of the equation, Ms. Sahota, it will depend exactly on how many people come forward and apply. Based on the best calculations the department can do, cost estimates have been made. My understanding is that the department expects a cost factor of about $2.5 million over a period of time to process the paperwork that's involved to do the necessary investigation.

That would relieve the burden of a criminal record on several thousand individuals. If they're able to get a better job or get a job at all or find themselves in the position of paying taxes for the first time, if that has been their life experience up to then, obviously it wouldn't take society very long to recover the cost. It would end a discriminatory practice that is now really quite out of sync or out of whack because the whole legal regime around cannabis changed last fall. Last fall we stopped the process of criminalizing people for simple possession moving forward. This is an effort at simple fairness to try to rectify the situation as much as that is humanly possible with respect to those who have a record of simple possession that has been impeding their ability to be as productive in society as they would like to be.

Ms. Ruby Sahota:

As you know, and as you've referenced in your introductory remarks, there's been a lot of debate about providing pardons over expungement. Are there any benefits that you can see, other than the ones you've pointed to, of pardons over expungement?

I know that our parliamentary secretary mentioned some in the debate in the House regarding crossing the border into the U.S. and prior records the border services there might have on a person and any others you might see. Why is this the step you and your department have chosen to take?

Hon. Ralph Goodale:

We've thought this through extensively and had a very good internal discussion about the various alternatives for trying to deal with the issue we're advancing here. As a result of weighing all of the pros and cons of one technique versus another, I think there are six factors that argue in favour of the route that we've laid out in Bill C-93.

Number one, the pardon process is the most efficient process from the point of view of the Parole Board. It is the least expensive and can be done faster than the other alternatives. Therefore, efficiency is one of the arguments.

Number two, it's a very simple piece of legislation. Bill C-93 is not hundreds of pages. It's four or five pages. It's very simple, but we're able to accomplish two important objectives that recognize the unfairness of the situation that we're trying to correct: There's no fee and there is no wait time. That can be done in a very simple way by means of this legislation.

Number three, this approach deals with the reality of how records have been historically kept in this country in a very dispersed manner. They are not all contained in one comprehensive database where you can simply push a button and instantly alter the whole thing by one keystroke. By setting up the system that we're setting up—where people make an application—the system can deal with the reality of how records are kept.

Number four, it's an effective remedy. As I mentioned in my remarks, of all the pardons that have been issued in this country since 1970, 95% of them are still in effect today. It's the rare case when a record suspension is set aside and the record is reopened—in cases only where another criminal offence has been committed, for example. The statistics would verify that the remedy is effective.

Number five, a pardon is fully protected by the Canadian Human Rights Act, which specifies, in section 2, that the existence of a criminal record cannot be used as a form of discrimination if a pardon has been granted. Interestingly enough, because the concept of expungement didn't exist at the time the Canadian Human Rights Act was written, there's no reference in the human rights act to expungement, but there is explicitly to the pardon process.

Number six, finally, is at the border. Because of the extensive information-sharing arrangements between Canada and the United States, U.S. border officers would have access from time to time to Canadian criminal records. They would make their own extraction from those criminal records.

Assume that a person with a conviction for simple possession of cannabis had their record expunged. They go to the border. The U.S. border officer asks them the cannabis question and they say “no,” as they would be entitled to do under Canadian law under expungement. But the American border officer, looking at his computer, sees that this person, in fact, did have a conviction for simple possession. Then the U.S. border officer would probably come to the conclusion that they're lying to him, which raises a very serious predicament at the border. The Canadian would say, “No, no, I've had an expungement.” The U.S. border officer would say, “Prove it.” You can't, because the paper doesn't exist. But if you have a record suspension or a pardon, you are able to prove your status in confronting the predicament at the border.

(1545)

The Chair:

We're going to have to leave that important answer to that important question and go to Mr. Paul-Hus.[Translation]

The floor is yours for seven minutes.

Mr. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, CPC):

Thank you, Mr. Chair.

Good afternoon, Mr. Minister.

First of all, I want to say that we are ready to support Bill C-93 at second reading, as we previously announced. However, the work of the committee will provide the response to the next stage.

One of our causes for doubt is the way in which Bill C-45, the legalization of marijuana, has been handled. It was rushed into place to fulfill a campaign promise by the Prime Minister. No one listened to educational experts or the police. No one educated our young people.

Today, six months later, we are already seeing that the basic idea, to get organized crime out of the cannabis market, is not working. Everyone is laughing at the government. Organized crime continues to sell cannabis, and now people are walking round with illegal marijuana with no fear of being caught.

That makes us skeptical of the way in which you want to implement Bill C-93.

One of the topics I would like to discuss with you is the process.

We know that the police often negotiate with people. When they are arrested, some people may have committed other, more serious offences. But the police can choose to charge them with marijuana possession because the consequences for them are less serious. Those kinds of negotiations go on.

Now that cannabis is legal, how are we going to make it so that people who have committed more serious crimes, but have the opportunity to get out of them by being convicted only of marijuana possession, do not slip through the net by applying for a pardon? They have other problems. We do not want this to be a free pass for everyone.

What will the process be?

(1550)

[English]

Hon. Ralph Goodale:

First of all, Mr. Paul-Hus, thank you for indicating your support at second reading. I hope the discussion in committee and elsewhere can give you the reassurance you need.

I have discussed the new cannabis legislation with a number of different police officers and police chiefs across the country. The vast majority of them have indicated to me—sometimes fulfilling what they had expected and sometimes, perhaps, surprising them—that over the course of the last number of months in which the overall legal framework with respect to cannabis has been changed, their experience in terms of law enforcement has been quite positive. They haven't seen a spike in behaviour that would cause them to be concerned.

Now, granted, it's still early days. It's been barely six months, but they're learning as they go along. They're indicating, by and large, a pretty positive experience with the new legislation.

With respect to the precise point you raised, this legislation, Bill C-93, deals with the reality of what a person was charged with. If they were charged with simple possession of cannabis or simple possession of a substance in schedule II—if that is the offence that's in the application and before the Parole Board—then this legislation applies.

Individuals with more complicated criminal records would generally not be able to take advantage of the provisions of this law. They would have to go through the normal process. For the offence of simple possession of cannabis, Bill C-93 would apply. [Translation]

Mr. Pierre Paul-Hus:

In other words, only people with a record for simple possession of cannabis will come under Bill C-93 and will be able to apply for a pardon at no cost. However, people with a more complex criminal record will have to go through the process and pay the fees.

Will that be any different? [English]

Hon. Ralph Goodale:

Angela would like to comment on that, Mr. Paul-Hus.

Ms. Angela Connidis (Director General, Crime Prevention, Corrections and Criminal Justice Directorate, Department of Public Safety and Emergency Preparedness):

People who have other offences on their records, aside from or in addition to possession of cannabis, will be required to pay the full fee and to fulfill the wait periods associated with those offences on their records. As the minister said, if their only offence is for possession of cannabis, and that might have been due to plea bargaining, as you mentioned, we are only reacting to the convictions that are on their records. We do not know if they would even have been convicted of any other offences. It's not really our place to second-guess what a court would have done. [Translation]

Mr. Pierre Paul-Hus:

Thank you.

Mr. Minister, you mentioned discussions with police groups, but we have not heard a word about any previous consultations with other groups. Have you consulted with any groups in particular? [English]

Hon. Ralph Goodale:

With respect to Bill C-93, or...?

Mr. Pierre Paul-Hus:

Yes.

Hon. Ralph Goodale:

As I recall, Mr. Paul-Hus, the consultation was responsive. In other words, once Bill C-45 was enacted.... Indeed, for a number of months before it finished its parliamentary course and became law, there were large numbers of Canadians—in the general public, in the media, a good many members of Parliament and it came up in question period—who were making the case that upon the change of the legal regime in Bill C-45 the issue of criminal records needed to be dealt with.

Therefore, in the course of our work on Bill C-45, we began considering the alternatives for how you could respond to the criminal records issue in a way that was fair and equitable, effective and efficient. It was really in response to what appeared to be a very broad public consensus. We brought forward the legislation. It would seem to be contradictory to change the law in Bill C-45 but not deal with the issue of previously existing records. That was the very broad public comment that we responded to.

(1555)

The Chair:

Thank you, Mr. Paul-Hus, and thank you, Minister, for the fulsome answer.

Mr. Dubé, you have seven minutes.

Mr. Matthew Dubé (Beloeil—Chambly, NDP):

Thank you, Chair.

Thank you, Minister, for being here with your officials.

I have two quick things I want to get on the record before I get to my question.

The first is that I appreciate your use of the word “pardon”, and I wish that your appreciation of the word had led to actually putting it back to “pardon” in the law, as opposed to “record suspension”, which is something we discussed when the committee did that study. But we are in the eleventh hour of this Parliament, so unfortunately I'm not going to hold my breath for that.

The other thing is about the John Howard Society. You quoted Catherine Latimer's testimony from the study we did on the pardon issue. I want to say that on this particular issue.... You're obviously familiar with my colleague Murray Rankin's bill, which favours expungement. The John Howard Society did say, in a Twitter exchange on the said bill when it was being debated, “Agreed. Time to expunge criminal records for cannabis possession-not criminal: end punishment.”

I didn't want to mis-characterize what the John Howard Society thought on this particular issue, given that we're kind of mixing the study this committee did on record suspension with this issue.

I want to go back.... The whole debate between your position in Bill C-93 and what our party is calling for in expungement is couched in the notion of historical injustice. There's no actual precedent for that. There's no legal obligation. This seem to just be something that the government has used rhetorically. When I asked the Prime Minister about it in the House after legalization occurred, I raised, among other things, that in Regina indigenous people were almost nine times more likely to be arrested for cannabis possession. In Halifax, black people were five times more likely to be arrested for cannabis possession. In Toronto, black people with no other criminal convictions were three times more likely to be arrested for cannabis possession.

Just before I get to my question and hear your answer, Minister, I want to quote Kent Roach, who of course you know very well, who says, “The history of miscarriages of justices in this country should not be equated with laws that would now violate the Charter. The Charter is the minimum not the maximum in terms of our sense of justice.”

Are you saying, unlike what Mr. Roach is saying, that your government doesn't believe that that horrendous overrepresentation of indigenous and black Canadians, among others, of course, from minorities, is not an injustice?

Hon. Ralph Goodale:

To the contrary, Mr. Dubé, in my remarks I indicated very clearly that the way the previous cannabis laws had been applied to a number of marginalized groups within our society has been patently unfair and has impinged upon them in a way that we need to address.

Mr. Matthew Dubé:

Minister, I understand that.

Hon. Ralph Goodale:

We're addressing it by eliminating the fee and eliminating the waiting period.

Mr. Matthew Dubé:

What I'm saying is that when I asked the Prime Minister in the House about this issue, and when I've asked you about it, the response was unlike, for example, the issue of the criminal records that were given to LGBTQ2 Canadians. On those we were specifically told that their records were allowed to be expunged because that was a historical injustice. Why not expunge the records of these Canadians? It seems pretty clear. I'm going to quote Minister Blair. In 2016, he said, “One of the great injustices in this country is the disparity and the disproportionality of the enforcement of these laws and the impact it has on minority communities, Aboriginal communities and those in our most vulnerable neighbourhoods.”

Why the disparity between one issue and another, beyond the fact that your government seems to have defined “historical injustice” in a rhetorical sense, when there's no actual legal or other precedent basis for it?

(1600)

Hon. Ralph Goodale:

The technical distinction in the law would be—

Mr. Matthew Dubé:

For historical injustice, you're just making this up.

Hon. Ralph Goodale:

No, I'm not. In the case of the laws as they pertained to the gay community in this country, the law itself was a fundamental violation of human rights. In the case of the—

Mr. Matthew Dubé:

Minister, we agree on this, but if you go to what Mr. Roach said, when he said the charter is the minimum, you're using the charter as your basis. Would you not agree that those indigenous, black and other Canadians who have been absurdly disproportionately affected by this law are themselves victims of a historical injustice and their records deserve to be expunged?

Hon. Ralph Goodale:

They have been treated unfairly in the way the law was applied. That law, when it was in effect, was not unconstitutional, but it was applied unfairly in respect to a number of marginalized groups within our society. We are recognizing that by eliminating the fee, expediting the process, ending the waiting period and making sure that they can get that burden off their record in the most expeditious and cost-effective manner possible.

Mr. Matthew Dubé:

It seems clear, Minister, that we disagree on this.

With the minute and a half I have left, I just want to go to your comments. It almost sounded like the implication was that because you don't know what a schedule II possession offence is, that's why it was better to have the applicants apply rather than doing it automatically. It almost seems like the burden's being put, again, on these individuals.

Just in that context, when you look at Bill C-66, to return to that other issue, seven people out of 9,000 have actually applied. Is there not a recognition on the government's part that it would just be better to make it automatic? It's pretty apparent that Canadians who are already marginalized might not be in a position to take advantage of this, as was the case in San Francisco, where only 23 of 9,400 people took advantage of their opportunity to seek pardons for cannabis possession.

Hon. Ralph Goodale:

You and I absolutely agree, Mr. Dubé. I think, from what I hear, most people around this table, perhaps most people in the House—hopefully—would agree that if you could accomplish expungement in some kind of automated manner, simply by pushing a button, and abracadabra, the records would disappear—

Mr. Matthew Dubé:

If the staff are going to go through it anyway, why not just go through it?

Hon. Ralph Goodale:

They don't disappear until you take the mechanical step of getting the record eliminated.

Mr. Matthew Dubé:

Why not have your department do the mechanical step and make it automatic within the department, rather than having these individuals apply and still have to go through the process, if they're even aware of it to begin with?

Hon. Ralph Goodale:

It's a far more efficient and cost-effective way to base it on applications.

Mr. Matthew Dubé:

You're putting the burden on Canadians. That's why it's more efficient.

Hon. Ralph Goodale:

The reality, Mr. Dubé, is that doing it the other way around would, quite frankly, take decades, and people would be denied a process that they could apply for and get done very quickly.

The Chair:

Thank you, Mr. Dubé.

Mr. Graham, you have seven minutes, please.

Mr. David de Burgh Graham (Laurentides—Labelle, Lib.):

Thank you.

In your opening comments, Minister, you talked about the application. I'm wondering how long it takes to process an application once it's submitted, mechanically.

Hon. Ralph Goodale:

Ian, can you comment on that?

Mr. Ian Broom (Acting Director General, Policy and Operations, Parole Board of Canada):

Sure.

Hon. Ralph Goodale:

Mr. Broom is with the Parole Board. They're the ones who will do the paperwork.

Mr. Ian Broom:

I would start by saying that with the $631 application fee as it currently exists for record suspensions, there are service standards in place, so it would be, say, six months for a summary conviction and 12 months for an indictment.

With the proposal being discussed here with Bill C-93, it is fundamentally different because there is no fee, whereas under the current scheme there's the $631 fee. Also, there is no longer a board member decision involved. It has become an administrative decision. It is actually staff members who are determining eligibility based on the documents that have been provided through the application process. Then from that, the record suspension would be granted.

The other point about this in terms of how quickly it would happen is that, while there is no service standard that would be attached to the scheme as described under Bill C-93, we would expect that it would be an expedited process. Because it's an administrative process, it would move more quickly.

I can't give any exact metrics because we would have to see the volumes before we could fully assess, but we certainly will have the staff in place and the resources in place at the point that this legislation would come into force.

(1605)

Hon. Ralph Goodale:

I would add, Mr. Graham, that one of the critical points there is that this is a mechanical, administrative process based on the record. It's not a case where a member of the Parole Board would need to arbitrate or make a judgment call. If the application indicates the facts that comply with the act, then administratively the decision is made, which means it's much quicker than an adjudicative process.

Mr. David de Burgh Graham:

Right, but I was wondering if I were submitting an application, as an example, would it take a week, a month or a year to get that paper saying I have my pardon.

Just for the record, I don't have a record.

Hon. Ralph Goodale:

Broadly speaking, Ian....

Mr. Ian Broom:

Broadly speaking, I am reluctant to give a particular amount of time. Again, I think we would have to assess the volumes we have. There are thousands of applications that come in each year, but certainly it would fall well below the accepted service standards that are put in place for the summary and indictment schemes. To give an actual solid estimate.... Again, until we start assessing the volumes that come in, I would be very reluctant to give a number around that.

Mr. David de Burgh Graham:

Thanks.

In your comments, you discussed the Kafkaesque experience of crossing the U.S. border with an expungement. Could you expand on that a bit? In some places, especially at the U.S. border, they don't ask you if you have a conviction or a pardon. They ask you whether you have ever been arrested.

Does this have any impact on that?

Hon. Ralph Goodale:

The reality is that they are in charge of their entrance rules for crossing into the United States, so the Americans will make their decision on who's eligible to come in and who is not.

The point I was making in my remarks is that if there's a dispute that you run into at the border, you're in a better position to explain yourself if you have a piece of paper that lays out your status on the Canadian side as opposed to not being able to at all contest the impression of the U.S. border officer, which may be “you're lying to me”. One of the most difficult circumstances a person will face in crossing the border is when the officer on the other side thinks they are dealing with a liar. That's the problem that having a piece of paper to explain your status would help you address.

Mr. David de Burgh Graham:

You mentioned that 95% of pardons over the last 40-odd years are still in force. Can you give us some sense of why the 5% aren't?

Hon. Ralph Goodale:

The most common reason that the Minister of Public Safety would open a record is that a person is charged with a subsequent offence. That is the most common circumstance where the existence of the record becomes relevant to their current situation.

Ian, did you have something to add on that?

Mr. Ian Broom:

No, that's definitely the case. If we were looking at pardons that would not continue to be in place, it would either be a situation involving good conduct, but most often, it would be a new conviction.

Mr. David de Burgh Graham:

When someone makes an application, if they have a simple possession, is there any circumstance where the pardon would not be granted?

Hon. Ralph Goodale:

If an individual meets the requirements laid out in the act...and the Parole Board, as I understand it, is going to be publishing a how-to guide that will be available on the Internet to explain it to people. As there is now for applying for a pardon in the normal way, there will be detailed explanations and the application form.

Presuming that the applicant has submitted a complete application with all the relevant information, then it is simply an administrative decision of whether it has accomplished all the objectives of the act and there's no subjective judgment call to be made in those circumstances. That's why it's faster.

(1610)

Mr. David de Burgh Graham:

Thank you. I think my time is up.

The Chair:

Thank you, Mr. Graham.

Mr. Motz, you have five minutes, please.

Mr. Glen Motz (Medicine Hat—Cardston—Warner, CPC):

Thank you, Chair.

Thank you, Minister Goodale, for being here today.

My colleague Ms. Sahota asked about costing and you estimated, or your official suggested—and of course, it depends on the number of people who apply, that you were anticipating about $2.5 million over the coming years to process the paperwork of several thousand individuals. That's the term that was used.

If the cost of a record suspension is around $600 now, that's fewer than 4,000 people. I'm sure your officials have an estimate of how many people you're anticipating will apply for this.

Hon. Ralph Goodale:

As you know, Mr. Motz, predicting these things is difficult, because you don't know exactly what the uptake will be. That cost estimate is related to processing approximately 10,000 applications by the simplified methodology that we were just discussing.

Mr. Glen Motz:

How do you plan to cover this cost? Will this come out of an existing budget line? Will it be added to a deficit of a department? How do you anticipate that you will be paying for this?

Hon. Ralph Goodale:

The $2.5 million...?

Mr. Glen Motz:

I mean the whole amount, the cost of this, whether it's $2.5 million or more.

Hon. Ralph Goodale:

We anticipate the cost of the program will be $2.5 million. It will be coming through the normal estimates process, which would have to be approved by Parliament.

Mr. Glen Motz:

Will you undertake to have your officials provide a cost analysis to the committee prior to our passing this, or amending things at the committee?

Hon. Ralph Goodale:

I would think we could provide you with the analysis, Mr. Motz, to show how we arrive at the arithmetic.

Mr. Glen Motz:

Is there currently a mechanism to levy sales from the current legalization of cannabis to potentially pay for this, as opposed to this being a taxpayer expense? Is that considered, or would you consider it if it hasn't been considered?

Hon. Ralph Goodale:

Mr. Motz, in a way what you're suggesting is linking two disconnected things. First is the accumulation of old records, which are a burden and cast a stigma on people and which, I guess, now is considered to be particularly inappropriate because the whole legal regime has changed. The new regime, with its revenue-generating capacity, would have nothing to do directly with the pre-existence of those records.

They're two separate issues, but the cost of this would come out of the general revenues of the government—

Mr. Glen Motz:

That's fair enough.

Hon. Ralph Goodale:

—which will be augmented by the fact there there is now, or will be, a revenue stream flowing from....

Mr. Glen Motz:

But as the Minister of Public Safety you can't go to general revenues and get more money.

Hon. Ralph Goodale:

Yes, I can.

Mr. Glen Motz:

Not in the way you're considering, that just because your sales of marijuana go into general revenues you're now going to access that extra money to pay for this. I guess what I'm getting at is—

Hon. Ralph Goodale:

You're right. Whatever the government earns from the revenue from cannabis goes into the general revenue fund. That's correct.

Mr. Glen Motz:

All I'm getting at is that a large portion of the Canadian population is under the impression that this should not be a taxpayer-funded process, so any mechanism that's in place to do that.... I'm also curious to know whether there's some consideration to this legislation allowing individuals to apply through this process, expediting record suspensions and jumping the queue for those who apply for the normal process. They apply, they pay their fees and they wait for that process.

Will there be any impact on the normal record suspension process that exists now? How do we guarantee that? We're using the same staff, unless we add more staff.

(1615)

Hon. Ralph Goodale:

The process is different in the sense that those people who have more complicated records would need to go through the normal process, which involves the engagement of a member of the Parole Board. Under Bill C-93, dealing exclusively with simple possession of cannabis is an administrative function for staff to manage and there is a separate financial allotment to make sure we have the personnel in place to handle that administrative function without impinging on the other important work that the Parole Board has to do.

The Chair:

Thank you, Mr. Motz.

Mr. Picard, you have five minutes, please. [Translation]

Mr. Michel Picard (Montarville, Lib.):

Thank you, Mr. Chair.

To start with, I would like to turn to the minister and the officials from the department and the other agencies. The subject is the American border.

But first, let me ask this. I assume that American customs employees have access to Canadian data through the CPIC, the Canadian Police Information Centre.[English]

Are they using the CPIC database to look at the cases?

Hon. Ralph Goodale:

Could I ask our RCMP expert to explain how that information is available at the border?

Ms. Jennifer Gates-Flaherty (Director General, Canadian Criminal Real Time Identification Services, Royal Canadian Mounted Police):

Yes, you're correct. There is an agreement in place between the RCMP and the FBI to exchange information in a limited sense through the CPIC interface so that when people are crossing the border, if there's information in the system, they are able to view that.

In the context of a record suspension, that information is sequestered so it is not available. No one is able to view it in the system once it's been sequestered during that process. [Translation]

Mr. Michel Picard:

Do you know how long the Americans keep information?

When someone receives a pardon, his or her file is wiped clean immediately, meaning that the next time anyone looks, there is no trace. However, the Americans probably keep the information for longer, unless you are telling me that they consult the database regularly and that they receive information as quickly as Canadians do and so have up-to-date information. That would avoid situations where, for example, an American customs officer might think that someone lied because his file contains old records.

Are people's files kept sufficiently up to date to prevent old data from accumulating in the American system? [English]

Hon. Ralph Goodale:

That is exactly the predicament I was referring to that could cause an embarrassing and potentially difficult situation for a Canadian at the border. If the Americans have, in their records, information that they acquired a number of years ago, and subsequently that particular individual received a pardon, there could well be a conflict, on the face of the record, between what the American records show from historical data compared with what the facts are at the current moment. It would be useful to the Canadian to be able to say, “I can verify what my status is”, which you could do with a record suspension and you could not do with an expungement.

In terms of the exact retention period, I will see if I can get a precise answer from the Americans to answer your question. I suspect they retain previous information for quite some time, but I'll see if I can get a reading from American officials on how long they keep it.

Mr. Michel Picard:

That's what I'm afraid of, yes.

Hon. Ralph Goodale:

Exactly.

Mr. Michel Picard:

I know. It's the old story.

The issue is that the Americans might ask you whether or not you've had a criminal record.[Translation]

However, at customs, they are not necessarily trying to find out whether a person has a criminal record. That is the peculiar thing. They are trying to find out whether that person has used marijuana, because the American do not always see as legal in their country what we see as legal in ours.

We have to tell those Canadians interested in the matter that, although this is an innovation that is more than justified in Canada, it does not guarantee a problem-free open door to the United States, because of the nature of the use.

(1620)

[English]

Hon. Ralph Goodale:

That's exactly right, Monsieur Picard.

I know it's cold comfort, but there's an example that shows this issue works both ways. In the United States, an impaired driving charge is not a criminal offence. In Canada, it is viewed as a criminal offence. An American coming into Canada with a DWI can, in fact, be denied access to Canada on the basis of that charge. It's a point of some considerable contention with some on the American side that Canadians view this offence with a substantially more serious eye than apparently it is treated under the law in the United States. It works both ways.

Mr. Michel Picard:

Thank you.

The Chair:

Thank you, Mr. Picard.

Mr. Eglinski, you have five minutes, please.

Mr. Jim Eglinski (Yellowhead, CPC):

Thank you.

Mr. Broom, once a person applies for a simple possession pardon—or whatever we're going to call it—and you've looked at it, what do you do? How do you get rid of it?

Mr. Ian Broom:

I'm not sure I follow the question.

Mr. Jim Eglinski:

A guy goes through the whole process. You have the document in front of you and you feel it's justified. What do you do?

Mr. Ian Broom:

If an applicant submits the required documents that demonstrate that they've satisfied—

Mr. Jim Eglinski:

No, I've already said that. You're wasting time.

Everything is good. How do you get rid of the record?

Mr. Ian Broom:

We would then issue the record suspension and we would contact the RCMP, and then the RCMP would remove it from the CPIC record. My colleague could confirm—

Mr. Jim Eglinski:

You're talking about a mechanical thing. The minister spoke about a mechanical thing.

Why couldn't you sit down with 100 people and go through the criminal records in Canada, take those things, send them to the RCMP and tell them to get rid of them? You're saying it's simple possession, but you're getting yourself a nightmare of paperwork in looking at each one, forcing Canadians to put an application in, when all you have to do is a simple mechanical thing that you said couldn't be done. You contact the RCMP and you get rid of them.

Why are we going through a process asking Canadians to go through the hurdle again?

Mr. Ian Broom:

As the minister alluded to earlier, if it were possible to do that, that would be fantastic. I think the issue we're faced with is not having a particular offence that's simple possession of cannabis. For example, we need to have the CPIC record, which is verified by fingerprints, so we know the right person is applying. If it's, let's say, a summary conviction, it may not end up in the CPIC repository.

We also need to receive court information, which would verify whether or not the sentence has been completed, the fines paid, etc. Unfortunately, those holdings are in provincial courthouses in various means of storage. I think, as we pointed out, we do require these documents simply because they are not all available to us.

As you were suggesting, if people were to proactively try to gather them, we wouldn't necessarily know where to send them and then if we did, there would be various types of research expeditions—

Mr. Jim Eglinski:

You're telling me the system really isn't going to change very much because you still have to do your CPIC check, your investigation, other things. What's changing from the way it is right now?

Hon. Ralph Goodale:

There's no fee and there's no wait period. A person can apply and, assuming they present all the information that satisfies the application form—

Mr. Jim Eglinski:

But Mr. Minister, he says now he's going to check CPIC. They're going to have to check their records to make sure that the—

Hon. Ralph Goodale:

That's if we do it your way, Mr. Eglinski. That's if we did it your way.

If you were to say to the Parole Board, “Okay, you identify all the simple possession records in the country and wave your magic wand and make them go away”, then quite frankly, you'd be searching through the boxes and the records in courthouses and police stations across the country. It would be huge administrative task to ask the Parole Board to undertake that in just a holus-bolus manner. It would be very expensive.

(1625)

Mr. Jim Eglinski:

All right.

The question I'd like to ask the minister is this: Is anyone from your department going to check with our American counterparts?

As brought up by my colleagues across from me, they will choose the wording, whether it's “Were you ever arrested?” or “Were you ever in possession?” It's about having some type of agreement because once I say the wrong thing at the border, they're not going to let me across. Even if I have a little piece of paper from your department, I'm doomed as soon as I'm caught on that wording.

Hon. Ralph Goodale:

If they think they're dealing with a person who's not telling them the truth...and that works both ways, in terms of what direction you're moving across the border.

Mr. Eglinski, the reality is that the Americans make the rules about access to their country and they administer those rules. Officials on our side of the border, the Canada Border Services Agency in particular, are in constant dialogue with the Americans about making the border experience as predictable and positive as it can be for travellers in both directions because a thin efficient border that is safe and secure is in everybody's national interest on both sides of the border. They have indicated to us in response to our constant dialogue about the cannabis issue and the impacts at the border....

We all know that moving in either direction, whether you're moving from Canada to the United States or the United States to Canada, if you're taking cannabis across the border, that's illegal. They have said that they do not intend to change their questionnaire at the border unless they have grounds to be suspicious. The experience so far in the first several months of the new law is that the experience at the border has not fundamentally changed.

The Chair:

Thank you, Mr. Eglinski.

Ms. Dabrusin, you have the final four minutes.

Ms. Julie Dabrusin (Toronto—Danforth, Lib.):

Did you say four?

The Chair:

I said four. It's really three and a half.

Ms. Julie Dabrusin:

Okay, I'm just going to get to the question then.

Mr. Minister, in your opening you referenced a study that we did on record suspensions generally. That was a unanimous report in fact from this committee and it was really wonderful to see everyone come together. Recommendation (c) was that “That the Government review the complexity of the record suspension process and consider other measures that could be put in place to support applicants through the record suspension process and make it more accessible”. One of the reasons that was made as a recommendation was that we heard from many witnesses about how the process, the forms themselves, was complicated.

Now that we have a simplified form for this specific process and we have a simplified process it appears, is there something we're putting in place to learn from that so that perhaps we can apply it when we're looking at record suspensions generally?

Hon. Ralph Goodale:

This experience with the results of Bill C-93 will undoubtedly be very informative from a public policy point of view and from a public administration point of view, so, yes, I think there could well be important lessons to be learned from how this process goes that may be applicable to other issues in relation to record suspensions.

The one thing, though, to remember is that this is largely an administrative process. If all of the technical criteria are met, then the granting of the record suspension is an automatic administrative function.

In the case of record suspensions more broadly in other cases unrelated to cannabis, there would be judgment factors and subjective factors that members of the Parole Board, not just the administrative staff, would need to be involved in. That makes the broad question of record suspensions more complex than what we're dealing with under Bill C-93. But on your basic point of can we learn from what we're doing under Bill C-93 and make improvements in the broad application of the record suspension process, I hope that is the case. We'll certainly be looking to collect those lessons and apply them wherever possible.

(1630)

Ms. Julie Dabrusin:

Thank you.

The other thing is that we've heard in the House, and even here today, about waiving the cost of the record suspension program. The cost to taxpayers is referenced as a problem, but when we did our study, in fact, one of the recommendations in our unanimous report was to reconsider the fees that we apply to record suspensions. I remember that we heard testimony from some of the witnesses as to the value that we get back when people have their records waived. It's a fact that a record suspension can save money because people are able to go into the workforce and the like.

Do you know about any of that information? What do we save by actually allowing someone to have a record suspension?

Hon. Ralph Goodale:

It's probably difficult to quantify in hard dollars, but a person may be able to get a job or get a better job because they don't carry around the stigma of a record. They may be able to volunteer in the community, which they previously couldn't do, or they may be able to complete their education or find more suitable housing. All of those factors lead to more successful lives and greater contributions back to the economy and back to the community.

It would be difficult to put a number on it, Ms. Dabrusin, but I suspect those kinds of thoughtful changes in the pardons process and the pardons outcomes would make a net-positive contribution to the economy and to the country, and certainly would alleviate cost burdens on the administrative side.

Ms. Julie Dabrusin:

Thank you.

The Chair:

Thank you, Ms. Dabrusin.

Before I let you go and we suspend, Minister, is there any law which prohibits a potential employer from asking the question, “Have you ever received a pardon or an expungement?”

Hon. Ralph Goodale:

There's section 2 of the Canadian Human Rights Act, which lists that very point as a basis upon which you are prohibited from discriminating.

The Chair:

Is that discrimination, though? I get section 2, but it's a pretty broadly based section.

Hon. Ralph Goodale:

Let me ask Angela to comment.

Ms. Angela Connidis:

Yes, that's a very good distinction to make. The human rights act doesn't prohibit someone from asking. It prohibits them from discriminating on that basis.

The Chair:

Okay. I just wanted to ask that question.

We are going to suspend for five minutes. We have microphone issues.

On behalf of the committee, Minister and officials, thank you. I expect the officials will remain while we fix our microphones.

With that, we're suspended.

(1630)

(1640)

The Chair:

Ladies and gentlemen, we're back on.

The officials stayed with us. It looks like we have two additions—Amanda Gonzalez and Brigitte Lavigne—who I'm sure will introduce themselves in due course.

With that, we will start questions. On panel two, I have Ms. Dabrusin for seven minutes.

Ms. Julie Dabrusin:

The question is how we get the word out about this new process under Bill C-93. How do we get word out to people that there's a process that's free and simplified?

I googled using the terms “pardons, cannabis, Canada”, and the first thing that came up was New Cannabis Pardons in Canada: Get a Free Record Suspension. It advertises an agency that will charge a fee to help you get this done. It takes a little while to get down to the actual Canadian government website on this.

I have a two-part question. The first part of my question is this: How are we getting word out to communities, and can we have someone work on moving our government site to the top of that list? Then I will have a second part as well.

Ms. Angela Connidis:

I will start and then I will turn it over to Ian, because they are actively working on their plan.

We meet regularly with stakeholders such as the John Howard Society and native associations, organizations that work with offenders across the country. We've had consultations with them on the pardon proposals we've put forward, and on the follow-up and how to get the word out. As a starter, we're asking that they make sure they know and are reaching the clientele that comes to them in these times. That's a word of mouth process that the Department of Public Safety is doing. The Parole Board is developing a much more comprehensive outreach strategy that I will let Ian speak about.

The issue raised about consultants is one that concerns me quite a lot. It's not always easy to regulate the Internet. We would be required to do quite a bit of work and would need extra funding to regulate these independent consultants who are not necessarily under our jurisdiction, but it is something we will be pursuing.

Mr. Ian Broom:

As part of the Parole Board's communication and outreach strategy associated with the expedited pardon approach proposed under Bill C-93, yes, there would be Internet resources available. However, as you point out, it might be somewhat difficult to get those in some cases. They would include a step-by-step guide—a simplified application guide—in terms of the outreach to get the word out.

Yes, there is a focus on our traditional criminal justice partners, so we will be reaching out to law enforcement, the courts, etc., but in addition, focusing and working with our other federal partners to establish a really good sense of how to get the word out to maybe not the most traditional partners in the domain. We want to focus on and target the more marginalized groups that were alluded to earlier today.

We're slowly building and putting together a database and a good sense of where to direct our correspondence. At the point at which this would come into force, we want to target the regular criminal justice partners and organizations that might facilitate, inform or assist individuals in seeking pardons for simple possession of cannabis.

(1645)

Ms. Julie Dabrusin:

I'm following up because you mentioned, Ms. Connidis, that you're concerned about people providing these consulting services. It came up during our previous study about record suspensions. It worries me when I see this potential for people to take advantage of something we're trying to do well. We're trying to provide a free opportunity—something that actually is simplified—but we have people who might be putting themselves in between. It concerns me that this is something we have to create a buffer for.

It was one of the issues that was raised as a recommendation when we looked at record suspensions. What are some of the tools to deal with consultants for record suspensions? Is there anything we can do?

Ms. Angela Connidis:

It would require quite a bit of research policy development on our part. My starting point would be Immigration Canada, because they've had some issues with consultants, albeit in a very different context. It would mean working with our communications department to go to the Internet and ask, “What does it take for Public Safety or the Parole Board of Canada to be at the top?” There's probably a fee involved or something like that.

Those would be the starting points. It's not a simple issue. It isn't something that's been in the forefront a lot, as in the immigration context, but it is definitely a concern.

Ms. Julie Dabrusin:

Just to jump back, Mr. Broom, you mentioned several different ways to reach out. Have you considered social media as one of the ways you'll be reaching out to people?

Mr. Ian Broom:

Absolutely. That's definitely part of our overall strategy: leveraging social media.

Ms. Julie Dabrusin:

In our earlier study, a woman named Louise Lafond testified that one of the most common barriers she'd encountered with her clients was that they had outstanding fines. That was one of the things that stopped them from being able to apply for a record suspension.

When I was looking at the legislation, it looked to me like the delay that might be posed by outstanding fines has been removed in Bill C-93. Is that correct? I'm looking at proposed subsection 4(3.1).

Ms. Angela Connidis:

In Bill C-93, as soon as you've completed your sentence, including a fine, you have no wait period. Therefore, if you have an outstanding fine right now, as soon as you pay it, you can apply. It won't restart your waiting period.

Ms. Julie Dabrusin:

All right. That's what I misunderstood. Good, thanks.

The Chair:

Thank you.[Translation]

Mr. Paul-Hus, you have the floor for seven minutes.

Mr. Pierre Paul-Hus:

Thank you, Mr. Chair.

I have a technical question. I hope that we will be able to understand each other, given the situation with the interpretation.

When it comes to determining whether people are eligible for the removal of the waiting period and the fees, does the bill distinguish between possession of 30 grams or less of cannabis or its equivalent, which is now legal, and possession of more than 30 grams in a public place, which remains illegal? [English]

Ms. Angela Connidis:

We debated that. We do not include it because personal possession has no limit. There was no distinction between public and personal in the previous law, so we don't have a distinction and we don't have a 30-gram limit. [Translation]

Mr. Pierre Paul-Hus:

Possessing more than 30 grams of cannabis in a public place remains illegal. So why would someone accused of that previously have the right to get a pardon, if it remains illegal today?

(1650)

[English]

Ms. Angela Connidis:

In the past it wouldn't have been relevant whether it was public or private possession, so they wouldn't have been able to. [Translation]

Mr. Pierre Paul-Hus:

So it is possible for a pardon to be given to someone who has done something that remains illegal today. [English]

Ms. Angela Connidis:

Now you have a very clear law and if they are charged with that, that crime will stay. [Translation]

Mr. Pierre Paul-Hus:

Okay.

We have talked about costs with the Minister of Public Safety and Emergency Preparedness. According to the information we have on our side, about 500,000 Canadians have been charged with simple possession of cannabis. The minister said that he expects 10,000 of them to apply for a pardon.

How do you explain the fact that only 10,000 people out of the 500,000 might apply for a pardon? [English]

Ms. Angela Connidis:

As we've said, it's very difficult to know who has possession for cannabis offences, so we can't just go into a database and say this is how many offences there are. We've extrapolated from statistics collected by the Public Prosecution Service of Canada, and their figure is upwards of 250,000 convictions for the simple possession of cannabis. That is a starting point. The number of people expected to apply is much lower for reasons including that they've passed away—because some of these convictions date back a long time—they've already received a pardon or they have other criminal records on their record.

Let's remember you can only get that pardon if your only offence is for possession of cannabis. While you may have that offence, if you have others on your record, you would not be eligible. It's not an exact science but we've extrapolated from the figure of 250,000 and estimate 10,000. [Translation]

Mr. Pierre Paul-Hus:

Okay.

I will give the rest of my time to Mr. Motz. [English]

The Chair:

You have three minutes.

Mr. Glen Motz:

Thank you, Chair.

You estimated 250,000. What is with the other 250,000 from the 500,000 estimation? Where are they?

Ms. Angela Connidis:

I'm not sure where the 500,000 came from. The figures we have used are 250,000.

Mr. Glen Motz:

Okay.

The Chair:

Just as a point of clarification, it's 10,000 out of 250,000. It's not 10,000 out of 500,000. Is that correct?

Ms. Angela Connidis:

That's correct.

Mr. Glen Motz:

Based on the numbers that you've come up with—and you've committed to providing a cost analysis for this committee on that—$250 per application is what you're estimating over time.

Ms. Angela Connidis:

We're still before committee and we don't have the final bill, so I can't actually say right now what the cost will be.

Mr. Glen Motz:

I'm just going to start into my questions now for the next round.

How much time do I have?

The Chair:

You have two minutes and 15 seconds.

Mr. Glen Motz:

Okay. I'm going to wait for the next round then.

My colleague, Mr. de Burgh Graham, on the cybercrime side of things, is always technical. I want to ask a very technical question specific to a type of substance. I want to know whether that still qualifies now because of the old NCA, CDSA and the new act that was changed in the fall.

In The Globe and Mail, a commonly cited statistic is that 500,000 people in Canada have a conviction for cannabis possession. A government spokesperson was also quoted in the media and estimated that 10,000 people will apply for the record suspension, as you say. That's where the 500,000 number comes from.

Ms. Angela Connidis:

As I said, we drew our number from the Public Prosecution Service of Canada and the number of convictions they have.

Mr. Glen Motz:

All right.

That's all for now, Mr. Chair.

The Chair:

We will look forward to your questions in the next round, Mr. Motz.

Mr. Dubé, you have seven minutes.

Mr. Matthew Dubé:

Thank you, Chair.

Thank you for sticking with us for this second hour.

For Bill C-66, are confirmations provided to individuals who apply through the process that was created in that legislation, confirmations that their records have been expunged?

(1655)

Ms. Angela Connidis:

I'll have to turn to Ian and Brigitte.

The Chair:

Ms. Lavigne, would you mind introducing yourself since you're not on the record here?

Ms. Brigitte Lavigne (Director, Clemency and Record Suspensions, Parole Board of Canada):

I am Brigitte Lavigne. I'm the director of clemency and record suspensions with the Parole Board of Canada.[Translation]

Thank you for your question.[English]

Your question was regarding whether people received notifications when an expungement is ordered. When the Parole Board of Canada orders an expungement, we do notify the applicant similarly to what we do for pardons and record suspensions. Then we provide notification to the RCMP, who will take it into their hands to have the record permanently removed from the national repository.

Mr. Matthew Dubé:

I'm just trying to square what the minister said. He used an example where, at the border, an individual who had an expunged record would not have proof, but I'm understanding otherwise now. Would there not be confirmation if the legislation were similar to Bill C-66? In other words, would there be confirmation that expungement had taken place?

Ms. Angela Connidis:

Is it in the form of a certificate?

Ms. Brigitte Lavigne:

We would provide the documentation. I believe the benefit the minister was referring to is that, subsequent to that, we have numerous applicants who return to us to request copies of their pardons or record suspensions. We reissue them once and then we notify the RCMP again, and we contribute it to the criminal record. In the spirit of the act, provinces, territories and municipalities will also go in turn to sequester the record.

We do the same in the case of expungement. We would expect that they would destroy or permanently remove it from their databases. If an applicant were to come back, that record would no longer be made available to them.

Mr. Matthew Dubé:

But if the person retained the initial confirmation, they would have a confirmation.

Ms. Brigitte Lavigne:

If they retained that document.

Mr. Matthew Dubé:

There would be no record that any kind of deletion took place. I just want to make sure we're distinguishing between the record and the act of deleting the record. There's no trace of the act of deleting the record either?

Ms. Angela Connidis:

No.

Mr. Matthew Dubé:

I had another question on the same issue.

When the RCMP is notified, would the minister have the ability if there were expungement...? Cannabis is legal in Canada. Supposing all records were to be expunged, putting aside any debate on the process, the minister would have the ability, in theory, to inform his American counterpart, and the agency responsible for the U.S. border could then be properly informed that this act had taken place. There's nothing preventing that. Is that correct?

Ms. Angela Connidis:

I think, practically, that might be prohibitive for every applicant.

Mr. Matthew Dubé:

Not on an individual basis, I'm just saying that for anyone who has a record pertaining to possession of cannabis, those records have been expunged.

Ms. Angela Connidis:

Yes, but it wouldn't change what the Americans already have in their database. If they already have that in their database, it won't mean anything to them.

Mr. Matthew Dubé:

Speaking of the American database, am I correct in my understanding of the Criminal Records Act that the minister has the ability to share information, even from a suspended record, with a country allied to Canada?

Ms. Angela Connidis:

I am not sure that's under the Criminal Records Act. I would have to check. I'd be happy to get back to you on that.

Mr. Matthew Dubé:

Is there any concern that if an individual obtained a record suspension and then went to the border, they might, if they're asked if they have a criminal record...? Has it been your experience that individuals sometimes mistakenly will say no or not think of the proper way to answer the question? I'm going back to how the question being asked on the job application or the apartment application might be if you have a record suspension for a crime for which you were convicted. If a U.S. border officer says it, they might frame the question differently. Is there any data on how often that happens?

Ms. Angela Connidis:

No, I don't have any data about that.

Mr. Matthew Dubé:

Okay.

In response to an earlier question, we were talking about how to get the word out that this service would be available. What went wrong with Bill C-66? That was seven out of 9,000 people.

Ms. Angela Connidis:

It's hard to know if anything went wrong. We estimated how many people would have those records. Let's remember that the last charges were back in the late 1960s, so a number of years have gone by. We did think to ourselves that there are people who may just not want to bother. That was one of our considerations when asked about automatic pardons. Some people just don't want to have to tell people about it. They don't want to wake it up, or they may have died.

I don't think it's a lack of information. Within that community, information is shared very broadly and we did have a very active campaign.

(1700)

Mr. Matthew Dubé:

In any of the thinking that's gone on around this legislation—and I say this with all due respect and I recognize the importance of that issue—even though there are issues with the rollout, which is to say issues with Bill C-66, and naturally, there's a difference of age and things of that nature.... You've referred to individuals who might have passed away.

I'm just wondering. If we're looking at this particular issue we might have younger Canadians who might be more inclined to want to have some kind of clemency, whether through expungement or record suspension. Has any thought gone into some of the reconfiguration that might be required, given the difference in clientele—if you'll forgive my use of that phrase—in this particular instance, of Canadians who might see a need for this longer term because they're not just reawakening an older issue? They might be in their thirties, let's say, and have difficulties getting a job, for example.

Ms. Angela Connidis:

I'm not quite sure. Do you mean in our approach to attracting them and the outreach?

Mr. Matthew Dubé:

Yes. There seems to be some thought within the department that you're providing some of the thinking behind why Bill C-66 might not have been successful. Have you looked at how it might play out differently this time and how to accommodate that?

Ms. Angela Connidis:

As I said, I wouldn't associate Bill C-66 with being unsuccessful. I think the outreach was there. We have no data to show that it's because people didn't know about it. It's their free choice to apply.

With respect to cannabis and the pardon for simple possession of cannabis, the outreach strategy is quite different because we know we have a broader range of clientele. It's not a specific group per se, like the LGBTQ2 community. There are many people in marginalized communities. There are youth, which is one reason for using social media. We're changing the way the application process is, to simplify it with online access, etc.

Perhaps Brigitte or Ian would like to contribute.

The Chair:

We're going to have to leave the answer at that point, but before I turn it over to Mr. Picard, Mr. Dubé asked a question to which you gave a bit of an undertaking. Maybe, just for clarification, you should ask the question for the record so we all understand the response you gave.

Mr. Matthew Dubé:

I appreciate that, Chair, because my time did run out. I'm just wondering if we can get confirmation on whether or not the Criminal Records Act allows the minister to share information pertaining to suspended records with allied countries.

Ms. Angela Connidis:

I'll check.

The Chair:

Perhaps that could be done expeditiously because the timeline on the study of this bill is quite limited.

Mr. Picard, you have seven minutes, please. [Translation]

Mr. Michel Picard:

Thank you, Mr. Chair.

My questions will be about the process of applying for a criminal record suspension.

As I understand it, the applicants are responsible for applying. They have to submit a complete file. The bill states that there will be no fees and no waiting period. So the applicants have to submit an application, and normally, it will be granted.

What would be the grounds for refusing an application? [English]

Ms. Angela Connidis:

Only if they could not demonstrate that it was possession of cannabis and that they had completed their sentence.... If they couldn't demonstrate those two things they wouldn't fit within the parameters of Bill C-93. [Translation]

Mr. Michel Picard:

What is the relevance of having completed a sentence if you are going to erase the criminal record anyway? [English]

Ms. Angela Connidis:

I think that just goes to the credibility of the criminal justice system. You've had a criminal charge. It could have been five or 10 years ago. You didn't complete your sentence or you're still serving your sentence, but once the sentence is completed, it's finished. [Translation]

Mr. Michel Picard:

I would like to push the matter further.

When applicants do the research work in order to obtain all the documents they have to submit, they communicate with courts and police stations. They are the ones doing the work because it would be an extremely onerous, complicated and lengthy task if the department had to do it instead. I fully understand that. So applicants have to ask police stations or courts to send them the information. However, those places are not always in the city where an applicant lives. To facilitate the process, they receive documents by email or the post.

How can you guarantee that the documents submitted to you are valid?

(1705)

[English]

Mr. Ian Broom:

I might turn the answer to this question over to my colleague Brigitte.

Mr. Jim Eglinski:

Good question, Mike. [Translation]

Ms. Brigitte Lavigne:

At the moment, when people apply for a pardon, a suspension of a criminal record, the documents submitted to us by those applying are official documents from police forces and courts. The applicants obtain documents bearing a seal or some kind of stamp that proves that they are genuine.

Mr. Michel Picard:

Do you then double check to make sure that the information you have been sent is valid? So are you therefore in the position of doing part of the research, on top of the work that applicants have to do?

Ms. Brigitte Lavigne:

The documents come to us in the proper form and bear a seal or a stamp. We can authenticate them and move on to examine the case.

Mr. Michel Picard:

The fact remains that the documents you mention, even though they have been authenticated, were submitted by the applicant.

Ms. Brigitte Lavigne:

Yes.

Mr. Michel Picard:

Okay.

That is all for me.

The Chair:

That's all, Mr. Picard? [English]

Mr. Michel Picard:

Yes.

The Chair:

Just following up on Mr. Picard's question, if someone is applying to have a record suspension, what mechanically is required? Can I submit a notarized copy of my sentence completion? Will that be acceptable to the board?

Ms. Brigitte Lavigne:

What we obtain in terms of the court documents is a document that is filled out by the court. We receive their stamp or their crest confirming that the sentence has been completed and that's also to allow us to determine if there is any fine attached to the sentence that still hasn't been paid in full.

The Chair:

If I don't have that document, do I have to physically go to the courthouse and obtain that document?

Ms. Brigitte Lavigne:

The applicants do obtain documentation from the courts and other documents from police sources. Their local police will do the records check and provide it to us.

The Chair:

In an average case, presumably I have to go to the police station and prove that I haven't done anything bad since the last time I was convicted. I have to provide proof that I was convicted and that my sentence has been completed. Is there anything else I have to show to the Parole Board?

Ms. Brigitte Lavigne:

We also require the fingerprint sheet, which allows us to have the convictions that are in the national repository, and we ask them to fill out the application form. There's a package, a step-by-step guide that will be created. It will be straightforward in nature and will outline the steps and the documents the applicant will need to provide to us in order to undertake the review of the case and determine that the criteria have been met in the legislation. Then we'll be able to order the pardon.

The Chair:

You have a three, four or five-step process for marginalized people to get what should be a simple....

Ms. Brigitte Lavigne:

The Parole Board administers the proposed legislation, the legislation that will come into force. We'll be ready to have a straightforward approach. We'll have tools available to applicants. We have our 1-800 line and a dedicated email. We'll have web information and, as mentioned by my colleagues, an aggressive outreach strategy targeting traditional and non-traditional partners in order to make it as simple as possible for applicants to be able to benefit from the no-cost expedited process that's been proposed here in Bill C-93.

The Chair:

With the greatest respect, that sounds like a fairly complicated process. It's particularly complicated for the two target communities that you're after.

I apologize. I don't generally intervene in questions.

I see that Mr. Graham still wants....

A voice: It's Ms. Sahota.

The Chair: We have a little less than a minute.

Ms. Ruby Sahota:

Perfect. I'm actually going to ask something.

In terms of the commitment of having a no-fee process, is that just for your application fee? How about the costs that are going to be associated with getting the records from your local courthouse or police department? Those are affiliated with fees. What about those?

(1710)

Mr. Ian Broom:

No. The no-fee is the application fee that is collected by the Parole Board of Canada.

Ms. Ruby Sahota:

What kinds of fees would the applicant possibly be on the hook for, generally, in any record suspension case? What kinds of costs do they usually incur before the application?

Mr. Ian Broom:

I think the costs vary quite a bit, depending on which police service or which court. I don't have any hard and fast estimates with me to provide right now. I do believe that the department maybe had a cursory examination on this issue. But again, you'd be talking.... I would hesitate to give an estimate right now.

The Chair:

That's a fair response, because it is outside of your jurisdiction to estimate that. But it's a real cost.

Mr. Motz, you have five minutes, please.

Mr. Glen Motz:

Thank you, Mr. Chair.

I was going to continue on with that.

There is a fee to get fingerprints. There is a fee to get your record from a police service, and there is a fee, generally, to get your records from court, if it has them. In some communities, if it's in the distant past, they might not have the book anymore where they have them. It's a free system, maybe, for the Parole Board's costing, which is a taxpayer pickup, but it will cost an applicant some time, some effort and some resources on their own to do that, just so we're clear.

I want to get more to the schedule. Bill C-93 has schedules attached to it, and that's the technical side of it. It lists the offences for which an offender can apply and immediately receive a record suspension after the sentence is completed, without paying a fee, other than the ones we've just identified.

The schedule refers to three categories of substances for possession offences. One is under schedule II of the old CDSA, the old Controlled Drugs and Substances Act, as it was prior to October of this past year. The second was for the old NCA, the Narcotic Control Act, which was previous to the CDSA. The third was for equivalent offences outlined in the National Defence Act.

However, the lists of substances do not appear to be entirely identical. For example, would an application for record suspension related to an offence concerning possession of Pyrahexyl, or Parahexyl as it's also known, under the old Narcotic Control Act, be assessed without a waiting period or fee being required, since that substance is included in item 3 of the schedule of the Narcotic Control Act, and the applicant would, thus, benefit from the changes proposed in Bill C-93? If so, why would that be the case, being that Parahexyl is still considered an illegal substance in Canada? Your schedules allow that to happen. I'm curious to know why.

Ms. Angela Connidis:

The schedule refers to the acts where you can find the cannabis offence. It is only for possession of cannabis. The documentation they would provide necessarily needs to indicate that the substance for which they've been charged under one of those acts was for cannabis.

Mr. Glen Motz:

I understand what the act says, but your schedules aren't identical. I'm trying to point out that there needs to be some congruency between all the schedules from the CDSA, the NCA, the new act and the National Defence Act to make sure that all of those things are in alignment. I would urge you to have that consideration or that look because that substance is still there and it still remains illegal.

The last question I have has to do with what you mentioned, Ms. Lavigne and Mr. Broom. Does the Parole Board currently have sufficient resources to manage the increase?

We're talking potentially 10,000 over the coming years that's expected with Bill C-93? I know I asked the minister this before. If you don't need new resources, the administrative or clerical functions to do an administrative record suspension will impact the administrative clerical functions required to still do a record suspension for the Parole Board. How does that get navigated, and is $2.5 million really an appropriate cost? I ask because $250 doesn't seem like a whole lot when you look at the time it takes per application.

(1715)

Ms. Brigitte Lavigne:

The Parole Board is going to have the resources in place to process these applications when they come in. We currently have staff who are trained to do similar functions in processing record suspensions and pardon applications and as the volumes increase, we'll be ensured additional resources to meet the service standards that are currently in place for pardon record suspensions as well as these expedited record suspensions for those convicted of simple possession of cannabis.

Mr. Glen Motz:

Do you assume then that the $2.5 million that's been a guesstimation covers the additional staffing costs, or is that just the processing costs?

Ms. Brigitte Lavigne:

At this juncture, the estimates that have been put in place for us and the RCMP to manage this group of applicants would entail the staff resources needed to process the applications and conduct notifications.

Mr. Glen Motz:

Thank you.

The Chair:

Thank you, Mr. Motz.

Ms. Sahota, you have five minutes.

Ms. Ruby Sahota:

Thank you.

I think we're just going to continue building off each other's questions. I'm also intrigued because the minister was saying, just like Mr. Motz, for the list of substances that would be under a certain offence, it's not very clear as to what they were in possession of. It could be a substance under the one list. The onus is then on the applicant to prove that it was simple possession and not another substance on the list. How would they do that? Is that information always available in the court record or is there another, easier way?

Ms. Angela Connidis:

That would be either the charge from the local police record or from the court record.

Ms. Ruby Sahota:

Would it list exactly what that substance was?

Ms. Angela Connidis:

The court record should if the police charge didn't.

Ms. Ruby Sahota:

But the RCMP records would not...?

Ms. Angela Connidis:

Sometimes, but not always.

Ms. Ruby Sahota:

In the case that they are listed in the RCMP records, would that person then be able to perhaps not have to go through the process of getting court records and all that? Would it be easy to just suspend?

Ms. Angela Connidis:

The local police record shows a few things. It will show whether or not it was the right substance, but also whether they have any other records on conviction that were not in the RCMP, and some of those summary convictions could be quite serious. They could be assault, for instance. That's the other reason you do the local police check. The court record would show not just the substance, but whether or not you've completed your sentence and what your sentence was. You don't do those checks just to determine whether it was cannabis or not. There are other reasons for those checks.

Ms. Ruby Sahota:

And I believe—I just want to clarify what you have already said—if there was an assault or various other crimes that the person was convicted of along with the possession, then the possession would not be removed either?

Ms. Angela Connidis:

That's right. To get the pardon, you need to have satisfied the wait periods for all of the convictions on your record. In the case where your only conviction is for possession of cannabis, you will have satisfied the wait period, because we've waived the wait period.

Ms. Ruby Sahota:

But if that was one of the convictions, that conviction alone could not be suspended?

Ms. Angela Connidis:

No, it could not.

Ms. Ruby Sahota:

What if somebody had pleaded down a charge and, say, they were convicted of just possession but originally they were charged with trafficking as well? In that case, would they be able to get a record suspension?

Ms. Angela Connidis:

Let's remember a charge is a charge. It hasn't been tried in court. It may have been pleaded down because there wasn't enough evidence. It may not even have been pleaded down. Maybe they looked at it and said, “Really, I shouldn't have done it for that. It should have been possession.” We can't second-guess why something might have originally been one charge and then a conviction for something else. It's based on what their conviction is.

Ms. Ruby Sahota:

That's fair enough.

I have one more question. When the police are doing a record check, what do they see on their screen if they were to check someone's record who had a record suspension in place versus an expungement? If an officer stops you on the road and they do a quick record check on you, what would they see?

The Chair:

Ms. Gonzalez, would you introduce yourself, please.

Ms. Amanda Gonzalez (Manager, Civil Fingerprint Screening Services and Legislative Conformity, Royal Canadian Mounted Police):

My name is Amanda Gonzalez. I'm with criminal records. I'm also responsible for the unit that takes care of sequestering the information once the RCMP....

In regard to your question, a police officer would be querying CPIC and that information would no longer be available.

(1720)

Ms. Ruby Sahota:

Under a record suspension...?

Ms. Amanda Gonzalez:

Right.

Ms. Ruby Sahota:

An employer would never be able to access any of that information either once your record was suspended. Is that correct?

Ms. Angela Connidis:

Only under very exceptional circumstances. There are provisions in the Criminal Records Act where the minister could disclose to an employer if it was relevant. We often do get requests for disclosure from police forces for an applicant, and if we assess the record and think it is relevant to the job, then the minister has the decision of deciding whether or not....

Ms. Ruby Sahota:

Do you see anywhere where simple marijuana possession could be relevant to somebody's job and that would be disclosed?

Ms. Angela Connidis:

No, I can't think of anything offhand where I would see that.

Ms. Ruby Sahota:

Okay.

Thank you.

The Chair:

Thank you, Ms. Sahota.

Mr. Eglinski, you have five minutes, please.

Mr. Jim Eglinski:

I'm going to hit you with some pretty fast questions here.

You were talking about start-up programs. Have you ever suggested going to different community groups like Community Futures Canada, family and community support groups, to encourage them to be trained by you?

All of these community organizations are always looking for funding. They're there for the community. They're not there for their own pocket. We all know there are a lot of unscrupulous characters doing your parole work for you, but have you ever looked at that and would you look at it?

Ms. Angela Connidis:

Sorry, look at them to do what?

Mr. Jim Eglinski:

To assist people in doing parole applications. These are volunteers in communities and they're always looking for funding. You could help them with the funding, help these organizations, and help the communities.

Ms. Angela Connidis:

Yes, we have been thinking about that.

Mr. Jim Eglinski:

Please keep it in your mind. Thank you.

Number two—

Ms. Angela Connidis:

It's top of my mind; trust me.

Mr. Jim Eglinski:

Brigitte, you were talking about going to these communities and getting these documents and stuff like that.

In my 35 years in policing, I was stationed in some pretty small places, where there was no courthouse and where the judge was a layperson in those days. He would come out and sit on one side of the detachment to hold court, and the person would go to be convicted.

Where does that person go to get that record? It's not there. The criminal conviction will be there. It will be sent to Amanda and she will have it recorded, but there's no one in the background who's ever going to find that little record that's in that little book that might be buried in a detachment or buried in some community building, because there are no facilities.

How does that person get his record cleared?

Ms. Brigitte Lavigne:

I believe we deal with applicants who are in similar circumstances today who come forward to request a pardon or a record suspension. They are all across the country. They provide us with documentation required for our application.

Mr. Jim Eglinski:

If they can't get the documentation, this dies then.

Ms. Brigitte Lavigne:

I couldn't speak to the number of people who have come forward and who we have returned as ineligible for not having the application because of the fact that they were in a remote area. I don't have that data. We do have folks who have been convicted across the country who come forward to access the program and then end up with a pardon or record suspension.

Mr. Jim Eglinski:

Prior to your bringing out Bill C-93, did you have discussions with any stakeholders? Can you tell us of any concerns that the different groups may have had, whether you were talking to the RCMP or municipalities that may have to provide these records or have people research these records? Can you give me any indication about whom you met with?

Ms. Angela Connidis:

I met with a number of criminal justice organizations: John Howard Society, Elizabeth Fry Society, the St. Leonard's Society, members of the National Associations Active in Criminal Justice. We also had an online survey a couple of years ago about the pardon system generally. One of the responses was that they thought there should be more simplified pardon processes, particularly concerning convictions for same-sex offences. There should be a way of expunging them as well as other offences that are no longer crimes.

The issues that would be raised from the people I consult with regularly would be the marginalized communities and the fact that many of them would have more difficulty accessing pardons. There's been a lot of discussions about expungement versus pardon. Many of the same issues we've discussed here, I've discussed with stakeholders.

(1725)

Mr. Jim Eglinski:

Have you addressed any of them? Can you give me some examples?

Ms. Angela Connidis:

Bill C-93 is the result of many of those discussions, and ongoing discussions about how to make it easier for some of these marginalized communities to apply.

Mr. Jim Eglinski:

The northern community in the middle of the Arctic is a marginalized community.

Ms. Angela Connidis:

Yes.

Mr. Jim Eglinski:

How does that person who's now living in Toronto get that record when there's no one there who might be able to find it because the court might have just been held on an ad-hoc basis?

Ms. Angela Connidis:

That is a very good question.

I'm not sure if you've experienced—

Mr. Jim Eglinski:

It's not fair right across the board, is it?

Ms. Angela Connidis:

It's difficult across a big country. You're exactly right.

The Chair:

I think that's about it.

Mr. Dubé—

Mr. Jim Eglinski:

I had another quick one, but that's all right.

The Chair:

You and Mr. Dubé seem to be asking the same questions today.

Mr. Jim Eglinski:

Our concerns are around the same things, I think.

Mr. Matthew Dubé:

It's not always a good thing.

Mr. Jim Eglinski:

I'm glad you're changing. Are you going to become a Conservative now?

Mr. Matthew Dubé:

Careful, there's an election coming up, you know.

Voices: Oh, oh!

Mr. Matthew Dubé: I have a couple of quick eligibility questions. I just want to be clear because there might have been some confusion over an earlier question. An individual who has unpaid fines is not eligible for the expedited process proposed in the legislation. Is that correct?

Ms. Angela Connidis:

They can pay their fine and they're eligible right away.

Mr. Matthew Dubé:

Then if they have unpaid fines, they do not qualify?

Ms. Angela Connidis:

They have not finished their sentence.

Mr. Matthew Dubé:

Okay, thank you.

It's the same thing with those who have administrative justice charges, so failure to appear in court, for example, would disqualify them from the process proposed in Bill C-93.

Ms. Angela Connidis:

Not if it was not related to this, I don't think.... Go ahead.

The Chair:

Go ahead, Brigitte.

Ms. Brigitte Lavigne:

If they have other convictions, then they would not be eligible under this scheme.

Mr. Matthew Dubé:

Okay. No exceptions are made for any access to justice issues. If you fail to appear in court, you're...?

Ms. Brigitte Lavigne:

If they have another conviction on their criminal record, they would be streamed through our regular program.

Mr. Matthew Dubé:

This is hypothetical, a dangerous exercise in our line of work, but I'm going to try one. An individual who committed a minor offence but who's now on the good behaviour path working toward a record suspension for an unrelated conviction, who then received a possession conviction during the last couple of years as the debate over legalization was occurring, would not qualify because they had not reached the record suspension point. Is that correct? They were only on the path of good behaviour.

Ms. Angela Connidis:

For their first offence...?

Mr. Matthew Dubé:

Yes.

Ms. Angela Connidis:

That's right. They have to have finished their waiting period.

Mr. Matthew Dubé:

When you look at the 10,000 number out of the 250,000, does that include those who are disqualified based on eligibility such as some of the criteria we discussed?

Ms. Angela Connidis:

The 10,000 includes those who only have a conviction for possession of cannabis.

Mr. Matthew Dubé:

Okay. Out of the remaining 240,000, I know it's probably difficult, because some folks might be deceased and other reasons, but do you know how many of those 240,000 are not eligible under Bill C-93 because of other related issues such as the ones we just discussed, because they have other convictions?

Ms. Angela Connidis:

I don't know that.

Mr. Matthew Dubé:

Okay.

The Chair:

Thank you for that.

I have one final question. As you know, the Department of National Defence has a military justice system and it's a bit of a hybrid system, where some part is criminal and some part is disciplinary. What would happen to a soldier who is convicted in the military justice system and a conviction is entered for possession of marijuana under that system?

Ms. Brigitte Lavigne:

Convictions that fall under the National Defence Act would also be eligible for those who have been convicted only for simple possession of cannabis. For members and former members, we would ask them to obtain their military conduct sheet, and then we would be able to process them as we would similarly those who have a conviction that falls under the Criminal Code.

The Chair:

Would the record suspension apply not only to the criminal conviction but also to the disciplinary event?

Ms. Brigitte Lavigne:

We would notify the commanding officer after the record suspension was ordered.

The Chair:

Does the commanding officer have any discretion as to whether to accept that record suspension?

Ms. Brigitte Lavigne:

It is legislated that those convictions fall under the Criminal Records Act so they would be put separate and apart as well.

(1730)

The Chair:

That would get into the soldier's record then.

Ms. Brigitte Lavigne:

It would be removed from the soldier's record when we notify them that the record suspension was ordered.

The Chair:

Thank you.

With that, I want to thank you for your patience and your answers.

We are going to adjourn, but before colleagues disperse, I have two administrative things to do. First of all is to write to Mr. Easter, chair of the Standing Committee on Finance, who sits exactly two chairs away from me—I'm going to save the stamp—that we take on part 4, division 10, of Bill C-97. I need a motion to approve that.

Mr. David de Burgh Graham:

I so move.

The Chair:

The second, with respect to the subcommittee that met on April 10, is a presentation of the deliberations of the subcommittee.

We agreed to meet the NSICOP, the National Security and Intelligence Committee of Parliamentarians, on Monday, May 13, for an hour to discuss their report in relation to Bill C-93, to provide no-cost, expedited record suspensions. We agreed to start that study, which we have obviously started today, and we agreed that the chair should respond to the April 9 letter from the chair of the Standing Committee on Finance, which we've just done.

Can I have a motion to accept the subcommittee's report?

An hon. member: I so move.

The Chair: Thank you.

With that, we will adjourn, and those on the subcommittee will reconvene in five minutes.

Comité permanent de la sécurité publique et nationale

(1530)

[Traduction]

Le président (L'hon. John McKay (Scarborough—Guildwood, Lib.)):

La séance est ouverte.

Je vois que le ministre a son café. Il est donc manifestement prêt à faire son témoignage.

Nous entamons la 158e séance du Comité permanent de la sécurité publique, et conformément au paragraphe 108(2) du Règlement, nous étudions l'objet du projet de loi C-93, Loi prévoyant une procédure accélérée et sans frais de suspension de casier judiciaire pour la possession simple de cannabis.

Cela dit, je souhaite la bienvenue au ministre au nom du Comité, et je présume qu'il présentera ses collègues.

L'hon. Ralph Goodale (ministre de la Sécurité publique et de la Protection civile):

Merci, monsieur le président, et je souhaite encore une fois le bonjour au Comité.

Je suis heureux d'avoir l'occasion de discuter cet après-midi du projet de loi C-93, une mesure législative qui fera en sorte qu'il sera beaucoup plus facile pour les personnes reconnues coupables de possession simple de cannabis de faire effacer leur casier et de tourner la page.

Je suis heureux, monsieur le président, d'être accompagné d'Angela Connidis, du ministère de la Sécurité publique; d'Ian Broom, de la Commission des libérations conditionnelles du Canada; et de Jennifer Gates-Flaherty, qui s'occupe des casiers judiciaires à la GRC.[Français]

Dans l'ancien système où le cannabis était illégal, les Canadiens étaient parmi les plus grands et les plus jeunes consommateurs de cannabis au monde au profit d'organisations criminelles. L'automne dernier, nous avons respecté notre engagement de mettre fin à cette prohibition inefficace et contreproductive.

Cependant, plusieurs Canadiens ont toujours un casier judiciaire pour une possession simple de cannabis. Grâce au projet de loi C-93, nous leur permettrons de s'en débarrasser de façon expéditive.[Traduction]

Pour les personnes condamnées uniquement pour possession simple de cannabis à des fins personnelles, cette mesure législative simplifiera le processus d'obtention d'un pardon de plusieurs façons. Normalement, les demandeurs auraient à payer des frais de 631 $ à la Commission des libérations conditionnelles. Nous éliminons entièrement ces frais. Dans le cadre du système habituel, les demandeurs doivent également attendre jusqu'à 10 années avant d'avoir le droit de présenter une demande, et nous éliminons aussi cette période d'attente.

Selon la législation en vigueur, la Commission des libérations conditionnelles peut refuser des demandes en invoquant toutes sortes de facteurs subjectifs, comme la question de déterminer si le pardon apporterait un « bénéfice mesurable » au demandeur. Conformément au projet de loi C-93, ces facteurs ne seraient pas pris en considération dans le contexte de cette mesure législative. Au-delà des mesures prévues dans le projet de loi, la Commission des libérations conditionnelles prend des mesures supplémentaires, comme la simplification du formulaire de demande, la création d'un numéro 1-800 et d'une adresse électronique pour aider les gens à remplir leur demande, et l'élaboration d'une stratégie de sensibilisation communautaire pour encourager le plus de personnes possible à tirer parti de ce nouveau processus.

Nous faisons tout cela en étant conscients que la criminalisation du cannabis a eu des répercussions disproportionnées sur certains Canadiens, notamment les membres des communautés noires et autochtones. Nous le faisons parce que nous serons tous gagnants lorsque des personnes ayant un casier judiciaire uniquement pour possession simple de cannabis pourront faire des études, décrocher un emploi, trouver un endroit où vivre, faire du bénévolat à l'école de leurs enfants et contribuer davantage à la vie au Canada. Ils ne peuvent actuellement pas faire ces choses à cause de leur casier judiciaire.

J'aimerais aborder plusieurs points soulevés à l'étape de la deuxième lecture et lors du débat public. Permettez-moi également de dire que je félicite le Comité d'avoir pris l'initiative de tenir ces audiences sur le projet de loi C-93 dans le but de faire une étude préliminaire et de s'occuper de cette question le plus rapidement possible.

Tout d'abord, on a demandé pourquoi nous proposons un système de demandes plutôt que d'accorder un pardon aux gens de façon générale et proactive comme on l'a déjà fait, par exemple, dans certaines municipalités en Californie. Malheureusement, faire la même chose au Canada à l'échelle nationale est tout simplement impossible.

D'abord, les dossiers canadiens de condamnations ne parlent généralement pas de « possession de cannabis ». Ce n'est pas la terminologie employée. Il est plutôt question de « possession d'une substance inscrite à l'annexe II », et il faut ensuite consulter la police et les documents judiciaires pour savoir de quelle substance il s'agit. L'approche globale ou générale n'est pas très évidente, vu la façon dont les accusations sont inscrites et dont les dossiers sont conservés dans le système canadien. Procéder ainsi pour chaque accusation de possession de drogue pouvant être liée au cannabis serait une tâche considérable, même si tous les documents se trouvaient dans une base de données informatique centrale.

(1535)



En réalité, ce n'est pas le cas au Canada. Beaucoup de ces dossiers papier se trouvent dans des boîtes au sous-sol des palais de justice et des postes de police dans des villes du pays. Il ne suffit pas d'appuyer sur une touche d'ordinateur. Nous pourrions commencer aujourd'hui, mais dans plusieurs années, les gens attendraient encore un pardon compte tenu de la façon dont les casiers sont conservés. Par contre, lorsque quelqu'un présentera une demande de pardon en vertu des dispositions que nous proposons dans le projet de loi C-93, les fonctionnaires de la Commission des libérations conditionnelles pourront se concentrer sans tarder sur les documents pertinents, et la personne pourra obtenir son pardon beaucoup plus rapidement.

Une autre question soulevée à l'étape de la deuxième lecture portait sur la pertinence de l'élimination des frais. On craignait que les contribuables paient la note pour les personnes qui ont enfreint la loi.

Dans les faits, si nous n'éliminons pas les frais, les Canadiens riches ayant été reconnus coupables de possession simple de cannabis pourront obtenir leur pardon très facilement, mais les personnes à faible revenu demeureront aux prises avec un casier judiciaire et les préjugés. Beaucoup de personnes ayant un casier pour possession simple de cannabis n'ont pas 631 $ à portée de la main. Elles ont besoin du pardon pour obtenir un emploi et recevoir un chèque de paye. C'est une sorte de cercle vicieux. De plus, l'élimination des frais est un bon investissement. Une personne qui obtient un pardon est plus en mesure de faire des études et de décrocher un emploi, d'apporter une contribution dans sa collectivité de toutes sortes de façons, y compris en payant des impôts.

Enfin, il y a la question de savoir pourquoi nous proposons un processus accéléré de réhabilitation plutôt qu'une radiation. Je rappelle au Comité que la radiation est un concept qui n'existait pas dans la législation canadienne. Nous l'avons créé l'année dernière pour détruire les casiers judiciaires de personnes accusées d'une infraction criminelle tout simplement en raison de leur homosexualité. Dans ces cas, la loi elle-même était manifestement une violation inconstitutionnelle des droits fondamentaux, et les condamnations qui ont suivi n'ont jamais été légitimes.

En revanche, l'interdiction du cannabis n'était pas inconstitutionnelle. C'était juste une mauvaise politique publique. Il ne fait toutefois aucun doute que la façon dont elle était appliquée avait des répercussions disproportionnées sur certains groupes au sein de la société canadienne, notamment les Noirs et les Autochtones. C'est pour cette raison que nous proposons d'éliminer les frais et la période d'attente, et de prendre de nombreuses autres mesures afin que l'obtention d'un pardon pour possession simple de cannabis soit plus rapide et plus simple.

Pour ce qui est des effets concrets du pardon par rapport à la radiation, les casiers judiciaires se retrouvent vierges dans les deux cas. L'effet d'un pardon est protégé par la Loi canadienne sur les droits de la personne, et les pardons sont presque toujours permanents. Depuis 1970, plus d'un demi-million de pardons ont été accordés, et 95 % d'entre eux sont toujours en vigueur.

Il est important de ne pas minimiser l'effet d'un pardon. Certaines discussions à la Chambre donnaient l'impression qu'un pardon est une chose insignifiante. Il ne faut pas oublier que lorsque ce comité a étudié le système de pardons à l'automne, il a entendu des témoins qui ont mis l'accent sur l'importance des pardons.

Louise Lafond, de la Société Elizabeth Fry, a déclaré qu'un pardon, « c'est comme pouvoir tourner cette page », que cela permet aux gens d'« emprunter des chemins qui leur étaient fermés. »

Catherine Latimer, de la Société John Howard, a quant à elle déclaré que grâce au pardon, une personne « peut à nouveau se rendre utile à la société sans continuer d'être punie pour ses erreurs passées. »

Rodney Small a déclaré qu'il a essayé pendant des années de s'inscrire à la faculté de droit, mais qu'il ne pouvait pas à défaut d'avoir un pardon.

Autrement dit, rendre les pardons plus accessibles, sans frais ni période d'attente, changera la vie de personnes aux prises avec le fardeau et les préjugés associés à un casier judiciaire pour possession de cannabis. Nous allons tous en profiter lorsque ces personnes pourront se rendre plus utiles au sein de leur collectivité et au Canada dans son ensemble.

(1540)



Merci de votre attention, monsieur le président. Je serai heureux, avec l'aide de mes collègues de divers ministères et organismes qui se trouvent ici, d'essayer de répondre à vos questions.

Le président:

Merci, monsieur le ministre.

Nous allons maintenant entendre Mme Sahota pendant sept minutes, s'il vous plaît.

Mme Ruby Sahota (Brampton-Nord, Lib.):

Merci, monsieur le président.

Je remercie le ministre et tous les autres témoins de leur présence.

Ma première question renvoie au dernier point que vous avez abordé: l'augmentation de la productivité.

On a beaucoup parlé ou débattu de la question de savoir si les contribuables devraient payer la note pour tous ces pardons. J'aimerais vous entendre un peu plus sur ce que vous pensez que le coût pourrait être et sur les recettes fiscales ou les avantages que nous pourrions voir lorsque ces personnes auront obtenu un pardon.

L'hon. Ralph Goodale:

De toute évidence, en ce qui concerne le coût dans l'équation, madame Sahota, cela dépendra exactement du nombre de personnes qui se manifestent et présentent une demande. À partir des meilleurs calculs que le ministère peut faire, des estimations de coût ont été faites. D'après ce que j'ai compris, le ministère s'attend à un coût d'environ 2,5 millions de dollars sur une certaine période pour remplir les formalités administratives associées aux enquêtes nécessaires.

On soulagera ainsi plusieurs milliers de personnes du fardeau que représente un casier judiciaire. Si elles peuvent obtenir un meilleur emploi ou en décrocher un et payer des impôts pour la première fois, si c'est la situation qu'elles vivaient jusqu'à maintenant, il est évident qu'il faudra beaucoup de temps pour que la société récupère le montant. Cela mettrait fin à une pratique discriminatoire qui est maintenant vraiment déphasée puisque l'ensemble du régime juridique entourant le cannabis a changé l'automne dernier. L'automne dernier, nous avons cessé d'incriminer des gens pour possession simple. C'est une simple question d'équité pour tenter de remédier autant que possible à la situation dans l'intérêt des personnes ayant un casier pour simple possession qui les empêche d'être productives autant qu'elles le souhaitent dans la société.

Mme Ruby Sahota:

Comme vous le savez, et vous y avez fait allusion dans vos observations préliminaires, on a beaucoup débattu du choix entre pardon et radiation. Au-delà de ceux que vous avez soulignés, voyez-vous d'autres avantages au pardon par rapport à la radiation?

Je sais que notre secrétaire parlementaire en a mentionné certains dans la discussion à la Chambre concernant le passage à la frontière américaine et les antécédents que les services frontaliers pourraient avoir sur une personne. Quels sont les autres avantages que vous voyez? Pourquoi votre ministère et vous avez choisi cette façon de procéder?

L'hon. Ralph Goodale:

Nous y avons longuement réfléchi et nous avons eu une très bonne discussion interne à propos des diverses possibilités pour nous attaquer à la question abordée ici. Après avoir pesé l'ensemble des avantages et des inconvénients d'une technique par rapport à l'autre, je pense que six facteurs appuient la façon de procéder que nous avons énoncée dans le projet de loi C-93.

Premièrement, le processus de réhabilitation est l'approche la plus efficace du point de vue de la Commission des libérations conditionnelles. C'est effectivement la solution la moins coûteuse et la plus rapide par rapport aux autres. L'efficacité fait donc partie des arguments.

Deuxièmement, c'est une mesure législative très simple. Le projet de loi C-93 ne compte pas des centaines de pages. Il y en a quatre ou cinq. C'est très simple, mais nous pouvons néanmoins atteindre deux importants objectifs qui tiennent compte de l'injustice dans la situation à laquelle nous voulons remédier. Il n'y a ni frais ni période d'attente. Cela peut être accompli très simplement grâce à cette mesure législative.

Troisièmement, cette approche tient compte de la réalité, de la façon dont les dossiers sont conservés au pays, soit d'une manière très dispersée. Ils ne se trouvent pas tous dans une base de données exhaustive que l'on peut simplement et instantanément modifier en appuyant sur une seule touche. La mise sur pied de notre système, qui permettra aux gens de présenter une demande, tiendra compte de la façon dont les dossiers sont réellement conservés.

Quatrièmement, c'est un moyen efficace. Comme je l'ai mentionné dans mes observations, 95 % de tous les pardons accordés au pays depuis les années 1970 sont encore en vigueur aujourd'hui. Il est rare qu'un casier suspendu soit mis de côté et rouvert — dans les cas où une autre infraction criminelle est commise. Les chiffres permettraient de montrer que le moyen est efficace.

Cinquièmement, un pardon est totalement protégé par la Loi canadienne sur les droits de la personne, qui précise, à l'article 2, que l'existence d'un casier judiciaire ne peut pas servir comme forme de discrimination si un pardon est accordé. Fait intéressant, étant donné que le concept de la radiation n'existait pas à l'époque où la Loi canadienne sur les droits de la personne a été écrite, il n'en est pas fait mention dans le libellé de la Loi, mais on mentionne toutefois explicitement le processus de réhabilitation.

Sixièmement, enfin, il y a la frontière. Compte tenu des multiples ententes d'échange de renseignements entre le Canada et les États-Unis, les agents douaniers américains auraient accès de temps à autre aux casiers judiciaires canadiens. Ils prélèveraient eux-mêmes des renseignements dans ces casiers.

Supposons que le casier d'une personne reconnue coupable de possession simple de cannabis est radié. Elle se rend à la frontière. L'agent douanier américain lui pose la question sur le cannabis et elle répond « non », comme elle aurait le droit de le faire en vertu des dispositions de la législation canadienne sur la radiation. Cependant, l'agent douanier américain voit dans son ordinateur que cette personne a déjà été reconnue coupable de possession simple. Il conclurait alors probablement que la personne lui a menti, ce qui donne lieu à une situation très grave à la frontière. La personne mentionnerait la radiation, et l'agent douanier américain lui demanderait de le prouver, ce qui est impossible étant donné que la documentation n'existe pas. Toutefois, lorsqu'un casier est suspendu ou qu'un pardon est accordé, on peut prouver son statut en s'attaquant au problème à la frontière.

(1545)

Le président:

Nous allons devoir interrompre cette réponse importante à une question importante et passer à M. Paul-Hus.[Français]

Vous avez la parole pour sept minutes.

M. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, PCC):

Merci, monsieur le président.

Bonjour, monsieur le ministre.

De prime abord, je veux dire que nous sommes prêts à soutenir le projet de loi C-93 à l'étape de la deuxième lecture, comme nous l'avons déjà annoncé. Par contre, le travail du Comité va donner la réponse à la prochaine étape.

Un des facteurs qui nous font douter, c'est la façon dont a été géré le projet de loi C-45, c'est-à-dire la légalisation de la marijuana. Cela a été imposé en catastrophe pour remplir une promesse électorale du premier ministre. On n'a pas écouté les experts en éducation ni les policiers. On n'a pas éduqué les jeunes.

Aujourd'hui, après six mois, on voit déjà que l'idée de base, soit celle d'éliminer le crime organisé dans le marché du cannabis, ne fonctionne pas. Tout le monde rit du gouvernement. Le crime organisé a continué à vendre du cannabis, et maintenant les gens se promènent avec de la marijuana illégale sans avoir peur de se faire prendre.

Cela nous amène à être sceptiques sur la façon dont vous voulez faire adopter le projet de loi C-93.

Un des facteurs que je voudrais aborder avec vous, c'est le processus.

On sait que, souvent, les policiers vont faire des négociations avec les gens. Certaines personnes qui sont arrêtées peuvent avoir commis d'autres infractions plus graves, mais les policiers peuvent choisir de les inculper de possession de marijuana, parce que les conséquences sont moins graves pour elles. De telles négociations se font.

Maintenant que le cannabis est légal, comment va-t-on faire pour que les gens qui ont commis des crimes plus graves, mais qui ont eu la chance de s'en sauver en étant seulement inculpés de possession de marijuana, ne passent pas à travers les mailles du filet en demandant un pardon? Dans leur cas, il y a d'autres problèmes. On ne veut pas que ce soit un laissez-passer pour tout le monde.

Quel sera le processus?

(1550)

[Traduction]

L'hon. Ralph Goodale:

Tout d'abord, monsieur Paul-Hus, merci de votre soutien à l'étape de la deuxième lecture. J'espère que la discussion en comité et ailleurs peut vous rassurer comme il le faut.

J'ai discuté de la nouvelle loi sur le cannabis avec un certain nombre de policiers et de chefs de police de partout au pays. La vaste majorité d'entre eux m'ont dit — ce qui correspond parfois à ce à quoi ils s'attendaient et ce qui les a parfois peut-être surpris — qu'au cours des derniers mois où l'ensemble de la structure juridique concernant le cannabis avait changé, leur expérience de l'application de la loi s'est révélée très positive. Ils n'ont pas vu une augmentation de comportements préoccupants selon eux.

Je conviens que ce n'est encore que le début. Cela fait à peine six mois, mais ils apprennent à mesure. Ils disent avoir, de façon générale, une bonne expérience par rapport à la nouvelle loi.

Pour ce qui est du point précis que vous avez soulevé, cette mesure législative, le projet de loi C-93, porte sur la réalité associée à l'objet de l'accusation d'une personne. Lorsqu'une personne n'a été reconnue coupable que de simple possession de cannabis ou d'une substance inscrite à l'annexe II — si c'est l'infraction mentionnée dans la demande présentée à la Commission des libérations conditionnelles —, alors cette mesure législative s'applique.

Les personnes ayant des casiers judiciaires plus compliqués ne seraient généralement pas en mesure de profiter des dispositions de cette mesure législative. Elles devront suivre le processus normal. En revanche, pour l'infraction de possession simple de cannabis, le projet de loi C-93 s'appliquerait. [Français]

M. Pierre Paul-Hus:

Autrement dit, ce sont les personnes qui ont un casier judiciaire seulement pour possession simple de cannabis qui seront privilégiées grâce au projet de loi C-93 et qui pourront demander un pardon sans frais. Cependant, les gens qui ont un casier judiciaire plus complexe vont devoir passer par le processus et payer les frais.

Cela va-t-il être différent? [Traduction]

L'hon. Ralph Goodale:

Mme Connidis aimerait dire quelque chose à ce sujet, monsieur Paul-Hus.

Mme Angela Connidis (directrice générale, Direction générale de la prévention du crime, des affaires correctionnelles et de la justice pénale, ministère de la Sécurité publique et de la Protection civile):

Les personnes dont le casier judiciaire inclut d'autres infractions, outre la possession de cannabis, devront payer les frais complets, et les périodes d'attente liées à ces infractions s'appliqueront. Comme le ministre l'a dit, si la possession de cannabis est la seule infraction, même si c'est attribuable à la négociation du plaidoyer comme vous l'avez mentionné, nous ne réagissons qu'aux condamnations incluses dans le casier judiciaire. Nous ne savons pas si ces personnes auraient été trouvées coupables d'autres infractions. Ce n'est pas vraiment à nous de remettre en question ce qu'un tribunal aurait fait. [Français]

M. Pierre Paul-Hus:

Merci.

Monsieur le ministre, vous avez évoqué des discussions avec des groupes de policiers, mais nous n'avons pas eu vent de consultations effectuées auprès d'autres groupes, au préalable. Avez-vous fait des consultations avec des groupes en particulier? [Traduction]

L'hon. Ralph Goodale:

En ce qui concerne le projet de loi C-93, ou...?

M. Pierre Paul-Hus:

Oui.

L'hon. Ralph Goodale:

Monsieur Paul-Hus, si je ne m'abuse, la consultation a été réceptive. Autrement dit, une fois que le projet de loi C-45 a été adopté… En fait, pendant les mois qui ont précédé la fin de son cheminement au Parlement et son adoption, de très nombreux Canadiens — le grand public, les médias et un bon nombre de députés, parce que cela a été soulevé pendant la période de questions — ont soutenu qu'avec la modification du régime juridique apporté par le projet de loi C-45, il faudrait se pencher sur la question des casiers judiciaires.

Par conséquent, dans le cadre de notre travail relatif au projet de loi C-45, nous avons commencé à envisager les façons possibles de répondre à l'enjeu des casiers judiciaires d'une façon qui serait juste, équitable et efficace. Cela répond en fait à ce qui semblait faire l'objet d'un large consensus au sein du public. Nous avons présenté le projet de loi. Il semblerait contradictoire de modifier la loi en adoptant le projet de loi C-45 sans traiter de la question des casiers judiciaires préexistants. C'est une observation très générale du public à laquelle nous avons répondu.

(1555)

Le président:

Merci, monsieur Paul-Hus, et merci, monsieur le ministre, de votre réponse très complète.

Monsieur Dubé, vous avez sept minutes.

M. Matthew Dubé (Beloeil—Chambly, NPD):

Merci, monsieur le président.

Merci, monsieur le ministre, d'être venu avec vos fonctionnaires.

Il y a deux petites choses que je tiens à faire entendre officiellement avant de poser ma question.

La première, c'est que je vous sais gré d'utiliser le terme « réhabilitation », et j'aurais aimé que votre point de vue sur ce terme vous amène à remettre « réhabilitation » dans la loi, plutôt que « suspension du casier », comme nous en avons discuté au moment de l'étude réalisée par le Comité. Cependant, nous en sommes à la 11e heure de la présente session, alors je n'y compte pas trop, malheureusement.

Je veux aussi parler de la Société John Howard. Vous avez cité le témoignage présenté par Catherine Latimer dans le cadre de notre étude sur la réhabilitation. Je tiens à dire à propos de cette question particulière… Vous êtes manifestement au courant du projet de loi de mon collègue Murray Rankin qui favorise la radiation des casiers judiciaires. Dans un échange sur Twitter, la Société John Howard a effectivement dit à propos de ce projet de loi, pendant qu'on en discutait, qu'il était temps, en effet, de radier les casiers judiciaires pour possession de cannabis et de cesser de punir la possession puisqu'elle n'est pas criminelle.

Je ne voulais pas causer de méprise sur le point de vue de la Société John Howard sur ce dossier, étant donné que nous mélangeons un peu l'étude que le Comité a réalisée sur la radiation des casiers judiciaires et la question en l'espèce.

J'aimerais revenir… Entre votre position, dans le projet de loi C-93, et ce que notre parti demande, soit la radiation, le débat s'appuie sur la notion d'injustice historique. Il n'y a en fait aucun précédent à cet égard. Il n'existe aucune obligation légale. C'est quelque chose que le gouvernement semble utiliser pour la forme. Quand nous avons interrogé le premier ministre à ce sujet à la Chambre, après la légalisation, j'ai souligné, entre autres choses, qu'à Regina les Autochtones étaient près de neuf fois plus susceptibles d'être arrêtés pour possession de cannabis. À Halifax, les Noirs étaient cinq fois plus susceptibles d'être arrêtés pour possession de cannabis. À Toronto, les Noirs n'ayant fait l'objet d'aucune autre déclaration de culpabilité étaient trois fois plus susceptibles d'être arrêtés pour possession de cannabis.

Juste avant d'en arriver à ma question et d'écouter votre réponse, monsieur le ministre, je veux répéter ce que Kent Roach, que vous connaissez très bien, a dit. Il a affirmé que: « Les erreurs judiciaires commises dans le passé au Canada ne devraient pas être assimilées à des lois qui contreviendraient maintenant à la Charte. La Charte est le minimum à respecter pour qu'on sente que justice a été rendue, pas le maximum. »

Contrairement à ce que M. Roach dit, est-ce que vous dîtes que votre gouvernement ne croit pas que cette épouvantable surreprésentation des Canadiens autochtones et noirs, entre autres minorités, ne représente pas une injustice?

L'hon. Ralph Goodale:

Au contraire, monsieur Dubé. Dans ma déclaration, j'ai indiqué très clairement que la façon dont les lois antérieures visant le cannabis avaient été appliquées à divers groupes marginalisés de notre société relevait d'une injustice flagrante et qu'il fallait que nous nous penchions sur la façon dont elle avait porté atteinte à leurs droits.

M. Matthew Dubé:

Monsieur le ministre, je comprends cela.

L'hon. Ralph Goodale:

Nous nous attaquons à cela en éliminant les frais et en éliminant la période d'attente.

M. Matthew Dubé:

Ce que je dis, c'est que quand j'ai interrogé le premier ministre à la Chambre sur cette question, et quand je vous ai interrogé à ce sujet, la réponse était différente de celle qui avait été donnée, par exemple, pour la question des casiers judiciaires des Canadiens LGBTQ2. Dans ce dernier cas, on nous a précisément dit que leurs casiers judiciaires allaient être radiés parce qu'ils avaient été victimes d'une injustice historique. Pourquoi ne pas radier les casiers judiciaires de ces Canadiens? Cela semble très clair. En 2016, le ministre Blair a dit que l'une des plus grandes injustices de ce pays était la disparité et l'inégalité de l'application de ces lois ainsi que leurs effets sur les communautés minoritaires, les communautés autochtones et les personnes vivant dans nos quartiers les plus vulnérables.

Qu'est-ce qui explique cette disparité entre ces deux cas, si ce n'est que la définition donnée par votre gouvernement à l'expression « injustice historique » semble relever de la rhétorique, alors qu'il n'existe aucun précédent juridique ou autre en ce sens?

(1600)

L'hon. Ralph Goodale:

La distinction d'ordre technique que la loi fait serait...

M. Matthew Dubé:

En ce qui concerne l'injustice historique, vous êtes en train d'improviser.

L'hon. Ralph Goodale:

Non. Ce n'est pas le cas. En ce qui concerne les dispositions législatives qui visaient la communauté gaie du pays, la loi elle-même constituait une violation fondamentale des droits de la personne. Dans le cas des...

M. Matthew Dubé:

Monsieur le ministre, nous nous entendons là-dessus. Cependant, si vous revenez à ce que M. Roach a dit concernant la Charte qui constitue le minimum, c'est la Charte que vous utilisez comme base. Ne diriez-vous pas que ces Autochtones, ces Noirs et les autres Canadiens qui ont été touchés d'une façon absurdement disproportionnée par cette loi sont eux-mêmes victimes d'une injustice historique et qu'ils mériteraient de voir leurs casiers judiciaires radiés?

L'hon. Ralph Goodale:

Ils ont été traités de manière injuste à cause de la façon dont la loi était appliquée. Cette loi, quand elle était en vigueur, n'était pas inconstitutionnelle, mais elle a été appliquée de manière injuste pour divers groupes marginalisés de notre société. Nous reconnaissons cela en éliminant les frais, en accélérant le processus, en mettant fin à la période d'attente et en veillant à ce que ce fardeau soit retiré de leur casier judiciaire le plus rapidement et le plus économiquement possible.

M. Matthew Dubé:

Monsieur le ministre, manifestement, nous ne nous entendons pas là-dessus.

Pour la minute et demie qu'il me reste, je veux revenir à vos observations. On dirait presque que parce que vous ne savez pas ce qu'est une infraction pour la possession d'une substance inscrite à l'annexe II, il valait mieux faire en sorte que la personne présente une demande, plutôt que d'avoir un processus automatique. Il semble aussi qu'encore une fois, ce sont ces personnes qui doivent en assumer le fardeau.

Dans ce contexte en particulier, quand vous regardez le projet de loi C-66, pour revenir à cette autre question, 7 personnes sur 9 000 ont présenté une demande. Le gouvernement ne peut-il pas reconnaître qu'il serait simplement préférable de rendre cela automatique? Il semble assez clair que les Canadiens qui sont déjà marginalisés peuvent ne pas être en mesure de profiter de ce processus, comme à San Francisco, où 23 personnes seulement sur 9 400 se sont prévalues de la possibilité de demander la réhabilitation parce qu'elles avaient été trouvées coupables de possession de cannabis.

L'hon. Ralph Goodale:

Nous sommes tout à fait d'accord, vous et moi, monsieur Dubé. D'après ce que j'entends, la plupart des gens à cette table, peut-être la plupart des gens à la Chambre — je l'espère — diraient que s'il était possible de réaliser automatiquement la radiation des casiers judiciaires, et si on pouvait simplement appuyer sur un bouton, et abracadabra, les casiers judiciaires disparaîtraient...

M. Matthew Dubé:

Si le personnel doit de toute façon le faire manuellement, pourquoi ne pas tout simplement le faire?

L'hon. Ralph Goodale:

Le casier judiciaire ne disparaît qu'une fois que vous avez mécaniquement éliminé le casier.

M. Matthew Dubé:

Pourquoi ne pas demander à votre ministère de prendre cette mesure mécanique et de rendre cela automatique au sein du ministère, plutôt que d'obliger ces personnes à faire une demande et à suivre le processus, à condition d'en être au courant pour commencer?

L'hon. Ralph Goodale:

Il est beaucoup plus efficace et économique de fonder cela sur des demandes.

M. Matthew Dubé:

Vous faites porter le poids de cela aux Canadiens. C'est la raison pour laquelle c'est plus efficace.

L'hon. Ralph Goodale:

La réalité, monsieur Dubé, c'est que si nous faisions ce que vous dîtes, franchement, il faudrait des décennies et on refuserait aux gens un processus leur permettant de faire une demande et d'obtenir un résultat très rapidement.

Le président:

Merci, monsieur Dubé.

Monsieur Graham, vous avez sept minutes.

M. David de Burgh Graham (Laurentides—Labelle, Lib.):

Merci.

Dans votre déclaration liminaire, monsieur le ministre, vous avez parlé de la demande. Je me demande combien de temps il faut pour traiter une demande mécaniquement, une fois qu'elle a été soumise.

L'hon. Ralph Goodale:

Monsieur Broom, pouvez-vous répondre à cela?

M. Ian Broom (directeur général intérimaire, Politiques et opérations, Commission des libérations conditionnelles du Canada):

Bien sûr.

L'hon. Ralph Goodale:

Monsieur Broom est à la Commission des libérations conditionnelles. Ce sont eux qui vont s'occuper des documents.

M. Ian Broom:

Je vous dirais tout d'abord que des normes de service sont associées aux frais de demande de 631 $ qui sont actuellement exigés pour les suspensions de casiers. Je dirais donc que ce serait 6 mois pour une déclaration de culpabilité par procédure sommaire et 12 mois pour une déclaration de culpabilité par mise en accusation.

Selon la proposition dont on discute pour le projet de loi C-93, c'est fondamentalement différent parce qu'il n'y a pas de frais, alors que dans le régime actuel, il y a des frais de 631 $. De plus, il n'y a plus de décision prise par les commissaires. C'est maintenant une décision administrative. Ce sont les membres du personnel qui déterminent l'admissibilité en fonction des documents qui ont été fournis dans le cadre du processus de demande. De là, la suspension du casier serait accordée.

Un autre facteur entre en jeu concernant le temps qu'il faudra pour cela, et c'est que même s'il n'y a pas de normes de services pour le régime décrit dans le projet de loi C-93, nous nous attendons à ce que ce soit un processus accéléré. Parce qu'il est administratif, le processus serait plus rapide.

Je ne peux pas vous donner de chiffres exacts, car il faudrait que nous connaissions les volumes avant de faire une telle évaluation. Cependant, nous aurons le personnel et les ressources en place quand la loi entrera en vigueur.

(1605)

L'hon. Ralph Goodale:

J'aimerais ajouter, monsieur Graham, que l'un des facteurs essentiels est qu'il s'agit d'un processus administratif et mécanique qui se fonde sur le casier judiciaire. Ce n'est pas comme si un membre de la Commission des libérations conditionnelles doit agir comme arbitre ou rendre un jugement. Si les faits de la demande sont conformes à la loi, une décision administrative est prise, ce qui signifie que c'est beaucoup plus rapide qu'un processus décisionnel.

M. David de Burgh Graham:

C'est bon, mais ce que je me demande, c'est s'il faudra une semaine, un mois ou une année pour obtenir ma réhabilitation, si je fais une demande.

Je tiens à préciser que je n'ai pas de casier judiciaire.

L'hon. Ralph Goodale:

De façon générale, monsieur Broom...

M. Ian Broom:

De façon générale, j'hésite à préciser cela. Encore là, je pense qu'il faudrait que nous puissions évaluer les volumes que nous recevons. Il y a des milliers de demandes chaque année, mais ce serait nettement moins que les normes de services acceptées qui sont en place pour les déclarations de culpabilité par procédure sommaire et pour les déclarations de culpabilité par mise en accusation.

M. David de Burgh Graham:

Merci.

Dans vos commentaires, vous avez parlé de l'expérience kafkaïenne que vivent les personnes dont le casier judiciaire a été radié et qui tentent de franchir la frontière américaine. Pourriez-vous nous en dire un peu plus à ce sujet? À certains endroits, en particulier à la frontière américaine, on ne vous demande pas si vous avez fait l'objet d'une déclaration de culpabilité ou d'une réhabilitation. On vous demande si vous avez déjà été arrêté.

Est-ce que ceci produira un effet?

L'hon. Ralph Goodale:

La réalité, c'est qu'ils sont responsables des règles qui s'appliquent à l'entrée aux États-Unis. Ce sont donc les Américains qui décident des personnes qui peuvent entrer aux États-Unis et des personnes qui ne le peuvent pas.

Ce que je faisais valoir dans ma déclaration, c'est que s'il y a contestation au moment où vous arrivez à la frontière, vous pouvez mieux expliquer votre cas si vous avez un document qui énonce votre statut au Canada que si vous n'avez aucun moyen de contester l'impression que l'agent frontalier américain a de vous, notamment que vous lui mentez. Ce qui peut être le plus difficile, au moment de franchir la frontière, c'est si l'agent de l'autre côté pense qu'il a affaire à un menteur. Un document qui explique votre statut vous aiderait à régler ce problème.

M. David de Burgh Graham:

Vous avez dit que 95 % des réhabilitations accordées au cours des quelque 40 dernières années sont toujours en vigueur. Pouvez-vous nous parler des 5 % qui ne le sont plus?

L'hon. Ralph Goodale:

Le plus souvent, quand le ministre de la Sécurité publique décide de rouvrir un casier judiciaire, c'est parce que la personne a été accusée d'une nouvelle infraction. C'est ce qui se produit le plus souvent quand l'existence d'un casier judiciaire devient pertinente dans les circonstances.

Monsieur Broom, avez-vous quelque chose à ajouter à cela?

M. Ian Broom:

Non. C'est tout à fait le cas. Quand une réhabilitation n'est plus en vigueur, c'est soit pour une question de bonne conduite, ou le plus souvent parce qu'il y a une nouvelle accusation.

M. David de Burgh Graham:

Quand une personne fait une demande, si c'est un cas de possession simple, est-ce qu'il y aurait des circonstances qui empêcheraient la réhabilitation?

L'hon. Ralph Goodale:

Si la personne répond aux exigences énoncées dans la loi… Et la commission des libérations conditionnelles, d'après ce que j'ai compris, va publier un guide qui se trouvera sur Internet et qui expliquera cela aux gens. Comme en ce moment pour la demande de réhabilitation normale, il y aura des explications détaillées et le formulaire de demande.

Si le demandeur a présenté une demande complète et a fourni toutes les informations pertinentes, c'est alors simplement une décision administrative à savoir si les objectifs de la loi sont atteints et s'il n'existe aucune possibilité de porter un jugement subjectif dans les circonstances. C'est la raison pour laquelle c'est plus rapide.

(1610)

M. David de Burgh Graham:

Merci. Je crois que mon temps est écoulé.

Le président:

Merci, monsieur Graham.

Monsieur Motz, vous avez cinq minutes.

M. Glen Motz (Medicine Hat—Cardston—Warner, PCC):

Merci, monsieur le président.

Monsieur le ministre Goodale, merci de votre présence aujourd'hui.

Ma collègue Mme Sahota vous a interrogé sur les coûts. Bien sûr, cela dépend du nombre de personnes qui font une demande, mais vous avez donné une estimation — plutôt votre fonctionnaire — d'un montant d'environ 2,5 millions de dollars sur l'année à venir pour traiter la documentation de plusieurs milliers de personnes. C'est ainsi que vous l'avez exprimé.

Si le coût d'une suspension du casier est en ce moment d'environ 600 $, c'est moins de 4 000 personnes. Je suis sûr que vos fonctionnaires ont une estimation du nombre de personnes qui devraient faire une demande.

L'hon. Ralph Goodale:

Comme vous le savez, monsieur Motz, il est difficile de prédire ces choses, car on ne sait pas exactement dans quelle mesure les gens se manifesteront. Cette estimation des coûts est liée au traitement d'environ 10 000 demandes en fonction de la méthode simplifiée dont nous venons de discuter.

M. Glen Motz:

Comment envisagez-vous de recouvrer ce coût? Est-ce que cela va venir d'un poste budgétaire existant? Est-ce que cela va s'ajouter au déficit d'un ministère? Comment vous attendez-vous à payer cela?

L'hon. Ralph Goodale:

Les 2,5 millions de dollars...?

M. Glen Motz:

Le montant complet, le coût de cela, que ce soit 2,5 millions de dollars ou plus.

L'hon. Ralph Goodale:

Nous nous attendons à ce que le programme coûte 2,5 millions de dollars. C'est de l'argent que nous obtiendrons dans le cours normal du processus budgétaire, avec l'approbation du Parlement.

M. Glen Motz:

Ferez-vous en sorte que vos fonctionnaires fournissent une analyse des coûts au Comité avant que nous adoptions la mesure ou que nous la modifions?

L'hon. Ralph Goodale:

Je pense que nous pouvons vous fournir l'analyse, monsieur Motz, pour vous montrer comment nous avons fait le calcul.

M. Glen Motz:

Existe-t-il actuellement un mécanisme permettant d'affecter les produits de la vente de cannabis légal à ce programme, au lieu d'utiliser l'argent des contribuables? Cette possibilité a-t-elle été envisagée? Sinon, la prendriez-vous en considération?

L'hon. Ralph Goodale:

Monsieur Motz, votre proposition relie en quelque sorte deux choses qui n'ont pas de rapport entre elles. D'un côté, il y a l'accumulation de vieux dossiers, qui constituent un fardeau, qui entachent la réputation des gens et qui sont maintenant considérés comme étant particulièrement importuns en raison de la légalisation. De l'autre côté, il y a le nouveau régime, qui génère des revenus, mais qui n'a pas de rapport direct avec les dossiers préexistants.

Ce sont deux choses distinctes, mais le coût du programme sera couvert par les recettes générales du gouvernement...

M. Glen Motz:

D'accord.

L'hon. Ralph Goodale:

... qui seront augmentées par la nouvelle source de revenus générés par...

M. Glen Motz:

Mais en tant que ministre de la Sécurité publique, vous ne pouvez pas puiser plus d'argent dans les recettes générales.

L'hon. Ralph Goodale:

Oui, je le peux.

M. Glen Motz:

Pas de la façon dont vous le dites. Juste parce que les produits de la vente de marijuana s'ajoutent aux recettes générales, cela ne veut pas dire que vous pouvez accéder aux fonds supplémentaires pour payer les frais du programme. Ce que j'essaie de dire...

L'hon. Ralph Goodale:

Vous avez raison. Les profits que le gouvernement réalise grâce à la vente de cannabis sont versés dans le fonds des recettes générales. C'est exact.

M. Glen Motz:

Tout ce que j'essaie de dire, c'est qu'une grande partie de la population canadienne est d'avis que le programme ne devrait pas être financé par les contribuables. Ainsi, tout mécanisme mis en place pour... J'aimerais aussi savoir si l'on a considéré la possibilité que la mesure législative permette à des individus de déposer une demande, de profiter de la procédure accélérée de suspension du casier et de passer avant ceux qui ont recours à la procédure régulière — qui déposent une demande, qui payent les frais et qui attendent.

Y aura-t-il des répercussions sur la procédure régulière de suspension du casier utilisée actuellement? Comment peut-on le garantir? Il s'agit du même personnel, à moins qu'on ajoute des employés.

(1615)

L'hon. Ralph Goodale:

La procédure n'est pas la même, en ce sens que les personnes ayant un casier judiciaire plus complexe doivent suivre la procédure régulière, qui implique la participation d'un membre de la Commission des libérations conditionnelles. Aux termes du projet de loi C-93, le traitement d'un casier judiciaire qui se limite à la possession simple de cannabis devient une fonction administrative gérée par le personnel. Le projet de loi prévoit également l'allocation de fonds distincts pour faire en sorte que le personnel nécessaire pour remplir cette fonction administrative soit en place, sans qu'il y ait d'incidence sur les autres fonctions importantes de la Commission des libérations conditionnelles.

Le président:

Merci, monsieur Motz.

Monsieur Picard, s'il vous plaît. Vous avez cinq minutes. [Français]

M. Michel Picard (Montarville, Lib.):

Merci, monsieur le président.

Pour commencer, je vais m'adresser au ministre ainsi qu'aux représentants du ministère et des autres agences, au sujet de la frontière américaine.

J'ai une question préalable. J'imagine que les employés de la douane américaine ont accès aux données canadiennes par l'entremise du CIPC, soit le Centre d'information de la police canadienne.[Traduction]

Utilisent-ils les données du Centre d'information de la police canadienne, CIPC, pour examiner les dossiers?

L'hon. Ralph Goodale:

Je demanderais à notre spécialiste de la GRC de donner des détails sur l'accessibilité de l'information à la frontière.

Mme Jennifer Gates-Flaherty (directrice générale, Services canadiens d'identification criminelle en temps réel, Gendarmerie royale du Canada):

Oui, vous avez raison. La GRC et le FBI ont conclu une entente sur l'échange limité d'information par l'entremise du CIPC. Ainsi, lorsque les gens traversent la frontière, les agents ont accès aux données qui se trouvent dans le système, le cas échéant.

Durant le processus de suspension du casier judiciaire, les données sont isolées et elles ne sont donc plus accessibles; personne ne peut les voir dans le système. [Français]

M. Michel Picard:

Savez-vous pendant combien de temps les Américains gardent une information?

Lorsque quelqu'un reçoit un pardon, son dossier est nettoyé immédiatement, de telle sorte qu'à la prochaine consultation, il n'y a pas de traces. Cependant, les Américains conservent probablement l'information plus longtemps, à moins que vous ne me disiez qu'ils consultent la base de données régulièrement, qu'ils reçoivent l'information à la même vitesse que les Canadiens et qu'ils ont donc une information à jour. Cela permettrait d'éviter des situations comme celle où, par exemple, un douanier américain penserait qu'une personne a menti parce qu'il y a des antécédents dans son dossier.

Est-ce que le dossier des gens est mis à jour de façon suffisamment soutenue pour éviter une accumulation d'anciennes données dans le système américain? [Traduction]

L'hon. Ralph Goodale:

C'est exactement le genre de situation difficile dont je parlais qui pourrait mettre un Canadien dans l'embarras à la frontière. Si les Américains ont, dans leurs dossiers, des données qu'ils ont obtenues il y a plusieurs années, et si la personne a été réhabilitée depuis, il pourrait y avoir une différence entre les anciennes données contenues dans les dossiers des Américains et les faits actuels. Il serait utile que le Canadien puisse prouver son statut, ce qui est possible avec une suspension du casier, mais pas avec une radiation.

En ce qui concerne la période exacte de conservation de l'information, je vais essayer d'obtenir une réponse précise de la part des Américains pour répondre à votre question. Je soupçonne qu'ils la conservent pendant longtemps, mais je vais essayer de m'informer auprès des fonctionnaires américains.

M. Michel Picard:

C'est ce que je crains, oui.

L'hon. Ralph Goodale:

Exactement.

M. Michel Picard:

Je sais. C'est toujours la même histoire.

Le problème, c'est que les Américains peuvent demander si la personne a déjà eu un casier judiciaire.[Français]

Cependant, à la douane, on ne cherche pas nécessairement à savoir si la personne a un casier judiciaire. Cela, c'est la particularité. On cherche plutôt à savoir si la personne a consommé du cannabis, car, aux yeux des Américains, ce qui est légal chez nous ne l'est toujours pas chez eux.

À l'intention du public canadien qui s'intéresse à la question, il faut dire que, bien qu'il s'agisse d'une innovation plus que justifiée au Canada, cela ne garantit pas une porte d'entrée sans problèmes aux États-Unis, en raison de la nature de la consommation.

(1620)

[Traduction]

L'hon. Ralph Goodale:

Vous avez tout à fait raison, monsieur Picard.

Je sais que c'est une maigre consolation, mais il y a un exemple qui montre que les divergences de vues vont dans les deux sens. Aux États-Unis, la conduite avec facultés affaiblies n'est pas considérée comme un acte criminel, alors qu'elle l'est au Canada. Un Américain ayant été accusé de conduite avec facultés affaiblies qui tente d'entrer au Canada peut se voir refuser l'accès à cause de cette accusation. Certains Américains s'opposent fortement au fait que les Canadiens considèrent cette infraction comme étant beaucoup plus grave que ce que la loi américaine semble dire. Les divergences de vues vont donc dans les deux sens.

M. Michel Picard:

Merci.

Le président:

Merci, monsieur Picard.

Monsieur Eglinski, s'il vous plaît. Vous avez cinq minutes.

M. Jim Eglinski (Yellowhead, PCC):

Merci.

Monsieur Broom, une fois qu'une personne ayant un casier judiciaire pour possession simple présente une demande de réhabilitation — ou peu importe le terme que vous employez — et que la demande a été examinée, que faites-vous? Comment l'effacez-vous?

M. Ian Broom:

Je ne suis pas certain de comprendre la question.

M. Jim Eglinski:

Une personne suit tout le processus. Vous avez la demande devant vous et vous jugez qu'elle est justifiée. Que faites-vous?

M. Ian Broom:

Si un demandeur soumet les documents requis qui montrent qu'il a satisfait...

M. Jim Eglinski:

Non, j'ai déjà dit cela. Vous perdez du temps.

Tout est en ordre. Comment faites-vous pour effacer le casier judiciaire?

M. Ian Broom:

Nous délivrons alors la suspension du casier et nous communiquons avec la GRC pour qu'elle le retire de la base de données du CIPC. Ma collègue pourrait confirmer...

M. Jim Eglinski:

Vous parlez d'une mesure mécanique, tout comme le ministre.

Pourquoi 100 personnes ne pourraient-elles pas parcourir l'ensemble des casiers judiciaires canadiens, retirer les casiers pertinents, les envoyer à la GRC et lui dire de les effacer? Vous dites qu'il s'agit des casiers judiciaires pour possession simple, mais vous obligez les Canadiens à présenter une demande et vous vous créez une montagne de paperasse à examiner, alors que vous n'auriez qu'à suivre un simple processus mécanique que vous aviez dit impossible. Vous communiquez avec la GRC et vous lui dites d'effacer les casiers judiciaires.

Pourquoi oblige-t-on les Canadiens à franchir un tel obstacle?

M. Ian Broom:

Comme le ministre l'a dit tout à l'heure, ce serait merveilleux de pouvoir procéder ainsi. Le problème, c'est que la possession simple de cannabis n'est pas une infraction particulière. Par exemple, nous avons besoin du dossier du CIPC, qui est vérifié au moyen des empreintes digitales, pour confirmer que la demande est présentée par la bonne personne. S'il s'agit, disons, d'une infraction punissable sur déclaration de culpabilité par procédure sommaire, elle ne se trouve peut-être pas dans la base de données du CIPC.

Nous avons aussi besoin d'information de la part des tribunaux pour confirmer que la peine a été purgée, l'amende payée, etc. Malheureusement, cette information est entreposée de diverses façons dans les palais de justice des provinces. Comme nous l'avons déjà dit, ces documents doivent nous être fournis simplement parce que nous n'y avons pas accès.

Si nous suivions votre suggestion et nous tentions de recueillir tous les casiers judiciaires de manière proactive, nous ne saurions pas nécessairement où envoyer les gens, et il y aurait différents types d'expéditions...

M. Jim Eglinski:

Autrement dit, le processus ne changera pas vraiment parce que vous devrez tout de même vérifier le CIPC, mener une enquête et tout le reste. Quelle est la différence entre le processus actuel et le nouveau processus?

L'hon. Ralph Goodale:

Il n'y a pas de frais et il n'y a pas de période d'attente. Une personne peut déposer une demande, et si elle soumet toute l'information exigée dans le formulaire...

M. Jim Eglinski:

Mais monsieur le ministre, il vient de dire qu'il faudra vérifier le CIPC. Il faudra vérifier les dossiers pour confirmer...

L'hon. Ralph Goodale:

Ça, c'est si l'on procède de votre façon, monsieur Eglinski.

Si l'on disait à la Commission des libérations conditionnelles de trouver tous les casiers judiciaires pour possession simple au Canada et d'utiliser sa baguette magique pour les faire disparaître, franchement, il faudrait qu'elle fouille dans les boîtes et les dossiers des palais de justice et des postes de police partout au pays. En demandant à la Commission des libérations conditionnelles de partir à la recherche de tous ces casiers judiciaires, on lui imposerait une énorme tâche administrative dont la réalisation coûterait très cher.

(1625)

M. Jim Eglinski:

D'accord.

Ma question pour le ministre est la suivante: est-ce qu'un des agents de votre ministère s'informera auprès de vos homologues américains?

Comme mes collègues d'en face l'ont dit, ce sont eux qui choisiront la formulation, que ce soit « Avez-vous déjà été arrêté? » ou « Avez-vous déjà été en possession? » Il faut qu'il y ait une entente parce que si je donne la mauvaise réponse à la frontière, on ne me laissera pas passer. Même si j'ai un petit bout de papier de votre ministère, je peux me faire piéger par la formulation.

L'hon. Ralph Goodale:

Si les agents pensent que la personne leur ment... Et c'est vrai dans les deux sens, peu importe dans quelle direction la personne essaie de franchir la frontière.

Monsieur Eglinski, le fait est que ce sont les Américains qui fixent les règles d'accès à leur pays et qui les appliquent. Les fonctionnaires de notre côté de la frontière, en particulier ceux de l'Agence des services frontaliers du Canada, discutent constamment avec les Américains en vue de rendre l'expérience à la frontière aussi prévisible et positive qu'elle peut l'être pour les voyageurs venant des deux directions, car c'est dans l'intérêt supérieur des deux pays d'avoir une frontière mince, efficace, sûre et sécuritaire. Dans nos discussions continues sur la légalisation du cannabis et ses répercussions à la frontière, ils nous ont dit...

Nous savons tous qu'il est illégal de franchir la frontière avec du cannabis, que ce soit pour se rendre du Canada aux États-Unis ou des États-Unis au Canada. Ils nous ont dit qu'ils n'avaient pas l'intention de modifier leur questionnaire, à moins que des motifs les poussent à avoir des doutes. Depuis que la nouvelle loi a été adoptée il y a quelques mois, l'expérience à la frontière n'a pas beaucoup changé.

Le président:

Merci, monsieur Eglinski.

Madame Dabrusin, les quatre dernières minutes sont à vous.

Mme Julie Dabrusin (Toronto—Danforth, Lib.):

Avez-vous dit quatre?

Le président:

J'ai dit quatre, mais en réalité, c'est trois minutes et demie.

Mme Julie Dabrusin:

D'accord, dans ce cas, je vais aller droit au but.

Monsieur le ministre, dans votre déclaration préliminaire, vous avez fait référence à une étude que nous avons faite sur la question générale de la suspension du casier. Le rapport du Comité qui a suivi cette étude a été adopté à l'unanimité; c'était merveilleux de voir tout le monde s'entendre. La recommandation c) était la suivante: « Le Comité recommande que le gouvernement examine la complexité du processus de suspension du casier, et songe à mettre en place d'autres mesures pour appuyer les demandeurs tout au long du processus et ainsi le rendre accessible ». Une des raisons pour lesquelles nous avons fait cette recommandation, c'est que de nombreux témoins nous ont parlé de la complexité du processus et des formulaires.

Maintenant que nous avons un formulaire simplifié pour ce processus précis et même un processus simplifié, est-ce que quelque chose sera mis en place afin d'en tirer des leçons qui pourront ensuite être appliquées à la suspension du casier en général?

L'hon. Ralph Goodale:

Les résultats que nous obtiendrons avec le projet de loi C-93 seront certainement très instructifs sur les plans de la politique publique et de l'administration publique. La réponse est donc oui, à mon avis, on pourrait tirer d'importantes leçons des résultats du nouveau processus, leçons qui pourraient ensuite être appliquées à d'autres questions relatives à la suspension du casier.

Il ne faut pas oublier, toutefois, que dans le cas présent, il s'agit d'un processus principalement administratif. Si tous les critères techniques sont remplis, la suspension est octroyée automatiquement, par voie administrative.

Dans le cas de la suspension d'un casier judiciaire pour des infractions non liées au cannabis, il faut que des membres de la Commission des libérations conditionnelles, et non seulement du personnel administratif, examinent et évaluent des facteurs subjectifs. C'est ce qui rend la question générale de la suspension du casier judiciaire plus complexe que l'objet du projet de loi C-93. Mais pour répondre à votre question, j'espère que oui, nous pourrons tirer des leçons du projet de loi C-93 pour ensuite améliorer l'ensemble du processus de suspension du casier judiciaire. Nous avons certainement l'intention de recueillir ces leçons et de les mettre à profit autant que possible.

(1630)

Mme Julie Dabrusin:

Merci.

Un autre sujet qui a été soulevé à la Chambre et même ici aujourd'hui, c'est celui de l'élimination des frais du programme de suspension du casier judiciaire. On dit que le coût pour les contribuables est un problème, mais en réalité, une des recommandations de notre rapport unanime était de réexaminer les frais du programme de suspension du casier. Je me souviens que durant notre étude, des témoins nous ont parlé de la valeur qu'on récupère lorsque les casiers judiciaires sont éliminés. C'est un fait qu'on peut épargner en suspendant un casier judiciaire parce que la suspension permet à la personne touchée d'intégrer la population active, par exemple.

Avez-vous de l'information à ce sujet? Qu'épargnons-nous en suspendant le casier judiciaire de quelqu'un?

L'hon. Ralph Goodale:

C'est probablement difficile à quantifier en dollars, mais la personne touchée pourrait décrocher un emploi ou un meilleur emploi parce que sa réputation ne serait plus entachée par son casier judiciaire. Elle pourrait faire du bénévolat dans sa communauté, ce qui n'était pas le cas auparavant; elle pourrait finir ses études ou se trouver un logement adéquat. Tous ces facteurs permettent aux personnes de mieux réussir leur vie, ainsi que de contribuer davantage à l'économie et à leur communauté.

C'est difficile à quantifier, madame Dabrusin, mais je crois qu'apporter de tels changements réfléchis au processus de réhabilitation se traduira par une contribution nette positive à l'économie et au pays. De plus, ces changements allégeront certainement le fardeau des coûts administratifs.

Mme Julie Dabrusin:

Merci.

Le président:

Merci, madame Dabrusin.

Monsieur le ministre, avant de vous libérer et de suspendre la séance, j'aimerais savoir s'il y a une loi qui interdit à un employeur potentiel de poser la question suivante: « Avez-vous déjà obtenu un pardon ou une radiation? »

L'hon. Ralph Goodale:

Ce point précis fait partie des motifs de distinction illicite énoncés à l’article 2 de la Loi canadienne sur les droits de la personne.

Le président:

Est-ce de la discrimination? Je comprends votre point sur l'article 2, mais cet article est plutôt général.

L'hon. Ralph Goodale:

Je vais demander à Angela de répondre.

Mme Angela Connidis:

Il y a en effet une importante distinction à faire. La Loi canadienne sur les droits de la personne n'interdit pas de poser la question, mais elle interdit la discrimination pour ce motif.

Le président:

Très bien. Je voulais simplement poser la question.

Nous allons suspendre la séance pour cinq minutes. Nous avons des problèmes avec les microphones.

Je tiens à remercier le ministre et les fonctionnaires, au nom du Comité. Je m'attends à ce que les fonctionnaires demeurent dans la salle pendant que nous réglons les problèmes de microphones.

La séance est suspendue.

(1630)

(1640)

Le président:

Mesdames et messieurs, nous reprenons.

Les fonctionnaires sont restés, mais il semble que deux personnes se sont ajoutées, Mme Amanda Gonzalez et Mme Brigitte Lavigne. Je suis certain qu'elles se présenteront à la première occasion.

Cela dit, nous passons aux questions, en commençant par Mme Dabrusin, pour sept minutes.

Mme Julie Dabrusin:

La question est de savoir comment faire connaître le nouveau processus prévu au projet de loi C-93. Comment pouvons-nous informer les gens qu'il existe un processus simplifié et gratuit?

J'ai fait une recherche sur Google avec les termes « pardons, cannabis, Canada » et le premier résultat de recherche était « New Cannabis Pardons in Canada: Get a Free Record Suspension ». Il s'agissait d'une annonce pour une agence qui se charge de cette procédure moyennant certains frais. Il faut descendre plus loin sur la page pour trouver le site Web du gouvernement du Canada pour les demandes de pardon.

J'ai une question à deux volets. La première partie de ma question est la suivante: que faisons-nous pour diffuser ces renseignements dans les communautés, et quelqu'un peut-il faire en sorte que le site du gouvernement se retrouve en haut de la liste? Je poserai ensuite la deuxième partie de la question.

Mme Angela Connidis:

Je vais commencer, puis je céderai la parole à Ian, dont le groupe travaille activement à l'élaboration d'un plan.

Nous rencontrons régulièrement les intervenants, notamment la Société John Howard et des associations autochtones, des organismes qui travaillent avec les délinquants partout au pays. Nous avons consulté ces intervenants au sujet de nos propositions relatives aux pardons, du suivi et des façons de diffuser l'information. Pour commencer, nous leur demandons d'identifier et de rejoindre la clientèle cible susceptible de faire appel à eux. Essentiellement, le ministère de la Sécurité publique fait un travail de bouche à oreille. La Commission des libérations conditionnelles est en train d'élaborer une stratégie de sensibilisation beaucoup plus complète. Je vais laisser Ian en parler.

La question soulevée au sujet des consultants me préoccupe beaucoup. Il n'est pas toujours facile de réglementer Internet. Il faudrait beaucoup de travail et de fonds supplémentaires pour réglementer les consultants indépendants, qui ne relèvent pas nécessairement de notre compétence, mais c'est un enjeu auquel nous nous attaquerons.

M. Ian Broom:

L'utilisation des ressources Internet disponibles fait en effet partie de la stratégie de communication et de sensibilisation de la Commission des libérations conditionnelles associée à la procédure accélérée de suspension de casier judiciaire proposée dans le projet de loi C-93. Toutefois, comme vous le soulignez, l'accès à ces ressources pourrait être quelque peu difficile, dans certains cas. Cela comprendrait un guide étape par étape — un guide pour les demandes simplifiées — pour diffuser l'information.

Nous mettons effectivement l'accent sur nos partenaires habituels du système de justice pénale. Nous interviendrons donc auprès des organismes d'application de la loi, des tribunaux, et cetera, mais nous nous concentrerons et travaillerons aussi avec nos autres partenaires fédéraux pour déterminer comment transmettre le message à d'autres partenaires moins traditionnels. Nous voulons nous concentrer sur les groupes les plus marginalisés dont il a été question plus tôt aujourd'hui et les cibler.

Nous procédons lentement à la création d'une base de données qui nous donnera une bonne idée de la clientèle cible de notre correspondance. Lors de la mise en œuvre, nous comptons cibler les partenaires et les organismes du système de justice pénale qui pourraient faciliter le processus, informer les gens ou les aider à obtenir un pardon pour une condamnation pour possession simple de cannabis.

(1645)

Mme Julie Dabrusin:

J'ai une question complémentaire, madame Connidis, parce que vous vous dites préoccupée que certains offrent de tels services de consultation. Nous avons abordé cet aspect dans notre étude précédente sur la suspension du casier judiciaire. Je crains que certains puissent profiter d'une mesure avantageuse que nous cherchons à créer. Nous essayons d'offrir un service gratuit — une procédure simplifiée, en fait —, mais certains pourraient jouer un rôle d'intermédiaire. Je m'inquiète qu'il faille prendre des mesures pour empêcher cela.

C'est l'une des recommandations qui ont été formulées dans le cadre de notre étude sur la suspension du casier judiciaire. Quels outils utilisons-nous pour traiter avec les intermédiaires pour les suspensions du casier judiciaire? Peut-on faire quelque chose?

Mme Angela Connidis:

Nous devrions sans doute faire des efforts considérables sur les plans de l'élaboration de politiques et de la recherche. Je commencerais par Immigration Canada, parce qu'ils ont eu des problèmes avec les consultants, mais dans un contexte très différent. Nous devrions demander à notre service des communications de chercher à savoir ce qu'il faut faire pour que les sites de Sécurité publique Canada ou de la Commission des libérations conditionnelles du Canada se retrouvent en haut de la liste. Il y a probablement des frais à payer ou quelque chose du genre.

Voilà par où nous devrions commencer. Ce n'est pas une question simple. Ce n'est pas un enjeu qui a souvent été à l'avant-plan, comme dans le contexte de l'immigration, mais c'est certainement une préoccupation.

Mme Julie Dabrusin:

Revenons en arrière, monsieur Broom. Vous avez mentionné diverses méthodes de communication. Avez-vous songé à utiliser les médias sociaux pour rejoindre les gens?

M. Ian Broom:

Absolument. Miser sur les réseaux sociaux est certainement un élément central de notre stratégie globale.

Mme Julie Dabrusin:

Dans notre étude précédente, une femme, Mme Louise Lafond, a indiqué qu'une des difficultés les plus courantes qu'elle avait rencontrées avec ses clients était qu'ils avaient des amendes impayées. C'est un des facteurs qui empêche les gens de demander la suspension de leur casier judiciaire.

En examinant la mesure législative, il m'a semblé que dans le projet de loi C-93, on éliminait la possibilité qu'une amende non acquittée puisse entraîner des retards. Est-ce que c'est exact? J'examine le paragraphe 4(3.1) proposé.

Mme Angela Connidis:

Aux termes du projet de loi C-93, dès que vous avez purgé votre peine, y compris une amende, vous n'avez plus de période d'attente. Par conséquent, si vous avez une amende impayée à l'heure actuelle, vous pourrez présenter une demande dès qu'elle sera payée. La période d'attente ne se poursuit pas.

Mme Julie Dabrusin:

Très bien. J'avais mal compris. Très bien, merci.

Le président:

Merci.[Français]

Monsieur Paul-Hus, vous avez la parole pour sept minutes.

M. Pierre Paul-Hus:

Merci, monsieur le président.

J'ai une question technique. J'espère que nous pourrons bien nous comprendre, compte tenu de l'interprétation.

Lorsqu'il s'agit de déterminer si les personnes sont admissibles à l'élimination de la période d'attente et des frais, le projet de loi fait-il une distinction entre la possession de 30 grammes ou moins de cannabis ou son équivalent, ce qui est maintenant légal, et l'activité de possession de plus de 30 grammes dans un lieu public, ce qui demeure illégal? [Traduction]

Mme Angela Connidis:

Nous avons débattu de la question, et nous ne l'avons pas inclus parce qu'il n'y a aucune limite pour la possession à des fins personnelles. La loi précédente n'établissait aucune distinction entre la possession dans un lieu public et la possession à des fins personnelles. Donc, nous n'établissons pas de distinction ni une limite de 30 grammes. [Français]

M. Pierre Paul-Hus:

La possession de plus de 30 grammes de cannabis dans un lieu public demeure illégale. Alors, pourquoi une personne accusée de cela à l'époque aurait-elle le droit d'obtenir un pardon, si cet acte demeure illégal aujourd'hui?

(1650)

[Traduction]

Mme Angela Connidis:

Dans le passé, on n'établissait aucune distinction entre la possession dans un lieu public ou un lieu privé, de sorte qu'il n'y a pas moyen de le savoir. [Français]

M. Pierre Paul-Hus:

Il est donc possible qu'on accorde un pardon à quelqu'un ayant commis un acte qui demeure illégal aujourd'hui. [Traduction]

Mme Angela Connidis:

Vous avez maintenant une loi très claire; si une personne est accusée de cette infraction, la condamnation ne sera pas effacée. [Français]

M. Pierre Paul-Hus:

D'accord.

Nous avons parlé des coûts avec le ministre de la Sécurité publique et de la Protection civile. Selon l'information dont nous disposons de notre côté, environ 500 000 Canadiens ont été accusés de possession simple de cannabis. Le ministre a dit qu'il s'attendait à ce que 10 000 d'entre eux fassent une demande de pardon.

Comment expliquez-vous le fait que, parmi ces 500 000 personnes, seulement 10 000 feraient une demande de pardon? [Traduction]

Mme Angela Connidis:

Comme nous l'avons dit, il est très difficile de savoir qui a été déclaré coupable d'infractions liées à la possession de cannabis. Donc, nous ne pouvons pas simplement consulter une base de données et donner un chiffre. Nous avons extrapolé à partir des statistiques recueillies par le Service des poursuites pénales du Canada, et on compte plus de 250 000 condamnations pour possession simple de cannabis. C'est un point de départ. Le nombre de personnes qui devraient présenter une demande est beaucoup moins élevé, pour diverses raisons. Certaines de ces condamnations remontent à longtemps. Donc certaines personnes pourraient être décédées, d'autres pourraient déjà avoir obtenu un pardon, et d'autres encore pourraient avoir d'autres condamnations à leur casier judiciaire.

N'oublions pas que vous ne pouvez obtenir ce pardon que si votre seule infraction est la possession de cannabis. Bien que vous puissiez avoir commis cette infraction, si vous avez d'autres infractions dans votre dossier, vous ne seriez pas admissible. Ce n'est pas une science exacte, mais nous avons extrapolé à partir du chiffre de 250 000 et estimé les demandes à 10 000. [Français]

M. Pierre Paul-Hus:

D'accord.

Je vais donner le reste de mon temps de parole à M. Motz. [Traduction]

Le président:

Vous avez trois minutes.

M. Glen Motz:

Merci, monsieur le président.

Vous estimez le nombre de cas à 250 000. Qu'en est-il des autres 250 000 sur l'évaluation totale de 500 000? Où sont-ils?

Mme Angela Connidis:

Je ne sais pas d'où vient le chiffre de 500 000. Nous nous sommes basés sur 250 000.

M. Glen Motz:

Très bien.

Le président:

Pour que ce soit clair, on parle de 10 000 sur 250 000 et non de 10 000 sur 500 000, n'est-ce pas?

Mme Angela Connidis:

C'est exact.

M. Glen Motz:

Selon les chiffres que vous avez établis — et vous vous êtes engagés à fournir une analyse des coûts au Comité —, vous estimez qu'à terme, les coûts s'élèveront à 250 $ par demande.

Mme Angela Connidis:

Nous sommes toujours devant le Comité et nous n'avons pas la version définitive du projet de loi. Il m'est donc impossible de chiffrer les coûts précis en ce moment.

M. Glen Motz:

Je vais maintenant passer aux questions que j'avais pour le prochain tour.

Combien de temps me reste-t-il?

Le président:

Il vous reste deux minutes et 15 secondes.

M. Glen Motz:

D'accord. Dans ce cas-là, je vais attendre au prochain tour.

Mon collègue, M. de Burgh Graham, pose toujours des questions techniques sur la cybercriminalité. J'aimerais poser une question très technique concernant un type de substance. J'aimerais savoir si cela s'applique toujours en raison de l'ancienne LCN, de la LRCDAS et de la nouvelle loi qui a été modifiée à l'automne.

Une statistique fréquemment citée dans le Globe and Mail est que 500 000 personnes ont été condamnées pour possession de cannabis au Canada. Un porte-parole du gouvernement a également été cité dans les médias et a estimé que 10 000 personnes demanderont une suspension de leur casier judiciaire, comme vous l'avez dit. C'est de là que vient le chiffre de 500 000.

Mme Angela Connidis:

Comme je l'ai indiqué, nous avons extrapolé notre chiffre à partir des données du Service des poursuites pénales du Canada. Ce sont ses statistiques sur le nombre de condamnations.

M. Glen Motz:

Très bien.

C'est tout pour le moment, monsieur le président.

Le président:

Nous avons hâte au prochain tour pour entendre vos questions, monsieur Motz.

Monsieur Dubé, vous avez sept minutes.

M. Matthew Dubé:

Merci, monsieur le président.

Merci d'être restés pour la deuxième heure.

En ce qui concerne le projet de loi C-66, ceux qui présentent une demande par l'intermédiaire du processus créé dans cette mesure législative reçoivent-ils une confirmation?

(1655)

Mme Angela Connidis:

Je demanderais à Ian et à Brigitte de répondre.

Le président:

Madame Lavigne, pourriez-vous vous présenter, aux fins du compte rendu?

Mme Brigitte Lavigne (directrice, Clémence et suspension du casier, Commission des libérations conditionnelles du Canada):

Je m'appelle Brigitte Lavigne. Je suis directrice, Clémence et suspension du casier, à la Commission des libérations conditionnelles du Canada.[Français]

Je vous remercie de votre question.[Traduction]

Votre question visait à savoir si les gens reçoivent un avis lorsqu'une radiation est ordonnée. Lorsque la Commission des libérations conditionnelles du Canada ordonne une radiation, nous avisons le demandeur, comme nous le faisons pour les pardons et les suspensions du casier. Ensuite, nous avisons la GRC, qui se chargera de faire retirer définitivement le casier du répertoire national.

M. Matthew Dubé:

J'essaie simplement de concilier cela avec les propos du ministre. Il a utilisé un exemple où, à la frontière, une personne dont le casier était radié n'en aurait pas la preuve, mais je comprends qu'il en soit autrement maintenant. N'y aurait-il pas confirmation si la loi était semblable au projet de loi C-66? Autrement dit, la radiation sera-t-elle confirmée?

Mme Angela Connidis:

Est-ce sous forme de certificat?

Mme Brigitte Lavigne:

Nous fournirions la documentation. Je crois que l'avantage dont parlait le ministre, c'est que, par la suite, de nombreux demandeurs nous reviennent pour demander copie des documents relatifs au pardon ou à la suspension du casier. Nous produisons de nouveau les documents, une fois, puis nous en informons la GRC et nous les versons au dossier. Dans l'esprit de la loi, les provinces, les territoires et les municipalités retiendront le casier à leur tour.

Il en va de même pour la radiation. Nous nous attendrions à ce qu'ils détruisent l'information ou la suppriment définitivement de leurs bases de données. Si un demandeur revenait, ce dossier ne serait plus accessible.

M. Matthew Dubé:

Toutefois, la personne qui aurait conservé le document initial aurait une confirmation.

Mme Brigitte Lavigne:

Si elle a conservé le document.

M. Matthew Dubé:

Il n'y aurait aucune trace qu'une information aurait été supprimée. Je veux simplement m'assurer qu'on établit une distinction entre le casier judiciaire et l'acte de suppression du casier. Il n'y aurait pas non plus une trace de la suppression du casier, n'est-ce pas?

Mme Angela Connidis:

Non.

M. Matthew Dubé:

J'ai une autre question sur le même enjeu.

Lorsque la GRC sera informée, le ministre aura-t-il le pouvoir, s'il s'agit d'une radiation... Le cannabis est légal au Canada. En supposant que tous les documents soient effacés, abstraction faite de tout débat sur le processus, le ministre aurait la possibilité, en théorie, d'informer son homologue américain, et les services frontaliers américains pourraient alors être dûment informés que cela s'est produit. Rien n'empêche une telle situation. Est-ce que c'est exact?

Mme Angela Connidis:

Je pense que sur le plan pratique, cela pourrait être prohibitif, pour chaque demandeur.

M. Matthew Dubé:

Pas sur une base individuelle. Je parle simplement de toutes les personnes dont le casier judiciaire pour possession de cannabis a été radié.

Mme Angela Connidis:

Oui, mais cela ne change rien au fait que cela figure déjà dans la base de données des Américains, et si c'est le cas, cela n'aura aucune importance pour eux.

M. Matthew Dubé:

Au sujet de la base de données des Américains, ai-je raison de comprendre qu'en vertu de la Loi sur le casier judiciaire le ministre peut communiquer des renseignements, même des renseignements concernant un casier judiciaire suspendu, à un pays allié du Canada?

Mme Angela Connidis:

Je ne suis pas certaine que ce soit en vertu de la Loi sur le casier judiciaire. Je vais devoir vérifier. Je me ferai un plaisir de vous trouver cette réponse.

M. Matthew Dubé:

Sommes-nous inquiets qu'une personne qui a obtenu la suspension de son casier judiciaire et qui se présente à la frontière puisse, si les agents lui demandent si elle a un casier judiciaire...? D'après votre expérience, arrive-t-il que des gens disent par erreur qu'ils n'ont pas de casier judiciaire ou qu'ils ne sachent pas comment répondre adéquatement à la question? Je reviens sur la manière dont la question peut être posée dans une demande d'emploi ou une demande pour la location d'un appartement si vous avez un casier judiciaire suspendu pour un crime pour lequel vous avez été condamné. Si un agent frontalier américain pose la question, il se peut qu'il la formule différemment. Avons-nous des données qui montrent dans quelle mesure cela se produit?

Mme Angela Connidis:

Non. Je n'ai pas de données à ce sujet.

M. Matthew Dubé:

D'accord.

En réponse à une autre question, nous discutions de la manière de faire savoir que ce service sera offert. Quel a été le problème avec le projet de loi C-66? Nous parlons de 7 personnes sur 9 000.

Mme Angela Connidis:

C'est difficile de savoir s'il y a eu un problème. Nous avons évalué le nombre de personnes qui pourraient avoir de tels casiers judiciaires. Il ne faut pas oublier que les dernières modifications ont été faites à la fin des années 1960. Cela remonte donc à des années. Nous nous sommes dit que certaines personnes ne se donneront peut-être pas la peine de le faire. C'était l'un des facteurs que nous avons pris en considération concernant les réhabilitations automatiques. Certains ne veulent tout simplement pas devoir en parler à d'autres. Il ne veut pas déterrer le passé ou ils sont peut-être décédés.

Je ne crois pas que cela découle d'un manque d'information. Dans cette communauté, l'information est très largement diffusée, et nous avions une campagne très active.

(1700)

M. Matthew Dubé:

Dans toutes vos réflexions concernant le projet de loi — et je le dis en tout respect et je suis conscient de l'importance de cet enjeu —, même s'il y a des problèmes avec la mise en œuvre, soit des problèmes avec le projet de loi C-66, et qu'il y a naturellement une différence d'âge et d'autres éléments de cette nature... Vous avez mentionné que des gens sont peut-être décédés.

Je me pose la question. Si nous prenons cet enjeu en particulier, nous avons peut-être de jeunes Canadiens qui seraient plus portés à vouloir avoir une forme de réhabilitation, que cela se fasse au moyen d'une radiation ou d'une suspension de casier judiciaire. Avez-vous pensé à la reconfiguration qui pourrait être nécessaire, compte tenu de la clientèle différente dans ce cas précis — passez-moi cette expression — de Canadiens qui pourraient en voir la nécessité à long terme, étant donné qu'ils ne ravivent pas un vieux problème? Ce sont des Canadiens qui sont peut-être dans la trentaine, par exemple, et qui ont de la difficulté à se trouver un emploi.

Mme Angela Connidis:

Je ne suis pas certaine de comprendre. Parlez-vous de notre démarche pour les attirer et communiquer l'information?

M. Matthew Dubé:

Oui. Vous semblez indiquer que vous réfléchissez au ministère aux raisons pour lesquelles le projet de loi C-66 n'a peut-être pas été une réussite. Avez-vous regardé ce qui pourrait être différent cette fois-ci et la façon d'en tenir compte?

Mme Angela Connidis:

Comme je l'ai mentionné, je ne dirais pas que le projet de loi C-66 n'a pas été un succès. Je crois que nous avons fait de la sensibilisation à ce sujet. Nous n'avons aucune donnée qui montre que c'est parce que les gens n'en étaient pas au courant. Les gens sont libres de présenter une demande.

En ce qui concerne le cannabis et la réhabilitation pour la possession simple de cannabis, la stratégie de communication est très différente, parce que nous savons que nous avons une clientèle plus vaste. Ce n'est pas un groupe précis en soi, comme la communauté LGBTQ2. Les communautés marginalisées regroupent de nombreuses personnes. Il y a des jeunes, et c'est pourquoi nous avons recours aux médias sociaux. Nous modifions aussi le processus de demande pour le simplifier avec l'accès en ligne, etc.

Brigitte ou Ian aimeraient peut-être ajouter quelque chose.

Le président:

Nous allons devoir nous arrêter là. Toutefois, avant de céder la parole à M. Picard, M. Dubé a posé une question, et vous semblez avoir pris un engagement. Pour bien préciser les choses, je vous invite à poser la question aux fins du compte rendu pour que nous comprenions tous la réponse.

M. Matthew Dubé:

Je vous remercie, monsieur le président, d'autant plus que mon temps est écoulé. Pouvez-vous nous confirmer si la Loi sur le casier judiciaire permet au ministre de communiquer des renseignements concernant des casiers judiciaires suspendus à des pays alliés?

Mme Angela Connidis:

Je vais vérifier.

Le président:

Il faudrait que ce soit fait rapidement, parce que l'échéancier de l'étude du projet de loi est très limité.

Monsieur Picard, vous avez sept minutes. [Français]

M. Michel Picard:

Merci, monsieur le président.

Mes questions vont porter sur le processus de demande de suspension du casier judiciaire.

Selon ce que j'ai compris, la responsabilité de faire une demande incombe aux demandeurs. Ceux-ci doivent présenter un dossier complet. Le projet de loi prévoit qu'il n'y aura aucuns frais ni aucune période d'attente. Les demandeurs doivent donc soumettre une demande et, normalement, elle sera acceptée.

Quels seraient les motifs de refus d'une demande? [Traduction]

Mme Angela Connidis:

Seulement si les gens ne peuvent pas démontrer que c'était pour la possession de cannabis et qu'ils ont purgé leur peine... S'ils ne peuvent pas démontrer ces deux choses, ils ne respecteraient pas les paramètres du projet de loi C-93. [Français]

M. Michel Picard:

En quoi est-ce pertinent qu'une personne ait terminé de purger sa peine, si vous allez effacer son casier judiciaire de toute façon? [Traduction]

Mme Angela Connidis:

Je crois qu'il en va de la crédibilité du système de justice pénale. Une accusation criminelle a été portée contre vous. Votre peine était peut-être de 5 ou de 10 ans. Vous n'avez pas purgé toute votre peine ou vous la purgez encore. À l'expiration de votre peine, c'est terminé. [Français]

M. Michel Picard:

J'aimerais pousser plus loin la question qui a été posée.

Lorsque le demandeur fait un travail de recherche pour obtenir tous les documents qu'il doit soumettre, il va communiquer avec les tribunaux et les postes de police. C'est lui qui fera ce travail, parce que ce serait extrêmement onéreux, compliqué et long si c'était le ministère qui le faisait à sa place. Je comprends bien cela. Le demandeur doit donc demander à un poste de police ou à un tribunal de lui transmettre l'information. Cependant, ces établissements ne se trouvent pas toujours dans la ville où demeure le demandeur. Pour faciliter le processus, il recevra les documents par courriel ou par la poste.

Comment pouvez-vous garantir la validité des documents qui vous seront présentés?

(1705)

[Traduction]

M. Ian Broom:

Je crois que je vais laisser ma collègue Brigitte vous répondre.

M. Jim Eglinski:

Bonne question, monsieur Picard. [Français]

Mme Brigitte Lavigne:

Présentement, quand une personne fait une demande de pardon ou de suspension du casier judiciaire, ce sont les documents officiels des corps policiers ou des tribunaux qui nous sont soumis, par l'entremise de la personne qui fait la demande. Les demandeurs obtiennent déjà ces documents qui portent un sceau ou une estampille quelconque prouvant leur authenticité.

M. Michel Picard:

Faites-vous une double vérification par la suite pour vous assurer de la validité de l'information qui vous a été transmise? Vous retrouvez-vous ainsi à faire une partie de la recherche, en plus du travail que doit faire le demandeur?

Mme Brigitte Lavigne:

Les documents nous arrivent en bonne et due forme et portent un sceau ou une estampille. Nous pouvons les authentifier et passer à l'étude du cas.

M. Michel Picard:

Il reste que les documents dont vous faites mention, même s'ils ont été authentifiés, ont été soumis par le demandeur.

Mme Brigitte Lavigne:

Oui.

M. Michel Picard:

D'accord.

C'est tout pour moi.

Le président:

C'est tout, monsieur Picard? [Traduction]

M. Michel Picard:

Oui.

Le président:

Pour revenir sur la question de M. Picard, si quelqu'un présente une demande pour une suspension de casier judiciaire, qu'est-ce qui est nécessaire d'avoir pour le processus? Puis-je soumettre une copie notariée qui explique que j'ai purgé ma peine? Un tel document serait-il acceptable aux yeux de la Commission?

Mme Brigitte Lavigne:

Le document judiciaire que nous obtenons est un document rempli par le tribunal. Nous recevons la confirmation du tribunal que la peine a été purgée, et cela nous permet aussi de déterminer si la peine est assortie d'une amende qui n'a pas encore été payée en totalité.

Le président:

Si je n'ai pas ce document, dois-je me rendre en personne au palais de justice pour l'obtenir?

Mme Brigitte Lavigne:

Les demandeurs obtiennent certains documents des tribunaux et d'autres documents des services de police. Leur corps policier local s'occupera de vérifier le casier judiciaire et de nous le fournir.

Le président:

Dans un cas normal, je présume que je dois me rendre au poste de police pour prouver que je n'ai rien fait de mal depuis la dernière fois que j'ai été condamné. Je dois prouver que j'ai été condamné et que j'ai purgé ma peine. Y a-t-il autre chose que je dois fournir à la Commission des libérations conditionnelles?

Mme Brigitte Lavigne:

Nous demandons aussi la fiche dactyloscopique, ce qui nous permet d'avoir accès aux condamnations inscrites dans le répertoire national, et nous demandons aux gens de remplir le formulaire de demande. Il y a une trousse, et un guide expliquant les étapes sera créé. Ce sera simple, et le guide expliquera les étapes et les documents que le demandeur doit nous fournir en vue de lancer l'examen du dossier et de déterminer si le demandeur répond aux critères prévus dans le projet de loi. Nous pourrons ensuite accorder la réhabilitation.

Le président:

Vous avez un processus qui compte trois, quatre ou cinq étapes que les personnes marginalisées doivent suivre pour obtenir ce qui devrait être un simple...

Mme Brigitte Lavigne:

Le projet de loi, ainsi que la loi qui entrera en vigueur, relève de la Commission des libérations conditionnelles. Nous serons prêts à offrir un processus simple. Les demandeurs auront accès à des outils. Nous avons une ligne sans frais et une adresse courriel réservée à cette fin. Il y aura de l'information sur le Web, et nous aurons, comme mes collègues l'ont mentionné, une stratégie de communication dynamique qui sera axée sur des partenaires traditionnels et non traditionnels en vue de simplifier le plus possible les choses pour les demandeurs qui souhaitent profiter de ce processus accéléré et sans frais qui est proposé dans le projet de loi C-93.

Le président:

Sauf votre respect, cela m'apparaît comme un processus assez complexe. Ce l'est particulièrement pour les communautés que vous visez.

Je m'excuse. Je n'ai pas l'habitude d'intervenir durant les séries de questions.

Je vois que M. Graham souhaite encore...

Une voix: C'est Mme Sahota.

Le président: Il reste un peu moins d'une minute.

Mme Ruby Sahota:

Parfait. J'ai en fait une question.

En ce qui concerne l'engagement d'avoir un processus sans frais, cela concerne-t-il seulement les frais relatifs à la demande? Qu'en est-il des frais possibles pour obtenir les documents au palais de justice ou au service de police? Il y aura des frais. Qu'en sera-t-il au sujet de ces frais?

(1710)

M. Ian Broom:

Non. La Commission des libérations conditionnelles du Canada impose des frais pour présenter une demande, mais le processus sera sans frais dans ce cas-ci.

Mme Ruby Sahota:

De manière générale, quels sont les frais qu'un demandeur pourrait devoir assumer pour demander une suspension de casier judiciaire? Quels sont les frais que les demandeurs doivent normalement assumer avant de présenter leur demande?

M. Ian Broom:

Je crois que les frais varient énormément, parce que cela dépend du service de police ou du tribunal. Je ne peux pas vous donner pour le moment une idée précise des frais. Je crois que le ministère a peut-être réalisé un examen sommaire à ce chapitre. Toutefois, il serait question de... J'hésite à vous donner un ordre de grandeur actuellement.

Le président:

C'est une bonne réponse, parce que cette estimation ne relève pas de vous, même si c'est un coût réel.

Monsieur Motz, vous avez cinq minutes.

M. Glen Motz:

Merci, monsieur le président.

Je vais continuer dans la même veine. Il faut payer pour obtenir ses empreintes digitales.

Il faut payer pour obtenir son dossier au service de police et il faut normalement payer pour obtenir son dossier au palais de justice, si le tribunal l'a. Dans certaines collectivités, si l'infraction a eu lieu il y a longtemps, le tribunal n'a peut-être plus le registre où c'est inscrit. C'est peut-être un processus sans frais du côté de la Commission des libérations conditionnelles, et ce sont les contribuables qui financeront le tout, mais ce processus demandera du temps, de l'énergie et des ressources à un demandeur. Je tiens à ce que ce soit clair.

J'aimerais discuter de l'annexe. Le projet de loi C-93 contient une annexe, et cela concerne les aspects techniques de la question. L'annexe recense les infractions pour lesquelles un délinquant peut présenter une demande et immédiatement recevoir une suspension de casier judiciaire à l'expiration de sa peine, et ce, sans frais, autres que ceux que nous venons de mentionner.

L'annexe mentionne trois catégories d'infractions pour la possession de substances. La première concerne l'annexe II de l'ancienne LRCDAS, soit l'ancienne Loi réglementant certaines drogues et autres substances, telle qu'elle était avant octobre de l'année dernière. La deuxième porte sur l'ancienne Loi sur les stupéfiants, soit la loi qui a précédé la Loi réglementant certaines drogues et autres substances. La troisième a trait aux infractions équivalentes prévues par la Loi sur la défense nationale.

Cependant, les listes de substances ne semblent pas être tout à fait identiques. Par exemple, une demande pour une suspension de casier judiciaire concernant une infraction liée à la possession de pyrahexyl — ou de parahexyl dans l'ancienne Loi sur les stupéfiants — sera-t-elle traitée sans délai et sans frais, étant donné que cette substance est inscrite à l'article 3 de l'annexe de la Loi sur les stupéfiants et que le demandeur pourrait alors profiter des changements proposés dans le projet de loi C-93? Dans l'affirmative, pourquoi serait-ce le cas, étant donné que le parahexyl est toujours considéré comme une substance illégale au Canada? Vos annexes le permettent, et je suis curieux de savoir pourquoi.

Mme Angela Connidis:

L'annexe fait référence aux lois où se trouvent les infractions liées au cannabis. Cela concerne seulement la possession de cannabis. Les documents que le demandeur fournira devront nécessairement indiquer que le cannabis était la substance pour laquelle il a été accusé de possession en vertu de l'une de ces lois.

M. Glen Motz:

Je comprends ce que la loi dit, mais vos annexes ne sont pas identiques. J'essaie de souligner qu'il faudrait voir à une certaine cohérence entre toutes les annexes de la Loi réglementant certaines drogues et autres substances, de la Loi sur les stupéfiants, de la nouvelle loi et de la Loi sur la défense nationale pour nous assurer que tout cela concorde. Je vous invite fortement à examiner cela, parce que cette substance est encore inscrite à cette annexe et qu'elle devrait demeurer illégale.

Ma dernière question a trait à ce que Mme Lavigne et M. Broom ont mentionné. La Commission des libérations conditionnelles a-t-elle des ressources suffisantes pour gérer un volume plus élevé?

Nous anticipons que le projet de loi C-93 fasse en sorte qu'il y ait possiblement 10 000 demandes au cours des prochaines années. Je sais que j'ai déjà posé la question au ministre. Si vous n'avez pas besoin de nouvelles ressources, le personnel administratif nécessaire pour procéder sur le plan administratif à une suspension de casier judiciaire aura une incidence sur le personnel administratif nécessaire pour procéder à une suspension de casier judiciaire à la Commission des libérations conditionnelles. Comment procéderons-nous? La somme de 2,5 millions de dollars est-elle vraiment suffisante? Je pose la question, parce que je n'ai pas l'impression que 250 $ est beaucoup, quand nous tenons compte du temps qu'il faut pour traiter une demande.

(1715)

Mme Brigitte Lavigne:

La Commission des libérations conditionnelles disposera des ressources nécessaires pour traiter les demandes lorsqu'elle les recevra. Nous avons actuellement des employés qui sont formés pour effectuer des tâches similaires lorsqu'ils traitent les demandes de suspension de casier et de pardon, et au fur et à mesure que le volume augmentera, nous avons l'assurance de recevoir des ressources additionnelles pour respecter les normes de service actuellement en place pour les demandes de suspension de casier et de pardon, de même que pour la procédure accélérée de suspension de casier pour ceux ayant été condamnés pour la possession simple de cannabis.

M. Glen Motz:

Pensez-vous que les 2,5 millions de dollars prévus au pifomètre couvriront les coûts liés à l'ajout de personnel ou seulement les coûts de traitement des dossiers?

Mme Brigitte Lavigne:

À ce stade-ci, les montants prévus pour que la GRC et nous puissions gérer ce groupe de demandeurs s'appliqueraient au personnel nécessaire pour traiter les demandes et procéder aux notifications.

M. Glen Motz:

Merci.

Le président:

Merci, monsieur Motz.

Madame Sahota, vous avez cinq minutes.

Mme Ruby Sahota:

Merci.

Je pense que nous allons simplement continuer à poser des questions qui s'inspirent les unes des autres. Je m'interroge aussi parce que le ministre a dit, tout comme M. Motz, au sujet de la liste des substances qui seraient visées par un certain type d'infraction, qu'on ne sait pas toujours clairement quelle substance la personne avait en sa possession. Il pourrait s'agir d'une substance qui se trouve sur la liste. Le demandeur a donc la responsabilité de prouver qu'il s'agissait de possession simple et qu'il ne s'agissait pas d'une substance qui se trouve sur la liste. Comment peut-il le prouver? Est-ce que l'information est toujours présente dans le dossier du tribunal, ou est-ce plus facile de la trouver ailleurs?

Mme Angela Connidis:

Les accusations seraient indiquées dans le dossier de la police locale ou dans celui du tribunal.

Mme Ruby Sahota:

Est-ce qu'on mentionnerait exactement de quelle substance il s'agissait?

Mme Angela Connidis:

Si l'information ne se trouve pas dans le dossier de la police, elle devrait se trouver dans celui du tribunal

Mme Ruby Sahota:

Mais les dossiers de la GRC ne contiendraient pas…

Mme Angela Connidis:

Ce serait le cas parfois, mais pas toujours.

Mme Ruby Sahota:

Si l'information se trouve dans les dossiers de la GRC, est-ce que la personne pourra éviter d'avoir à se procurer le dossier du tribunal et tout le reste? Est-ce que la suspension pourrait se faire facilement dans ce cas?

Mme Angela Connidis:

Le dossier de la police locale contient d'autres éléments. On y indiquera s'il s'agit de la substance en question, mais aussi si la personne a fait l'objet d'autres condamnations qui ne se trouvent pas dans les dossiers de la GRC, et il pourrait s'agir de condamnations par procédure sommaire pour des infractions assez graves, comme les agressions. C'est l'autre raison d'être de la vérification auprès de la police locale. Dans le dossier du tribunal, on indiquerait non seulement le type de substance, mais aussi la peine que la personne a reçue et si elle a été purgée en totalité. Les vérifications ne visent pas seulement à savoir s'il s'agissait de cannabis; elles sont effectuées également pour d'autres raisons.

Mme Ruby Sahota:

J'aimerais simplement avoir une précision au sujet de ce que vous avez déjà dit. Si la personne a été condamnée pour une agression ou un autre crime, en plus de la possession, il n'y aura pas de suspension du dossier pour possession, n'est-ce pas?

Mme Angela Connidis:

C'est exact. Pour obtenir le pardon, il faut que les périodes d'attente pour toutes les condamnations soient écoulées. Si vous avez été uniquement condamné pour possession de cannabis, la période d'attente sera écoulée, puisque nous l'avons supprimée.

Mme Ruby Sahota:

Mais s'il s'agissait d'une condamnation parmi d'autres, la condamnation pour cannabis ne serait pas suspendue, n'est-ce pas?

Mme Angela Connidis:

Non, elle ne pourrait pas l'être.

Mme Ruby Sahota:

Qu'arrive-t-il si une personne a obtenu une réduction des accusations et, disons, qu'elle a été condamnée pour possession simple, mais qu'elle était accusée à l'origine également de trafic. Dans ce cas, cette personne pourrait-elle obtenir une suspension de son casier?

Mme Angela Connidis:

N'oublions pas qu'une accusation est une accusation. Le tribunal ne s'est pas encore prononcé. Il se peut qu'il y ait eu réduction des accusations par manque de preuves. Il se peut également qu'il n'y ait pas eu réduction des accusations. Il se peut qu'en examinant le dossier, on se soit dit qu'il s'agissait de possession et non d'autre chose. On ne peut pas conjecturer sur les raisons qui ont fait en sorte que la condamnation ne porte pas sur les accusations originales. La décision se prend en fonction de la condamnation.

Mme Ruby Sahota:

C'est bien.

J'ai une autre question. Lorsqu'un agent de police procède à une vérification du casier judiciaire, qu'est-ce qu'il voit apparaître à l'écran lorsqu'une personne a obtenu une suspension de dossier plutôt qu'une radiation? Si un agent vous arrête sur la route et qu'il procède à une vérification rapide de votre casier, qu'est-ce qu'il voit à l'écran?

Le président:

Madame Gonzalez, pourriez-vous vous présenter, s'il vous plaît?

Mme Amanda Gonzalez (gestionnaire, Service de triage des dactylogrammes civils et Conformité législative, Gendarmerie royale du Canada):

Je m'appelle Amanda Gonzalez. Je travaille avec l'équipe des casiers judiciaires. Je suis également responsable de l'unité qui s'occupe de conserver l'information lorsque la GRC...

Au sujet de votre question, un agent de police effectuerait une recherche dans le Centre d'information de la police canadienne, et l'information ne s'y trouverait plus.

(1720)

Mme Ruby Sahota:

Dans le cas d'une suspension du casier...?

Mme Amanda Gonzalez:

C'est exact.

Mme Ruby Sahota:

Un employeur ne pourrait pas, lui non plus, avoir accès à cette information après la suspension du casier, n'est-ce pas?

Mme Angela Connidis:

Il pourrait y avoir accès uniquement dans des circonstances exceptionnelles. La Loi sur le casier judiciaire prévoit que le ministre peut divulguer l'information à un employeur si c'est pertinent. Les services de police nous font souvent la demande pour un postulant, et si après avoir examiné le dossier nous considérons que cela est pertinent pour l'emploi, il revient alors au ministre de décider si oui ou non...

Mme Ruby Sahota:

Avez-vous en tête des situations où il pourrait être pertinent de le faire lorsque la personne a été condamnée pour possession simple de marijuana?

Mme Angela Connidis:

Non, je n'ai pas d'exemple qui me vienne à l'esprit en ce moment.

Mme Ruby Sahota:

Très bien.

Merci.

Le président:

Merci, madame Sahota.

Monsieur Eglinski, vous avez cinq minutes. Allez-y, s'il vous plaît.

M. Jim Eglinski:

Je vais vous bombarder de petites questions.

Vous avez parlé des programmes de départ. Avez-vous déjà proposé à des groupes communautaires, comme le Réseau de développement des collectivités du Canada ou des groupes de soutien communautaire ou familial, de les former?

Les organismes communautaires ont toujours besoin de financement. Ils sont là pour servir la communauté. Ils ne sont pas là pour se remplir les poches. Nous savons tous qu'il y a beaucoup d'individus sans scrupules qui travaillent aux dossiers de libération conditionnelle, alors avez-vous déjà envisagé cette option, ou allez-vous le faire?

Mme Angela Connidis:

Désolée, vous suggériez de leur demander de faire quoi?

M. Jim Eglinski:

Je parlais de leur demander d'aider les gens à présenter une demande de libération conditionnelle. Ce sont des gens qui travaillent bénévolement au sein de la communauté et ils cherchent toujours du financement. Vous pourriez les aider en leur fournissant du financement, vous pourriez aider ces organismes et aider les communautés.

Mme Angela Connidis:

Oui, nous y réfléchissions.

M. Jim Eglinski:

Gardez cela à l'esprit, s'il vous plaît. Merci.

Deuxièmement...

Mme Angela Connidis:

Je garde cela bien en tête, faites-moi confiance.

M. Jim Eglinski:

Brigitte, vous avez parlé d'aller dans les communautés pour obtenir les documents, etc.

Au cours de mes 35 années au sein de la police, j'ai travaillé dans de très petites communautés où il n'y avait pas de palais de justice et où les juges étaient à l'époque des profanes. Le juge s'assoyait dans un coin du poste pour entendre la cause, et la personne recevait sa condamnation.

Où cette personne doit-elle se rendre pour obtenir son casier? La condamnation s'y trouvera. La condamnation sera envoyée à Amanda qui l'aura consignée, mais personne au poste n'arrivera à trouver ce petit dossier placé dans un petit livre et sans doute enfoui sous une pile de documents quelque part au poste ou dans un édifice communautaire, parce qu'il n'y a pas de palais de justice.

Comment cette personne fait-elle pour que son casier soit suspendu?

Mme Brigitte Lavigne:

Je crois que nous avons des demandeurs qui viennent nous voir aujourd'hui pour obtenir un pardon ou une suspension de casier et qui se trouvent dans la même situation. Il y en a partout au pays. Ils nous fournissent l'information dont ils ont besoin pour leur demande.

M. Jim Eglinski:

S'ils ne peuvent pas obtenir l'information, tout s'arrête là alors.

Mme Brigitte Lavigne:

Je ne saurais vous dire le nombre de personnes qui se trouvent dans une région éloignée et qui ont été considérées comme inadmissibles parce qu'elles n'avaient pas l'information. Nous avons toutefois des gens qui ont été condamnés un peu partout au pays et qui ont fait une demande dans le cadre du programme et qui ont obtenu un pardon ou une suspension de casier.

M. Jim Eglinski:

Avant de déposer le projet de loi C-93, avez-vous discuté avec des intervenants? Pouvez-vous nous parler des préoccupations que les divers groupes, que ce soit la GRC ou les municipalités, pouvaient avoir à propos de fournir ces dossiers ou de demander à des gens de faire des recherches à ce sujet? Pouvez-vous me parler des groupes avec qui vous avez discuté?

Mme Angela Connidis:

J'ai rencontré divers organismes de justice pénale: la Société John Howard, la Société Elizabeth Fry, la Société St-Léonard, des membres des Associations nationales intéressées à la justice criminelle. Nous avions aussi un sondage en ligne il y a quelques années sur le système de pardon en général. Une des réponses que nous avons eues était que les procédures de pardon devraient être plus simples, notamment dans le cas des condamnations pour infractions liées à l'homosexualité. Il devrait y avoir une façon de radier ces condamnations, de même que celles liées à d'autres infractions qui ne sont plus des crimes aujourd'hui.

Les gens que je consulte régulièrement me parlent surtout des problèmes que pourraient avoir les communautés marginalisées et du fait qu'il sera plus difficile pour nombre d'entre elles de demander un pardon. On a beaucoup parlé de la radiation par opposition au pardon. J'ai discuté avec les intervenants de beaucoup de problèmes dont nous parlons ici.

(1725)

M. Jim Eglinski:

En avez-vous réglé certains? Pouvez-vous me donner quelques exemples?

Mme Angela Connidis:

Le projet de loi C-93 est le fruit de nombre de ces discussions, et des discussions que nous continuons d'avoir sur les façons de faire pour que certaines communautés marginalisées puissent plus facilement présenter une demande.

M. Jim Eglinski:

La communauté qui se trouve au beau milieu de l'Arctique est aussi une communauté marginalisée.

Mme Angela Connidis:

Oui.

M. Jim Eglinski:

Comment une personne qui habite maintenant Toronto fait-elle pour se procurer son casier quand il ne se trouve plus personne sur place pour le trouver parce que le tribunal peut n'avoir siégé que de façon ponctuelle?

Mme Angela Connidis:

C'est une très bonne question.

Je ne suis pas certaine si vous avez...

M. Jim Eglinski:

Ce n'est pas équitable pour tout le monde, n'est-ce pas?

Mme Angela Connidis:

C'est difficile que ce le soit dans un grand pays. Vous avez entièrement raison.

Le président:

Je pense que c'est à peu près tout.

Monsieur Dubé...

M. Jim Eglinski:

Il me restait une autre petite question, mais c'est très bien.

Le président:

Monsieur Dubé et vous semblez poser les mêmes questions aujourd'hui.

M. Jim Eglinski:

Nous nous préoccupons des mêmes choses, je présume.

M. Matthew Dubé:

Ce n'est pas toujours une bonne chose.

M. Jim Eglinski:

Je suis heureux de constater que vous changez. Allez-vous devenir conservateur?

M. Matthew Dubé:

Prudence, les élections s'en viennent, vous savez.

Des voix: Oh, oh!

M. Matthew Dubé: J'ai quelques petites questions sur l'admissibilité. J'aimerais simplement avoir une précision, car il se peut qu'il y ait eu un peu de confusion au sujet d'une question précédente. Une personne qui aurait des amendes non payées n'est pas admissible à la procédure accélérée qui est proposée dans le projet de loi. Est-ce exact?

Mme Angela Connidis:

Elle peut payer ses amendes et devenir admissible sur-le-champ.

M. Matthew Dubé:

Si elle n'a pas payé toutes ses amendes, elle n'est pas admissible, n'est-ce pas?

Mme Angela Connidis:

Elle n'a pas terminé d'acquitter sa peine.

M. Matthew Dubé:

Très bien, merci.

Il en va de même pour ceux qui ont des infractions contre l'administration de la justice, si bien que le défaut de comparaître devant un tribunal fera en sorte qu'une personne ne sera pas admissible à la procédure proposée dans le projet de loi C-93.

Mme Angela Connidis:

Si ce n'est pas en lien avec ce qui est prévu, je ne pense pas… allez-y.

Le président:

Allez-y, Brigitte.

Mme Brigitte Lavigne:

Si la personne a d'autres condamnations, elle ne serait pas admissible à la procédure.

M. Matthew Dubé:

D'accord. Il n'y a pas d'exception pour les cas liés à l'administration de la justice. Si une personne ne se présente pas devant le tribunal, elle..?

Mme Brigitte Lavigne:

Si une personne compte une autre condamnation dans son casier judiciaire, elle serait dirigée vers notre programme régulier.

M. Matthew Dubé:

Il s'agit d'un exemple hypothétique, un exercice périlleux dans le type de travail que nous faisons, mais je vais me lancer. Disons qu'une personne a commis une infraction mineure, mais qu'elle fait des démarches pour obtenir une suspension de casier pour une condamnation qui n'a pas de lien, et qu'elle a reçu une condamnation pour possession au cours des dernières années pendant que le débat sur la légalisation se déroulait. Elle ne serait pas admissible parce que son casier n'a pas encore été suspendu, n'est-ce pas? Elle était seulement en train de faire les démarches en ce sens.

Mme Angela Connidis:

Pour la première infraction...?

M. Matthew Dubé:

Oui.

Mme Angela Connidis:

C'est exact. Sa période d'attente doit être terminée.

M. Matthew Dubé:

Quand vous parlez des 10 000 sur les 250 000, est-ce que cela comprend les personnes qui ne sont pas admissibles en raison des critères dont nous avons discuté?

Mme Angela Connidis:

Les 10 000 comprennent ceux qui ont seulement une condamnation pour possession simple de cannabis.

M. Matthew Dubé:

D'accord. Sur les 240 000 qui restent, je sais que c'est probablement difficile parce que certaines personnes peuvent être décédées et qu'il peut y avoir d'autres raisons, mais savez-vous combien ne sont pas admissibles sous le projet de loi C-93 en raison d'autres problèmes comme ceux dont nous venons de discuter, parce qu'elles ont d'autres condamnations?

Mme Angela Connidis:

Je ne sais pas.

M. Matthew Dubé:

D'accord.

Le président:

Merci.

J'ai une dernière question. Comme vous le savez, le ministère de la Défense a un système de justice militaire, un système un peu hybride, qui comporte un volet judiciaire et un volet disciplinaire. Que se produirait-il dans le cas d'un soldat qui a reçu une condamnation dans le système de justice militaire pour possession de marijuana?

Mme Brigitte Lavigne:

Les personnes condamnées sous la Loi sur la défense nationale seraient aussi admissibles si elles ont été condamnées seulement pour possession simple de cannabis. Dans le cas des membres actifs et des anciens membres, nous leur demanderions de nous fournir leur feuille de conduite militaire, et nous pourrions ensuite procéder de la même façon que pour une personne ayant reçu une condamnation sous le Code criminel.

Le président:

La suspension du casier s'appliquerait-elle seulement à la condamnation criminelle ou également à la mesure disciplinaire?

Mme Brigitte Lavigne:

Nous informerions le commandant après que la suspension de casier aurait été ordonnée.

Le président:

Le commandant a-t-il le pouvoir d'accepter ou de refuser la suspension du casier?

Mme Brigitte Lavigne:

Il est prévu dans la loi que ces condamnations relèvent de la Loi sur le casier judiciaire, et elles seraient donc séparées.

(1730)

Le président:

Elles seraient donc inscrites au dossier du soldat dans ce cas.

Mme Brigitte Lavigne:

Cela serait supprimé du dossier du soldat une fois que nous les aurions informés de l'ordonnance de suspension du casier.

Le président:

Merci.

Sur ce, j'aimerais vous remercier de votre patience et de vos réponses.

Nous allons lever la séance, mais avant que mes collègues ne quittent la salle, j'ai deux questions administratives à régler. La première est d'écrire à M. Easter, président du Comité permanent des finances, qui se trouve à deux sièges de moi — je vais économiser un timbre — pour lui dire que nous allons étudier la section 10 de la partie 4 du projet de loi C-97. Il me faut une motion pour approuver cela.

M. David de Burgh Graham:

J'en fais la proposition.

Le président:

La deuxième concerne la rencontre du sous-comité du 10 avril et le compte rendu de ses délibérations.

Nous avons convenu de rencontrer le CPSNR, le Comité des parlementaires sur la sécurité nationale et le renseignement, le lundi 13 mai pendant une heure pour discuter de son rapport concernant le projet de loi C-93 pour offrir des suspensions accélérées et sans frais de casier judiciaire. Nous avons convenu de commencer cette étude, ce que nous avons fait de toute évidence aujourd'hui, et nous avons convenu que le président devrait répondre à la lettre du 9 avril du président du Comité permanent des finances, ce que nous venons de faire.

Puis-je avoir une motion pour accepter le rapport du sous-comité?

Un député: J'en fais la proposition.

Le président: Merci.

Sur ce, nous allons lever la séance, et les membres du sous-comité se réuniront dans cinq minutes.

Hansard Hansard

committee hansard secu 33833 words - whole entry and permanent link. Posted at 22:44 on April 29, 2019

2019-04-10 SECU 157

Standing Committee on Public Safety and National Security

(1530)

[English]

The Chair (Hon. John McKay (Scarborough—Guildwood, Lib.)):

It's 3:30 and we have quorum.

We have two witnesses for our first panel, Mr. Ryland and Mr. Fadden.

Before I start, colleagues, we've had a couple of curves thrown at our agenda going forward and we need to give the clerks and the analyst some instructions. The meeting of the subcommittee was scheduled to start at 5:30. However, bells may ring at 5:30, in which case I would not be able to start the subcommittee meeting.

Mr. David de Burgh Graham (Laurentides—Labelle, Lib.):

Start at 5:29.

The Chair:

You're running a little tight at 5:29. I was thinking more like 5:20. We may end the current meeting at 5:20, or we can stretch it a bit to 5:25.

Unless there are other considerations, I'll call upon our witnesses to speak, in no particular order, although I take note that Mr. Fadden has spoken at this committee many times, and Mr. Ryland, I believe this is your first opportunity.

Mr. Mark Ryland (Director, Office of the Chief Information Officer, Amazon Web Services, Inc.):

That's correct, yes.

The Chair:

Maybe I should let the pro go first and then you'll see how an excellent witness can make a presentation.

Mr. Mark Ryland:

That sounds good.

The Chair:

Mr. Fadden, please.

Mr. Richard Fadden (As an Individual):

Thank you, Chairman. I'll hold you to that assessment when I'm finished.

The Chair:

Don't put it to a vote.

Mr. Richard Fadden:

Thank you again for the opportunity to speak to you.

As I start, I want to note that in discussions with the clerk and the staff of the committee, I told them that I wasn't an expert on the financial sector, and it was suggested to me that I could make some general comments on national security and cyber, so that's what I'm proposing to do. I hope that will be helpful to the committee.

I want to comment in an odd sort of way on your order of reference, which talks about national economic security. I'm sure that careful thought was given to that, but I'd like to suggest to you—and I'm doing a bit of marketing here—that the issues you're talking about are national security issues, period. They're not a subunit of national security.

This goes to the definition of national security. I hope and think that you use a fairly broad one, but to my mind, it's anything that materially affects a nation's sovereignty. The things that the committee is talking about now can potentially very much affect a nation's sovereignty, just like money laundering conducted by a foreign state, or a devastating national security issue. That's just a small marketing effort on my part.

While I'm not an expert in financial systems, I hope and think that I can offer you a couple of useful context points. One is that context in the environment in which cyber-attacks occur, be they against the financial institutions or anywhere else, is important. These things don't occur in isolation. I would argue that you cannot deal with cyber-threats in the financial sector without an understanding of cyber-threats generally, and you can't understand cyber-threats without understanding threats generally directed against Canada and the west. We all live in a globalized world, and that certainly applies to national security threats.

I say this for a couple of reasons. Some of you may be old enough to remember the Cold War where it was fairly simple: those who were causing trouble and those who were receiving trouble were basically states. I'm oversimplifying, but it was the Warsaw Pact against the west. Some companies were affected.

I think one of the contextual points that are important is that our adversaries or instigators today are states, terrorist groups, criminal organizations—and I'll come back to that—corporations, civil society groups and individuals. I think that any of these could be causing difficulties in the financial systems that you're concerned about.

The targets, on the other hand, used to be basically states. I'd argue that they're now states, corporations, civil society, political parties, non-profits and individuals. The world is fairly complicated, and if either the financial institutions themselves or the government is going to deal with cyber-attacks against them, my suggestion to you is that they have to know and understand the context in which all of that is occurring. They just can't build walls abstractly.

I think the question of who or what might initiate cyber-attacks against our financial sector is very relevant. I don't try very hard to do sound bites, but I have one: National security is not national. It's not national in the sense that no single state can deal with these issues— certainly not a relatively small middle power like Canada—and you need international co-operation.

Second, I would argue that no federal state or nation state can deal with these sorts of things without the help of provincial or regional governments, and corporations and society generally. I would argue with you that it is a significant mistake for financial institutions to argue that they can do it all themselves, just as it is a mistake for the government to accept that hypothesis.

I talked a little bit about context and environment, so I would just like to lay out very quickly the kinds of threats to national security that Canada's facing. I think of the revisionist states, Russia and China; extremisms and extremism generally, including terrorists; the issue of cyber; the dysfunctional west; and the rogue states and issues—Iran and North Korea, come to mind.

I'm emphasizing this a little bit because I think all of these are interrelated far more than they might have been 15 or 20 years ago. They leverage against each other, and they amplify their effects. For example, Russian and China use cyber systems and benefit from a dysfunctional west because we're not fighting them together. Terrorist groups benefit from the discord caused by revisionist states, and they use cyber systems. All of them interact with one another, and I think that we need to keep that in mind when we do that.

(1535)



One of the other issues I want to emphasize and suggest to you is that Canada is very much threatened by cyber-attacks generally and against our financial institutions. I say this, because when I used to be working, one of the things that used to drive me to distraction was the view of many Canadians that Canada wasn't threatened because we had three oceans and the United States. That view made it very difficult for governments and others to deal with a lot of national security threats. The average Canadian, absent an event, didn't think there was a great issue.

I think Canada is very much threatened by a variety of the institutions and entities that I just talked about, but why is this the case? We have an advanced economy, advanced science and technology; we're part of the Five Eyes and NATO, and we're next to the U.S.

To be honest, we're not thought internationally to have the strongest defences on the cyber side, and any institution will go to the weakest link in the chain. Sometimes we are thought to be that, although I don't think we're doing all that badly. Also, we're threatened, sometimes simply because we're hit at random.

I think it's especially important for the committee to make the point that our financial sector is indeed threatened by cyber-attacks, because I don't think a lot of people believe that.

One of the other things I'd like to talk about is who I think are the main instigators of potential attacks. I think they're nation states and international criminal groups.

What are they going to try to do? They're going to try to deny service, old-fashioned theft—and I'll come back to that—information and intelligence acquisition, intellectual property theft, and identification theft, for both the purposes of acquiring money and espionage.

Let me give you a couple of examples about states that play with countries' financial systems.

North Korea finances a lot of their operations, gets a lot of their hard currency by using their cyber-capabilities to access the financial systems of various and sundry countries. For example, they had a program some time ago that allowed them to steal money systematically from ATMs around the world. They also had a program that allowed them to claim ransoms using ransomware. More generally, they are the country that was thought to have frozen the United Kingdom's national health service a few years ago.

My point is that you can find out as much about this as I can just by Googling them. The United States has indicted a number of people from North Korea who have tried to do this, and this is just one example of a state that tries to get into western countries' financial systems.

Another one is Iran. You will have seen in the newspapers over the last five or ten years, a couple of examples of how Iran has tried to do this, in particular against the United States and banks. There are indictments against seven or eight Iranians.

I have a couple of words about Russia and China and how I don't think you cannot ignore them when you talk about this topic. I think their main objective is twofold: one is denial of service, and another is to simply reduce western confidence in our institutions. They do this systematically.

Criminal groups I think are becoming much more prominent in this area, and it's something we don't talk enough about. I hope you've had an opportunity to talk to the RCMP about this. If you look at either RCMP or Statistics Canada figures, the extent to which international criminal groups are playing with our financial institutions has gone through the roof over the last little while.

In summary, cyber-attacks on our financial system are a national security issue in my view. These attacks must be viewed in broad context if we're going to deal with them effectively. There's no silver bullet to any of this. It will only work, and we will only reduce the risk, if governments, corporations and civil society co-operate.

I think government needs to share more information with the private sector. It's something that we do far less of than the United Kingdom and United States. You can't expect private corporations to be an effective partner if they're not aware of what's going on.

The financial sector needs to report these attacks and breaches far more systematically than they do.

These issues are evergreen, and we need to talk about them more than we do.

Thank you, Chairman.

(1540)

The Chair:

Thank you, Mr. Fadden.

Mr. Ryland, you have 10 minutes, please.

Mr. Mark Ryland:

Good afternoon, Chairman and members of the committee. My name is Mark Ryland. I'm the director of security engineering with Amazon Web Services. I work in the office of the CISO, so I work directly for the chief information security officer. Thank you for giving us the opportunity to speak with you today.

I suspect you all know a bit about Amazon.com, generally speaking, but allow me to add some Canadian details.

Amazon.ca has been serving our Canadian customers since 2002, and we have maintained a physical presence in the country since 2010. Amazon now employs more than 10,000 full-time employees in Canada, and in 2018 we announced an additional 6,300 jobs. We have two tech hubs, which are important software development centres with multiple office sites in Vancouver and Toronto. We employ hundreds of software designers and engineers who are working on some of our most advanced projects for our global platforms. We also have offices in Victoria with AbeBooks.com and in Winnipeg with a division called Thinkbox.

We also operate seven fulfillment centres in Canada—four in the greater Toronto area, two in the Vancouver area, and one in Calgary. Four more have been announced. Those will be coming online in 2019 in Edmonton and Ottawa.

But why am I here? What is this cloud thing? You might be wondering why we're here discussing the cybersecurity of the financial sector at all. Well, roll back the clock. About 12 years ago, we launched a division of our company we call Amazon Web Services, or AWS for short.

AWS started when the company realized that we had developed our core competency in operating very large-scale technology infrastructure and data centres. With that competency, we embarked on a broader mission of taking that technological understanding and serving an entirely new customer segment—developers and businesses—with an information technology service they can use to build their own very sophisticated, scalable applications.

The term “cloud computing” refers to the on-demand delivery of IT resources over the Internet or over private networks, with pay-as-you-go pricing, so that you pay only for what you use. Instead of buying, owning and maintaining a lot of technology equipment, such as computers, storage, networks, databases and so forth, you simply call an API and get access to these services on an on-demand basis. Sometimes it's called “utility computing”. It's similar to how a consumers flip on a light switch and access electricity in their homes. The power company sort of takes care of all the background.

All this infrastructure is created and built. There is of course physical equipment and infrastructure behind all of this, but from the user perspective, you simply call an API. You call a software interface or click a button with a mouse, get access to all this capability and are then charged for its usage.

It's all fully controlled by software, which means that it's all automatable. That's a really important point that I'll make several times, because the ability to automate things is a big advantage in the security realm. Instead of doing things manually and using.... We don't have enough experts, believe me, to do all the command typing that needs to be done, so you need the right software to automate.

As of today, we provide highly reliable, secure, resilient services to over a million customers in 190 countries. Actually, you can think of our cloud platform as a federation of separate cloud regions. There are 20 of those around the world and 61 availability zones. Each region is made up of separate physical locations to create greater resiliency.

Montreal is home to our AWS Canada region, which has two availability zones. Each availability zone is in one or more distinct geographic areas and is designed with redundancy, for power, for networking, for connectivity and so forth, to minimize the chance they could both fail. With this capability, with these multiple physical locations, our customers can build highly available and very fault-tolerant applications. Even the failure of an entire data centre need not result in an outage for our customers and their applications.

The companies that leverage AWS range from large enterprises such as Porter Airlines, the National Bank of Canada, the Montréal Exchange, TMX Group, Capital One and BlackBerry, to lots of start-ups, such as Airbnb and Pinterest, as well as companies like Netflix, which many of you have heard of, all of which are running on the AWS cloud.

We also work a lot with public sector organizations around the globe, including the Government of Ontario, the Ministry of Justice and the Home Office in the U.K., Singapore, Australia, the U.S.A. and many customers globally in the public sector area.

What are the advantages of moving to the cloud? There are three primary benefits that I want to highlight.

The first is agility and elasticity. Agility allows you to quickly spin up resources, use them, and shut them down when you don't need them. This really means that for the first time, customers can treat information technology in a more experimental fashion because experiments are cheap. You can actually try things, and if they don't work, you spend very little money. Instead of this large capital expenditure with large software licensing costs, you can do this in a much more dynamic model. Experimentation is very helpful when it comes to innovation, so that leads to greater innovation.

(1545)



In terms of elasticity, customers often had to over-provision for their systems. They had to buy too much capacity, because only once a year or once a month was there a need for a great deal of capacity.

Most of the time, the systems are relatively idle. You have a lot of waste in this over-provisioning model. In the cloud, you can provision what you need. You can scale up and add more capacity or subtract capacity dynamically as you go.

Another advantage is cost savings. Part of what I just described also leads to cost savings. You're using only the amount of capacity you need at any one time. You can also treat your expenditures in terms of moving from capital expenses to operational expenses, which many people find very helpful.

In short, our customers are able to maintain very high levels of infrastructure at a price that is very difficult to do when you buy and manage all your own infrastructure.

The third reason, and the one that I really want to emphasize here in my testimony, is actually the benefit of security. The AWS infrastructure puts very strong safeguards in place to protect customer security and privacy. All the data is stored in highly secured data centres. We provide full encryption very easily; you just literally check a box or call an API. All your data is encrypted, which acts as controls in logging, to see what's going on and to monitor and control who has access. Also, our global network provides built-in inherent capabilities for protecting customers from DDoS and other network-type attacks.

Before the cloud, organizations had to spend a lot of time and money managing their own data centres and worrying about all the security of everything inside, and that meant time not focused specifically on their core mission. With the cloud, organizations can function more like start-ups, moving at the speed of ideas, without upfront costs and the worry of defending the full range of security threats.

Previously, organizations had to either adopt this big capital investment program or enter into long-term contracts with vendors. Really, the most difficult part was that the companies and organizations were responsible for the entire stack. Everything from the concrete to the locks on the doors and all the way to the software was completely the responsibility of the customer. With cloud, we take care of a number of those responsibilities.

What about cloud security? More and more, organizations are realizing that there's a link between IT modernization and using the cloud and improving their security posture. Security depends on the ability to stay a step ahead of rapidly and continuously evolving threat landscapes and requires both operational agility and access to the latest technologies. As the legacy infrastructure that many of our customers use approaches obsolescence or needs replacing, organizations move to the cloud to take advantage of our advanced capabilities.

Increased automation is key, as I mentioned before, and the cloud provides the highest level of automation. The possibility of automation is maximized using the cloud platform. Cloud security is our number one priority. In fact, we say that security is job zero, even before job one, and organizations across all sectors will highlight how commercial cloud can offer improved security across their IT infrastructure.

Therefore, many organizations, such as financial institutions, are modernizing their capabilities to use cloud platforms. We've been architected for the security of organizations, and for some of the most security-sensitive organizations, such as financial services.

Now, there is a shared responsibility. Customers are still responsible for maintaining the security of their environments, but the surface area, the amount of things they need to worry about, is greatly reduced, because we take care of a lot of those things and they can focus their attention on what remains. From major banks to federal governments, customers have repeatedly told us—and we have quotes that we can supply to the committee—that they feel more secure in their cloud-based deployments of their applications than they do in their on-premise physical infrastructure in their own data centres.

In sum, cloud should not be seen as a barrier to security, but as a technology that helps security and is therefore very helpful in the financial services realm as a part of a general solution for modernization and improving security.

We also have a few policy recommendations, which we'll provide in our written testimony.

One of the things is that we think there's an overemphasis on the physical location of data. Very often, people think, “I've got to have data physically here in order to protect it.” Actually, if you look at the history of cyber-incidents, everything is done remotely. If you're connected to a network and the network has outside access, that's where all the bad things happen.

Physical location of data, especially when you can encrypt everything, such as physical access to storage drives or whatever, literally is not a threat vector. Really, there should be some flexibility for banks and other institutions as to where they physically place their data, and they should be able to run their workloads around the globe, reaching their global customers with low latency and storing data potentially outside of Canada.

There are another couple of recommendations, including data residency. We believe also that centralizing security assessment makes a lot of sense. Instead of having every agency or every regulatory body separately evaluating cloud security, centralize that in an organization like the CCCS, where they can do a central evaluation and determine whether clouds are meeting the requirements. Then, that authority to operate can be inherited by other organizations throughout the government and under industries that are regulated.

(1550)



Thank you very much for your time.

The Chair:

Thank you, Mr. Ryland.

The first seven minutes go to Mr. Spengemann, please.

Mr. Sven Spengemann (Mississauga—Lakeshore, Lib.):

Thank you very much, gentlemen, for being with us.

Mr. Fadden, it's particularly good to have you here. In terms of your former role as national security adviser, I think you have a unique perspective on how this connects to the Department of National Defence and questions of national defence. I want to start by asking you about that.

Where are the intersections, the grey zones, between what we look at as Public Safety questions and National Defence questions? These two committees have their own mandates. In that way, we're stovepiped, and perhaps there should be a joint study between the two of them.

Can you make some general comments on how much of the national defence component plays a role in good cybersecurity and how much lies on the public safety side?

Mr. Richard Fadden:

Well, I tend to agree with you that drawing distinctions in this area is a little bit artificial and that one of the things that should be avoided to the extent possible is the development of these silos. We have quite enough of them as we are, and we don't need any more.

I think National Defence's main contribution is through the Communications Security Establishment and, insofar as the private sector is concerned, the Centre for Cyber Security. They tend to operate quite co-operatively with other parts of the national security environment in Canada. I would argue, in part on the basis of what I knew when I was working, but in part because I now operate a little bit in the private sector, that they certainly were a welcome development, but they have not solved all the problems of cyber-attacks here or anywhere else.

I think one of the big problems they have, and this is a Defence issue, in the sense that the defence minister is responsible, is that we talk about these things, but we talk about them less and share far less with the private sector than a variety of other countries do. I don't blame any particular government or any particular official. There's something in the Canadian DNA in that we think that national security should be dealt with and not talked about, but I would argue that in many cases we're far better off if we talk about them a little bit, without going into operational detail. It raises awareness. It allows both government and corporations to talk and to share more information than is otherwise the request, but I think the main contributor is CSE.

(1555)

Mr. Sven Spengemann:

I had the opportunity to ask the last panel about the distinction, if there is one, between state actors and non-state actors qualitatively in terms of their capacity to execute a threat. Can you comment on that? Does a state actor simply have more capacity, more hackers and more people? Or are there other qualitative differences that really put that type of actor into a different category altogether?

Mr. Richard Fadden:

I think there are state actors and state actors. I think China and Russia are at the top of the league. They spend almost unlimited resources on their cyber-capabilities. They're very, very good at it. I think it's generally accepted that China uses the vacuum cleaner approach. They'll grab just about anything they can. The Russians, I think, are somewhat better technologically and more surgical in what they seek to acquire.

I think international criminal groups are not at that level, but they're getting to be very, very good. It's a very smart collection of people there, who have figured out that it's easier to enrich themselves using cyber devices than using kinetic action of some form or other. Also, there are no borders, and to the extent that there are no borders, it's far easier.

I guess the last group I would mention is terrorist groups. They're in a different category. Some of them have a limited cyber-capability. It's not really worldwide.

I guess the point I would make again is that the state actors in particular make it important that we regard cyber-defences as evergreen. I'm not talking in particular about Mr. Ryland's company, but for any protective measures that we put in place, if we have a really aggressive actor and we give them enough time and technology, they'll find a way around them. My point is, we need to constantly renew our defensive measures. We need to constantly advance our technology, mostly against nation-states, but increasingly against international criminal groups.

Mr. Sven Spengemann:

I want to ask you a question about content in the digital domain, both on the civilian side and on the military side. Facebook just came out with the decision to ban a number of entities, individuals that are not meeting their standards, including Faith Goldy, who is a white nationalist and Canadian. We've also had discussions in the defence committee about Russian disinformation campaigns and deliberate false content in the social realm.

How much of an issue is content? Where do you see the trends going? Is there a trend towards, quote, unquote, “banning” content? If so, what happens? Do we push that kind of content into the dark web or are we solving some problems?

Mr. Richard Fadden:

I think content is appalling, disgusting and unrealistically terrible. If you sit down some Saturday afternoon or on a rainy Sunday and, with a bit of imagination, start going through the web, you will find right-wing stuff that is as bad as the Nazis, and you will find jihadist literature that advocates the systematic killing of people. That's not talking about the dark web, which is another problem again. I think content is a real issue.

I would argue that what Facebook is trying to do is a good first step, but I really don't want Facebook to become my thought controller. On the other hand, I worry rather the same way about governments. I don't want governments to become my thought controllers by determining what happens. I think we need a bit of a national discussion on who does this.

One way that Parliament has dealt with this issue is in the area of money laundering. You may recall there was a debate years ago about how to deal with money laundering: Were we just going to make it a crime? What Parliament basically did is that they imposed an obligation on banks to know their clients. That has significantly improved the capability of everybody to deal with money laundering. It hasn't eliminated it, but it has helped it.

I think there is something to be said for government setting up a framework, either statutory or regulatory, which requires companies that play in this broad area to know whom they're allowing to access the web and then to direct them as to what they can and can't do.

Because of my old age and after 40 years in government, I've become a bit wary about being told what to think, but whether it's government or the private sector, I think there needs to be a measure of transparency so that we know both what is being done and what is not being done.

But none of this is going to work, I think, if the average Canadian isn't more aware of what's available and that average Canadian has some means of registering his or her displeasure. Right now, yes, you can call the Mounties, but they have so much to worry about that it's pretty low in their priorities.

Mr. Sven Spengemann:

Thanks very much. That's very helpful.

The Chair:

Thank you, Mr. Spengemann. [Translation]

Mr. Paul-Hus, you have seven minutes, please.

Mr. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, CPC):

Thank you, Mr. Chair.

Good afternoon, gentlemen.

Mr. Fadden, in 2010, you gave an interview on CBC that was reported in the Globe and Mail. You said that there was interference from foreign governments against officials in provincial ministries and in areas of Canadian politics. At that time, people from the NDP and the Liberal Party demanded your resignation. Fortunately, you remained in office.

This morning, we learned that the report of the National Security and Intelligence Committee of Parliamentarians, which has just been tabled, confirms what you said and very clearly confirms that China is a danger for Canada’s security.

In your presentation, you talked about problems, but I would also like to know about potential solutions. You talked about the “dysfunctional West”, if I heard the interpretation correctly. Could you shed some more light on what we could do? What does that mean?

(1600)

[English]

Mr. Richard Fadden:

Yes. When I talk about the dysfunctional west, I mean that.... I'm sure you don't want to get into a large discussion about the current U.S. administration, but they are a significant issue right now in the sense that the views of the current U.S. President are promoting massive instability. People are uncertain as to what's going on. The United Kingdom hasn't taken a major decision in a year and a half. Monsieur Macron is concerned about what's going on with les gilets jaunes. Germany is preoccupied with replacing Mrs. Merkel, and God knows what the Italians are doing.

My point is that while we're worrying about these major issues, we're giving an opportunity for Russia and China in particular to poke and prod in a way that they could not do if we were a little bit more together. I'm not suggesting the world's coming to an end. I really am not, but I think our adversaries—and I call them adversaries, not enemies—are very active. They take advantage of every opportunity. I think we need to start rebuilding those close ties that we've had amongst some countries since World War II.

I also think we need to realize more than we do—it's one of the pathways that I think we need to talk about—and appreciate that Russia and China are, in their own way, great countries. They've made great contributions to civilization. But right now they are fundamentally unhappy with their position on this planet and they're trying to change it, using virtually any method. I don't think we think about this very much. If we don't think about it and try to do something about it, we're really behind the eight ball.

I think the first thing is to develop a greater understanding of what's happening. Somebody asked me the other day in the media why Russia went to Syria. There's no prospect of territorial acquisition, except that they are trying to cause trouble, and they have effectively succeeded. They delayed the elimination of the caliphate. They're doing this in a whole raft of areas. They played with the elections in the United States, Germany, France, and I believe Italy. All they're trying to do is not really shift who's going to win; they're trying to diminish public confidence in public institutions.

All of this, I think, needs to be talked about more. We need to get a grip amongst particularly core western countries, about how serious the problem is. Parts of the U.S. administration consider this more important that we do sometimes. The Brits are at another level. We need a consensus in the west that we have a problem. The U.S. has just shifted their national security priorities to great power conflict, after being on terrorism for the last many years. Well, if that's the case, we need to think about what we're going to do about Russia and China, without going to war, which is not what I'm advocating. We need to be talking about it, understanding the nature of the threat and developing closer ties internationally. I do firmly believe that national security is not national, not in the way it's run today; we need to work with everybody. [Translation]

Mr. Pierre Paul-Hus:

Thank you.

Let us go back to our basic topic, the financial sector, the banks.

We have met with a number of interested parties, various banks and various other groups. We have the banks, the government’s administration system, and the political side. In terms of security, issues, potential enemies, the political side is always hesitant. The banks take their own measures.

In your opinion, is the administration, the people we do not see, the people in the shadows, currently effective enough to make up for the political side? It can be on one side or the other; I am talking generally. Sometimes, politically, we don’t dare.

After the years you have spent in the political apparatus, do you feel that we are effective or that we need to be taking very vigorous measures? [English]

Mr. Richard Fadden:

I should admit up front that I'm probably prejudiced, having spent a goodly number of years working in this area, but I think there has been a lot of progress over the last little while and there's much more co-operation and collaboration.

But I would argue two things. One is that the world is becoming much, much more complex, and I think it could be argued that we need more resourcing. When I used to work for the government, the last thing you wanted to do was embarrass your minister by saying you wanted more money. I'm not really saying that now, but if you consider the Cold War to terrorism and the current cyber issues and great power conflict generally, yes, all of these institutions have had more resources, but the resources may not be enough today, so I would ask that.

I guess the other issue I would note is this. I was told over the years by several politicians from both sides that there aren't very many votes on national security, and that's one of the reasons why governments are sometimes hesitant to take some of the steps you've implied. However much politicians may get frustrated with officials, officials do take the lead from the political side of things, and I think we need to be a little bit more proactive sometimes than we are, because technology is moving, the threat is moving, and we seem to be playing catch-up.

I don't direct this at any government or any official. It just seems to be the way we do it, largely because, if you're the Minister of Finance or the President of the Treasury Board, the last thing you want to do is to say every two years, “Here's another quarter of a billion dollars.” I'm just picking a number, but you know, there are technological changes, some of which Mr. Ryland talked about, and there are a whole raft of others. It's very hard for government to keep up with these things without a constant ongoing effort, and at the same time, you're worrying about Russia and China and North Korea and Iran. You're worrying about international criminal groups. I think we're beginning to underestimate the problem with terrorists just because we've whacked a few of them.

So, as a long answer to a short question, I think generally speaking people are doing as well as they can, but it's very difficult to galvanize everybody who works on this—political officials and the private sector—unless there's some consensus on how serious the threat is.

I would say, with great respect, there's no such consensus in Canada.

(1605)

The Chair:

Thank you, Mr. Paul-Hus.

Mr. Dubé, go ahead for seven minutes, please. [Translation]

Mr. Matthew Dubé (Beloeil—Chambly, NDP):

Thank you, Mr. Chair

Thank you for being here today, gentlemen.

Mr. Ryland, my first question is for you. In terms of your services, I am not sure whether you are in a position to explain to us how the responsibilities between you and your clients are separated.

What role do your clients play in ensuring the security of the data they store on your servers when they use your services? [English]

Mr. Mark Ryland:

It can be a very long and nuanced conversation, but just to give a kind of summary, if you look at something like what they have in the United States, there's a security control framework based on a NIST standard called FedRAMP that lists something like 250 controls—in other words, the security properties that you want in a system—and if you take that whole security framework, our platform covers more than one-third of those controls. There are simply things that we literally take care of on behalf of our customers. They don't have to worry about them at all. Roughly one-third are shared in that we take care of some of the things but the customer has to do certain configurations and make certain choices that are correct for their requirements. Those are optional because it's reasonable to do either one, but depending on what their needs are, they have to choose. Then roughly one-third are pretty much all the responsibility of the customer.

So we have decreased the scope of concern for the customer. We delineate pretty clearly, and we literally have control documents that say who's responsible for what, and then we have a lot of material—white papers, best practices documents, and what we call a “well-architected framework”—to help people with that one remaining responsibility. We want them to be very successful at that, so we put a lot of effort into helping them design secure systems.

But when you get to that level, it all depends on the needs of the application, so there's not a correct answer to some question. It's going to be “it depends”. It depends on the application. It depends on the requirement.

In general, I think that's a good summary of the kind of model we use with our customers. We take care of a number of things that they normally would worry about; we describe some areas in which we do some things and they need to do others, and then we help them be successful in the remaining parts of building a secure system with lots of tools and features that make it easy to do the remainder. [Translation]

Mr. Matthew Dubé:

Thank you.

I want to make sure I fully understand. You said that about one third of the responsibility to configure everything appropriately lies with your clients. Does that create a barrier for people, and especially companies that might wish to use your services, by which I mean that the expertise must already exist in the company or the government agency?

Let me explain. Here is the example that comes to mind. I believe that Shared Services Canada has a contract with you. However, according to what we have been seeing in the news for some time, that organization has a quite dismal record in terms of implementing information systems.

Could the potential shortcomings or lack of expertise in a company or government agency limit the ability of a client to do business with you or with any other company comparable to yours?

(1610)

[English]

Mr. Mark Ryland:

It's certainly possible, in using any technology, to not use it properly. We see a big part of our mission as education and training of our customers, and we do a lot of that. A lot of it's actually free as part of the process of helping them to understand this kind of new paradigm of cloud computing.

That said, there's a lot of commonality with things they've already been doing for a long time. I'll just make up an example. Say, you're running a citizen-facing web application for a government. You already have some kind of understanding of how to secure a web system; you have an authentication system, password reset, those kinds of properties that are built into the system. If you use that similar kind of system on a cloud platform, the security properties of that would be similar to the one you've been doing historically.

It's not a completely new world. It's not a 100% new skill set that is required for security professionals, but there are definitely differences and changes. It's part of the progress of the industry, just like 20 or 30 years ago when we spent a lot of time on mainframe security. Now that's not something people focus on. There are still mainframe systems running, and they still need to be secure, but the focus tends to be on the new things, the new systems and new applications.

I think the transition to cloud computing has a similar property. In any type of modernization and use of new technology there's definitely some learning curve, but you can also get a lot more done with less labour, with fewer actual human beings. Sometimes when automation comes up it's considered controversial because, well, what if we remove people? Will we be taking away jobs from workers? In the cybersecurity area, everyone recognizes we have a huge labour shortage of skilled labourers in this area. Any type of technology that increases automation and enables a skilled worker to come up with a solution and then replicate that broadly is a big win, so everyone can get behind greater automation in the security realm.

I think that's one of the main reasons that people find the cloud platforms to be advantageous. Yes, there's a learning curve, but the ability to automate things is really quite dramatically better than using traditional technology. [Translation]

Mr. Matthew Dubé:

I have two quick final questions.

Here is the first one. Perhaps you are not in the best position in your organization to answer it. However, say there was a leak of data, given the shared responsibility, who would ultimately be responsible for the data in legal terms? In the financial sector specifically, if a client were to lose money, would the fault lie with the bank or with the company that allows them to store data in the cloud?

How do you see that? [English]

The Chair:

Be very quick, please.

Mr. Mark Ryland:

Yes.

The shared responsibility also includes the line between who takes that responsibility. If there were a problem in one of our systems, we would be responsible for that. If a customer misconfigures or misuses one of our systems, then they are responsible for that.

Again, we do a lot to support customers and we have many cases in the security team that I work in where customers have an issue and some kind of incident, and they ask for our help. Although technically we're not at fault at all, we still are very aggressive in responding to help them get out of the problems that they've caused.

I'll take a simple, non-controversial example. We have systems where customers have accidentally deleted data without having proper backups, and come to us in a panic. At one level, we could say, “Well, the system was working just the way it was described. You made a mistake. There's nothing we can do”. But we will go to great lengths to help them try to figure out solutions to those kinds of problems, and similarly with security incidents.

(1615)

The Chair:

Thank you Mr. Dubé. I'm sorry about that.

Mr. Graham, you have seven minutes, please.

Mr. David de Burgh Graham:

Thank you.

I'd love to continue on that line, but I'll come back to that in a second.

Mr. Fadden, I don't think anybody will disagree with your assessment that our study is really about national security as opposed to financial cybersecurity as the pigeonhole..

I would say that there are a lot of votes in national security, but only after an incident has happened.

Mr. Richard Fadden:

Point taken. I appreciate it.

Mr. David de Burgh Graham:

You said that national security is not national; it's supernational. Does Canada have a network backbone strong enough to handle Canadian needs? Do we have enough intercontinental connections to handle Canadian needs, and does it matter?

Mr. Richard Fadden:

I think it matters a great deal.

Do we have the backbone or the intercontinental connections? I find it difficult to answer that question, because I think it's an answer that requires two parts: one dealing with governments generally, and one dealing with the non-governmental sector.

I think that insofar as governments are concerned, we have very close alliances with the Five Eyes—the United States in particular—and there's an immense sharing of information. I would argue that it's pretty effective, notwithstanding the dysfunction I was talking about.

When I was still working, the approach taken to deal with some of these issues.... It's a bit like talking about cancer. That's not particularly helpful. I notice that some of you have your cancer pins on. Talking generally about cancer is not particularly helpful, because the cure for cancers goes to the 130-odd kinds of cancer. I find that talking generally about cyber is not often very helpful. You have to break it down into its component parts.

We used to divide up the Canadian economy into strategic sectors, such as telecoms, financial, nuclear.... There were 11 or 12 of them. Quite honestly, I think the connections they have with their home offices—with each other in Canada and abroad—vary. For example, our nuclear sector is pretty well organized, and I think the general view, as sectors go, is that financial sector is not doing badly. Some of the others are less so.

I'm not trying to avoid answering your question, but I think it's difficult to just give you a yea or a nay. I think there's no one entity—government or non-governmental—that's responsible. It's just as things have evolved.

Mr. David de Burgh Graham:

I'll come to Mr. Ryland for a bit more.

You talked about the over-provisioning model. You were talking about the the vast resources and being able to balance them across systems, which we couldn't have before. As an example, what's the computing power of a key fob today versus that of the Apollo?

Mr. Mark Ryland:

There's more power in the key fob, probably. It's a 32-bit microcontroller.

Mr. David de Burgh Graham:

When we have that kind of massive change in computing capacity, what's the security impact of that change? Is the technology changing faster than we're able to keep up with it?

Mr. Mark Ryland:

No, I don't think so.

Technology changes rapidly, but there are people driving those technological changes. In general, experts who build the systems understand how they work and how to secure them. There may be a lag time in terms of broad understanding of those cutting-edge technologies, but often those experts are also designing things to make them more secure by default.

I think IoT is a great example. We don't have time to go into the details, but we've all recognized the problems in the past with the Internet of things—home devices, etc.—being deployed in a very insecure fashion. Historically, it was the cheapest and easiest thing to do. If you look at the newer technology that we provide, or that Microsoft or other large-scale providers give you, by default their systems are far more secure. They're updatable in place, which they didn't use to be. They use secure protocols by default; they didn't use to do that. You can go right down the list of how the business interests of these large providers align with building systems that are secure by default, whereas previously, that was left to the person who was building the smart refrigerator or the smart toaster or whatever.

Technological shifts can actually raise the bar across whole industries by investment and by alignment of business interests with higher security.

Mr. David de Burgh Graham:

I'll go back to clouds. Does the public or even the organizations you deal with truly understand what a cloud is?

Mr. Mark Ryland:

There's often a lot of confusion. First, there's this idea, what is out there? People think that there must be something out there. There's also the confusion between consumer-use cases. People think Facebook and Google are like a cloud, but provisioning IT services from a cloud-computing vendor is a completely different model. First of all, we don't monetize your data; we lock it down and never look at it. We have a totally different way of thinking about it.

The one thing they typically have in common is network accessibility. It would be able to reach them from anywhere.

There's a lot of confusion. Often when we start our presentations, we'll put up a world map. We actually have little dots on the map showing where our stuff is in that city or that region, so that people know there's physical equipment behind all of this capability.

(1620)

Mr. David de Burgh Graham:

Is AWS essentially virtual servers, or is there another system besides that? Are they virtual machines?

Mr. Mark Ryland:

That's one of our core services. It's called EC2, but we literally have a hundred other services. The trend is away from using virtual machine services, because that's where the customer has to take the most responsibility. People would prefer the higher level services where we take increased responsibility and they just have to do very minimal configuration.

Mr. David de Burgh Graham:

If you're not on a virtual machine and you're using the services provided, how much control can the client actually have? There's a balance to be had. As a client, could I choose what operating system to put on my virtual machine? I could put a Debian system on there, or whatever you want, but what could you put on a non-virtual machine? What are the other options?

Mr. Mark Ryland:

Again, it depends on the use case. You don't care what the compute model is for a storage service, as you're just storing data. Databases are in the middle. There are a range of choices and options, but people do tend to prefer what are called “abstract services”. Over time, you'll see more and more use of what those abstract services. I just upload my JavaScript function to this function as a service and the code executes whenever certain events fire. I have no concept of the operating system or anything else; it's handled for me.

Mr. David de Burgh Graham:

I only have about 40 seconds left, so my last question for both of you is about the security advantages versus disadvantages of open versus closed-source software.

Mr. Mark Ryland:

There's something called the “many eyes” hypothesis for open-source software. The fact that people can see the code makes it more likely that security and other flaws will be discovered. I'm not sure there's a really strong empirical backing for that, because lots of security flaws have existed in open code, but there is the big advantage that people have more control over their own destiny because you can do your own investigation. You can make your fixes. You're not dependent on a vendor to discover and fix security problems. On the whole, there are some real advantages to open-source software, but it's not completely black and white.

Mr. David de Burgh Graham:

Thank you.

The Chair:

Thank you, Mr. Graham.

Mr. Richard Fadden:

Chairman, would you allow me to make two quick statements?

Mr. Ryland has been talking about what he does and what his clients do. If we imagine a bank for a minute, I think it's important that we not become mesmerized by the really effective things that Mr. Ryland does. If I took a device that I could probably get if I tried hard and stuck it under the desk of the executive vice-president of the Bank of Montreal, it would be a recording device. As he accessed the information and put in all his passwords, I would be able to access these from the office next door or in another city.

Talking about the Internet of things, I still don't think we've come to grips with developing a relationship with a light bulb. I think things are better than they used to be, but again, if you control the light bulb—and I'm making a joke of it.... But whatever device you want to use has the capacity for acquiring information.

The security of the systems we're talking about has two real components, the part that Mr. Ryland talked about and the environment that the financial institutions use. They're equally important, because if you get in from the financial institution's perspective effectively, either through a device that I've talked about or some other device, you can wreak not only on that financial institution but also complicate Mr. Ryland's life a great deal.

It's not just the highly complex security devices that Mr. Ryland talks about. It's a whole raft of other things as well. I would argue that the Royal Bank of Canada probably does these very well. A lowly Manitoba credit union may not. Forgive me, anyone here from Manitoba. It's the weakest link in the chain issue that we haven't really come to grips with as effectively as we could.

The Chair:

Thank you.

As a result of this study, I've been paranoid talking in front of my refrigerator or my thermostat. Now I have to worry about my key fob and light bulbs.

Mr. Motz, you have five minutes, please.

Mr. Jim Eglinski (Yellowhead, CPC):

You've got lots to hide.

Mr. Glen Motz (Medicine Hat—Cardston—Warner, CPC):

Thank you, Chair.

Thank you, gentlemen, for being here.

Mr. Fadden, when we were talking previously about combatting terrorism, you referred to our current Canadian model as more like a whack-a-mole where we suppress a problem after it has begun. Is there a mechanism to be more proactive in preventing cybersecurity attacks than just education or literacy?

Mr. Richard Fadden:

Yes, I think there is.

If you look at what you can do—and I'm not an engineer, so I've reduced this to language I can understand—you can have purely defensive measures. You build something in whatever system you have: You have firewalls and whatever.

Then you have what I call “aggressive defensive”: You have the capacity to know when somebody's trying to go out or come in, and you deal with that.

Finally, you have the purely offensive: You have the capacity to go out and either seek trouble or degrade somebody else's capabilities.

I think we're fairly good at the first. We're not so bad at the middle. I don't think we're so great at the third. I'm not sure that we, Canada, have to do this alone. We can do this with a bunch of other countries. However, the capacity of what I will call “cyber adversaries” to use 37 cutouts makes it very difficult for people to know where they're coming from, and whatnot.

You really do need some sort of worldwide monitoring system. I don't think we have that. I think the United States, insofar as I understand, tries, but there's a limit to what even they can do.

You've probably heard of former U.S. Secretary of Defense Donald Rumsfeld. He was ridiculed at one point, but I think he said one thing that's true, and it applies to this area: You don't know what you don't know.

I think Mr. Ryland will agree with me—

(1625)

Mr. Mark Ryland:

There are the known unknowns and the unknown unknowns.

Mr. Richard Fadden:

Those are the ones I'm worried about.

Technology is moving so fast that we find it very, very difficult to stay ahead.

This is a long answer to a short question, but I don't think we're doing as well as we might do internationally.

Mr. Glen Motz:

Okay, to take that further, you recently suggested that we're kind of on the margins when it comes to our ability to monitor ISIS terrorists or foreign fighters who have returned or are returning to our soil. Would you say that we are in a better position when it comes to cybersecurity?

Mr. Richard Fadden:

Well, if you're dealing with the Government of Canada, I would probably say yes. I think that government, over the course of the last and current governments, has made some real strides in developing the capability to defend Government of Canada systems. They've limited the Government of Canada's systems' access to the Internet, which made things a lot easier to control.

I kept coming back to the weakest link in the chain. All you need is one weak link that allows you to access everything. Having said that, I think on the cyber side, the government is doing better than it might do on terrorism. I don't think it's doing terribly on terrorism. I was just trying to suggest that there's a limit somewhere to what you can do.

If you expand that to provincial governments, for example, there are connections between the provinces and the federal government. The provinces vary a great deal, I believe, in how protected they are. Then you keep moving on, and it doesn't take a great deal of imagination.

I'll give you an example: I read a couple of years ago that there was a mom-and-pop metal welding shop—I think it was in Arizona—that had its own little server and whatnot. A foreign state used a problem there to access an element of the U.S. government in China. The point I'm trying to make is that it doesn't take a big hole, to use a physical manifestation, to get in.

I think, generally speaking, we're not doing badly. We really aren't, but if we think that we have blocked every possible cyber-attack against us or our economy, then I think we're being way too optimistic.

Mr. Glen Motz:

We have silos in law enforcement in fighting some battles, sometimes, and in sharing information. You've already alluded to the fact that in Canada, we have a lack of resources applied to this issue.

Do you see the same issue of siloing when it comes to cybersecurity?

Mr. Richard Fadden:

It's not so much siloing. Some of my former colleagues will want to kick me under the table for saying this, but I don't think there's a central controlling brain to deal with cyber issues in the Government of Canada.

I think CSE has a real role. I think Public Safety has a role. The military looks at things slightly differently. GAC has a role in dealing with things internationally. ISED—I think that's what it's called—is involved in the regulation of the Internet and how we play with them.

I don't think the American practice of creating a czar is necessarily the issue. I would suggest, at least on the basis of when I was the national security adviser, that we could have used more coordination, and maybe at some point, more direction. It's a very complex field and departments worry first about themselves.

The machinery of government is the Prime Minister's prerogative. He or she will organize things as he or she wants, but this is one area that I think is so global in its manifestation, so complex, that simply saying to various departments and agencies they have to cooperate may not be enough.

(1630)

The Chair:

Thank you, Mr. Motz.

The final five minutes go to Mr. Picard.

Mr. Michel Picard (Montarville, Lib.):

Thank you.

Mr. Ryland, my understanding of the cloud is that it is a centralized structure for which security measures and safety levels are so high that clients whose data you store feel pretty sure that they are 99% safe against outsider attacks.

Mr. Mark Ryland:

I think that's a very fair summary. They certainly feel that they have a leg up in building proper defences, because we're taking care of a lot of things they would otherwise have to worry about.

Mr. Michel Picard:

But you just said to Mr. Graham that you had no knowledge about the content stored on your server, because it's not your business to know what your clients put on your server, so how safe is your system from a Trojan horse?

Mr. Mark Ryland:

It's very safe, because we constantly build and test our systems to assume that we have hostile customers. We assume we're being attacked by our customers, and we take that into account and make sure that the isolation properties of the system are very strong.

Mr. Michel Picard:

So there's safety on both sides, from attacks from outside as well as from those from inside.

Mr. Mark Ryland:

Yes.

Mr. Michel Picard:

Excellent. Thank you very much.

Mr. Fadden, this study brought us on a journey. We had no clue where we were going, because it's so vast, big, wide and diversified. We totally understand the relevance of any action to be taken on this, especially on my side, with financial institutions. From your knowledge of government and your experience, where would you say we should start in establishing policies, and what are some of the recommendations you might have?

Mr. Richard Fadden:

I think, Chairman, I would go back to one of the points I made earlier. I think Parliament legislatively has to impose obligations on financial institutions, in much the same way it has done with money laundering. It has to require them to do a variety of things. Right now, most of the things are done in the self-interest of the financial institutions. They tend to be pretty good, but we should up, significantly, our reporting of breaches and attempted breaches. There's a regulation, if I remember correctly, that requires that now. It's not as fulsome as it might be.

The Americans and the Brits, in particular, have severe penalties for institutions not reporting breaches. I don't know how we can expect to deal effectively with breaches if we don't know when they're occurring. I think it's better than it has been, but still.... So I would say imposing clear obligations on the institutions and reporting of breaches. Again, some of my former colleagues are going to kick me under the table, but I don't think we share enough classified information with the private sector. I think we do far better than we did 15 or 20 years ago, but if you take the most senior technological official in the Royal Bank—which happens to be where I bank, but I'm not trying to promote it—and you ask them to collaborate on cyber issues, and the Canadian official isn't authorized to share any classified information, I don't see how you can have a real dialogue. The States and the U.K. clear, from a classified information perspective, people in the private sector. I don't mean to suggest that we don't do any of this, because we do. I'm just arguing that we don't do enough of it. I would say those three things.

Mr. Michel Picard:

When you mentioned that we might be tempted to ignore or forget about Russia and China because we are focusing somewhere else, I was surprised. I thought we were focusing so much on Russia and China that we were forgetting about real threats coming from other countries, satellite countries working for those main states. When we looked at Cambridge Analytica at our committee, it was obvious that at the end of the day it might not be Russia, but with so many satellite offices in other countries in action, where should we put our focus?

Mr. Richard Fadden:

That is, I think, Mr. Chairman, the $57,000 question.

Voices: Oh, oh!

Mr. Richard Fadden:

Part of the problem is you can't ignore Russia and China. We can't ignore those things that you just listed. I think we ignore international terrorist groups at our own cost. We have a whole bunch of civil society groups that muck around with cyber. I could probably go on, but the truth is we can't ignore any of them.

That's why I think there needs to be more collaboration, more sharing and more efforts to get us to a point that one of your other members suggested. We need to try to get ahead of the problem more than we have in the past. I don't have an answer except to say that while you may well be right in this six-month period, maybe in the next six-month period things are going to shift. We need to be fleet of foot. Again, after working for government for 40 years, I can say that's not one of our strong suits. It's true of governments generally, but I think we need to be fleeter than we have been to deal with all of the topics you're talking about.

(1635)

The Chair:

Thank you, Mr. Picard.

Before I suspend, I just want to thank our witnesses. Usually “fleet” and “government” don't go in the same sentence.

With that, we're going to suspend for a minute or two. Thank you for your presentations.

Mr. Richard Fadden:

It was a pleasure.

Mr. Mark Ryland:

Thank you.

The Chair:

The meeting is suspended.

(1635)

(1635)

The Chair:

We'll manoeuvre around the vote call at 5:30. We'll probably stop around 5:20, as opposed to 5:30. I'll stretch it as far as I can.

With that, we're back on and I'll ask Mr. Drennan for his presentation.

It's for 10 minutes. If you look up, I'll give you an idea of when you're getting close to the 10-minute mark.

Thank you, Mr. Drennan for appearing.

Mr. Steve Drennan (Director, Cybersecurity, ADGA Group):

Thank you. I am Steve Drennan and I'm pleased to be here today representing myself and ADGA in the cybersecurity domain and financial sector in Canada. Thank you for the invitation to provide testimony to the public safety committee at the House of Commons today and for all of your time.

For a bit of background, ADGA is a one hundred per cent Canadian company that has delivered strategic consulting, professional services and world-class technology in defence, security and enterprise computing for over 50 years. It provides high-end solutions, engineering and staffing in the government and commercial spaces. ADGA has a lot of insight, given all of this, and expertise into domains such as cybersecurity. ADGA also has strong views, as do I, on coast-to-coast security requirements and evolution and on our being abreast of the landscape and strategic partners. ADGA has a strong converged security capability with lots of cyber assessment design and compliance background. That's just to give you a feel of where I'm coming from today.

From reviewing previous testimony online, I saw a theme that the committee already had a lot of feedback on cyber-attacks, challenges, ranges and faults in the domain. Given all of that, I thought I'd focus today on cybersecurity solutions. There isn't a silver bullet to it, but there is a lot of capability that can be deployed on scale and a lot of other parts that can be developed to really increase what we do and strengthen the Canadian financial sector.

I like to think of it as critical infrastructure. You probably think of power stations and dams and classified systems as critical infrastructure, but the financial sector certainly is critical infrastructure. It's one large interdependent system that ranges across lots of different entities, like the Bank of Canada, Payments Canada, Interac—who I know were presenting—the Receiver General, merchants, small and large commercial entities and also consumers. Those are a lot of end points. There are a lot of things that can go wrong there. It's all the data, too, that is in transit and in storage. If you've been hearing and thinking about one network, one piece or one solution, it's not the whole story.

There's a shift occurring in cyber. It's shifting to socio-political attacks and brand manipulation, along with small and large volume financial attacks. Given what's at stake and the ability of cyber criminals to hide, obfuscate, and launch attacks on a non-stop basis, Canada needs to have an updated approach to cyber defence in the financial sector. The days of hiding behind walls, actual walls or firewalls, are past. It's a very interconnected space out there.

It's important to understand the adversary too. I think you've been well briefed on that, but cybercriminals and nation states have massive sets of resources. They'd be a very large country by GDP if all the cybercriminals put their wealth together. They are often physically unreachable because of where they come from.

One stat, a brief example, and I won't get into too many, from a recent Mandiant report—Mandiant is the cyber arm of FireEye, one of our strategic partners—is that the global median dwell time is 101 days. Dwell means the time that malware lives in a network until it's found and stopped. Just think about that for a second. That's an incredible amount of time for something to be sitting there exfiltrating and taking data before it's even found. Sometimes it goes up to 2,000 days before it's found. While the cyber problem is complex, it can be tackled in a way that is simplified for users, merchants, businesses and banking organizations. That's what I want to focus on today, that is, on some of the ways we can address this.

I'll focus on cyber solution themes that can address large-scale cyber-threats to the Canadian financial sector. Theme one that I'd like to go over is what I call “convergence of cyber data and protection capability”. Think of this as next generation solutions that could be deployed on scale for everyone to use and take advantage of. The concept is that one organization could actually lead this effort and put this capability in a central location so that it would be turned on for all of the entities I was just speaking about—everything we've been thinking about.

(1640)



There's really fantastic new technology. One of them is linking ideas around centralized artificial intelligence, machine learning, advanced analytics, threat hunting—if you haven't heard about that, you can ask me questions about it later—and security orchestration. You can actually create semi-automatic cybersecurity detection and response. It can be fairly automated. Sometimes you do want somebody to be able to make decisions on key points and react when you sense a cyber-threat, especially if you're shutting down part of a network.

Smart buildings and networks can also be a part of this. It's not just green. Green is good, but when you introduce all kinds of Internet of things sensors, you're introducing a whole bunch of data, and that data can then be compromised. If we have an ability to sense across the physical data—operational data, sometimes called OT data, and the IoT data—we can have solutions that can better sense when there's a problem. For instance, if there's an environmental problem or an attack against a building or data centre, you'd probably want to know about that in the cyber-world and be able to respond to it. Today it's not very merged, but it can be.

There's the notion of moving forward on cyber-active defence or even offence, and that is linked to legislation and what the rules are. When you know you're being probed and attacked, the ability to respond to it, to determine where it is and to shut it down to at least protect yourself, is a very important capability.

The securing of domain name service, which is at the heart of the Internet, has standards around it called DNSSEC and others. That's really important because, if you can't trust your address resolution and where you're going to for data, that's really important.

Cyber-threat intelligence, which we touched on earlier, is really interesting because it can be done vertically. You could have just Canadian data and banking information, so you would see trends in attacks in the Canadian market space, and you'd be seeing them before they hit most of your end points, and then you'd be able to react to it in advance. You'd be able to make decisions and do updates before it became a widespread attack. That could be zero-day attacks or APT attacks, but the ability to see and respond before they become a problem is very important.

(1645)

The Chair:

Excuse me, Mr. Drennan. The antiquated system that we have around here is intruding into a very impressive presentation on cybersecurity. I'm told we have.... Is it not 15 minutes?

Mr. David de Burgh Graham:

Don't use ParlVu.

The Chair:

Initially I thought it was a quorum call, so I didn't say anything, but then the time was running, but it's not. We're going to leave it as a quorum call.

Mr. David de Burgh Graham:

You could save yourself 45 seconds by looking at ourcommons.ca instead of ParlVu. You get a direct feed that way.

The Chair:

I'm having what he looks at.

Mr. David de Burgh Graham:

You're looking at the wrong thing. Get faster.

The Clerk of the Committee (Mr. Naaman Sugrue):

I'm looking at both.

The Chair:

Okay, we just blew 45 seconds. I apologize for that.

Thank you, Mr. Drennan, for your patience and understanding. Go ahead.

Mr. Steve Drennan:

Thank you.

On the last point about capability, something that could be introduced on scale, as we were talking about in this theme, could be supply-chain and life-cycle management. CSE, the Communications Security Establishment, which also has the cyber centre, used to run a program called the “evaluated products list”.

When we talk about Huawei, people have issues and we talk about them. We have to think about everything that gets introduced, all the software that's built—it's often virtualized and put in the cloud—the hardware and the chips. Where do the chips get manufactured? Where do they come from? You can have a complete cradle-to-grave program so that you evaluate that equipment and that software so that you know you can trust it. The government is the right entity to be able to manage that program.

The second theme I'd like to go over is leveraging a secure public cloud. I think the speaker before me was from AWS, so I'm sure you heard plenty on it. I'm here to say, too, that it's a good idea. When you're trying to bring all of these different groups together, one of the best ways to do that is with a secure Canadian public cloud, and I think we need to start thinking more about that. I know a number of banking entities that are looking at moving that way.

When you have networks inside, that's a private cloud, or a hybrid cloud as you move out to the public cloud, but leveraging a secure public cloud on scale is really important because that would be a great way for the whole community and all of those consumers to speak to each other. If you set up the right security, and policies and filters, everybody will have the same security. There are operators who have true failover within Canada, so if you have a failure, which you have to expect and count on, then, when you have disaster recovery, it stays within Canada. That's really important for the residency and custodianship of the data itself.

Cyber-agility is a piece that's really important here. It lets you move and launch new applications.

The Chair:

You have one minute left.

Mr. Steve Drennan:

All right; I'll move faster. The third theme would be about establishing a lot more trust around critical data. The banking and key banking groups could actually become the trusted single source for registration, authentication and credentials.

My fourth theme is about user awareness. Let's not lose sight that our weakest link is still the user. We could have more specific mandates and more training so that people are more aware of what to click on, what's good behaviour, what's good hygiene.

In conclusion, there are next-generation cyber solutions on scale that can be used to stabilize and empower the financial community, but it's going to take the right funding and drive to make that happen.

(1650)

The Chair:

Thank you, Mr. Drennan.

Colleagues, we have about a half an hour. If I go with seven-minute rounds, that will pretty well use up the half hour. If I drop it to six-minute rounds, I could get one more question in. Is that fine?

Some hon. members: Agreed.

The Chair: Okay, we'll have a six-minute round. We'll have Ms. Dabrusin, please.

Ms. Julie Dabrusin (Toronto—Danforth, Lib.):

Thank you.

I wanted to start with your fourth theme because that's something that has really caught my attention since the beginning of our hearings when someone talked about having a really secure system delivering information between two cardboard boxes, and the individuals at either end being the cardboard boxes. When you were talking about user-awareness, I know that you didn't get a chance to finish what you were going to say about that, but perhaps you could talk more about it now. What are the specific things we could do better as a government and for public awareness, and how do we increase cybersecurity, cyber hygiene, whatever we call it?

Mr. Steve Drennan:

Good. I'm glad I get to talk more about it. I don't think there are a lot of standards. When I look at the Treasury Board guidelines and MITS and its requirements, it's not very clear. It doesn't really define what you have to do to train users and to provide a lot of cyber guidance. It's a bit passive. We have our cyber-safe websites. We have places people can go to learn, but are we actively promoting enough information? We could have more campaigns. We could have more learning through games and monthly meetings and themes to raise an awareness. I'll take one example on spear phishing. Has that been well covered here?

Ms. Julie Dabrusin:

I don't believe so.

Mr. Steve Drennan:

Has phishing been covered?

Ms. Julie Dabrusin:

Yes.

Mr. Steve Drennan:

Spear phishing is more accurate phishing. If it looks like the Hon. John McKay is sending a message to all of you and he tells you it is urgent and you have to click on it, you may think about clicking on it because it looks like it's coming from John McKay.

The Chair:

That's a bad example.

Voices: Oh, oh!

Mr. Steve Drennan:

Well, it was one example. If it looks like it's coming from a position of authority and looks like it's your style of writing and mentions things that are typically in the messages you exchange, it would seem more likely that you should just click on it. They can use pressure. We'll see sometimes formatting problems, misspelled words, but you have to look. How often do we just pull out our devices and work really quickly to click through the messages?

A bit of training, though, and awareness around spear phishing can help, and you can't just do it once. You actually have to do it several times. One of the ways to do that is to do an anonymous type of analysis spear phishing campaign and you actually send almost everyone in the organization a spear-phishing type of email. You're the ethical person, so it's okay. There's a link, and if they click on it all it will do is register anonymously that someone clicked on it. At the end, you end up with a statistic of how many people clicked on it. And it's not going to be good the first time. Then you say, “By the way we ran a spear-phishing campaign. Come and visit at lunch and learn and we'll explain why you shouldn't have clicked on it.” So many people did. The next time you do that, because you do it a second time and a third time, the awareness gets raised. You start raising this awareness with your users and then your users are much better. They're never going to be 100%, but getting the percentage a lot lower is much better.

Ms. Julie Dabrusin:

That's helpful. That's something an organization can do. I guess what I'm trying to figure out is this. When we're looking at what recommendations we can make, how can we build our role from that?

I note that one issue that came up with one of the witnesses was passwords. We already have a prompt now when you enter a password. It tells you that you need a certain number of characters, capitals, and different numbers, whatever. What it never prompts you for is whether or not you have ever used the same password before. Apparently, a big weakness is that people use the same password over and over again. That's fairly usual. Just having a pop-up box to ask whether you've used a password before would seem simple, but it would mean that the password you were about to use was not a strong one even if it met the other markers. When we're looking at the financial industry, people signing up for online banking and these types of things, are there things that we can try to put out as recommended standards?

Mr. Steve Drennan:

Yes. I think there are two points in here. There's the cyber-awareness training and the passwords, so we'll talk about both.

For the passwords, yes, there should be more standards. They're actually easily set by policies. You should set more policies on it. That can be mandated in legislation. It would be more clear. When I look at MITS or at requirements, it's not always clear what the password guidelines are. It's not prescriptive enough.

Absolutely, that's just one example. You probably want to do away with common and known passwords that people choose often. You want to try to make sure that they don't choose dates that are reflective of their own personal history and that an attacker might also already have.

There are ways of making sure that gets legislated and then enforced. That's a very good example—

(1655)

Ms. Julie Dabrusin:

Can I just jump in quickly on that? I don't have much time.

Mr. Steve Drennan:

Yes.

Ms. Julie Dabrusin:

Do any countries have that? Are there any examples that we could look to for that type of thing?

Mr. Steve Drennan:

Not that I'm aware of, but Germany and Europe tend to have a lot more legislation around this. With GDPR and other standards, you might see it there. I'm not a hundred per cent sure.

Ms. Julie Dabrusin:

You can continue. I just wanted to get that in.

Mr. Steve Drennan:

I would say that the other thing, though, is that there are too many passwords, too many different passwords. How many systems does everyone in this room have that they log into just at work?

You can actually have a lot of those passwords synchronized, and then make it two-factor or add biometrics on top of that to create a stronger but more consistent password. That's actually a lot more effective. When you back it up with the ability to audit your users and look for behavioural issues that you might see on the network, it's a much stronger approach than everybody here having 15 passwords that they have to recycle all the time.

The Chair:

Thank you, Ms. Dabrusin.

Mr. Motz, you have six minutes, please.

Mr. Glen Motz:

Thank you, Chair, and thank you, Mr. Drennan, for being here.

As you indicated, your group works with government, industry and law enforcement on issues of security, including national security. Last year, one expert in our security study noted that he had “Zero confidence” in Canada's readiness for emerging technology threats like AI and quantum computing.

In your experience with your work in Canada, how ready do you think we are with respect to that statement?

Mr. Steve Drennan:

We are not as ready as we need to be, but we're not at zero. I would say that, unfortunately, it might vary a lot depending on which group you're looking at. For instance, at the Canadian Centre for Cyber Security they're focusing on analytics and the sharing of indicators of compromise and that sort of thing, where they could play a bigger role and probably will over time in terms of their capabilities and how that can be shared.

There are other organizations, too, that have varying capabilities because they have different security technology deployed. Some of them would have Fortinet firewalls and some other people will have, say, Check Point or Cisco firewalls. Some of those firewalls will have different kinds of capabilities enabled, and some of it is next generation and some of it is not.

Unfortunately, there's a lot of variation in terms of what we can respond to. You mentioned AI, machine learning and quantum. As the attacks become more sophisticated, we do need to have more sophisticated countermeasures on scale, and that's why I was talking about the use of a public cloud. For the financial sector, if it were run from a common place, that more advanced capability would be there for almost everybody connected to that source. That's one way of bringing the level up for everyone.

Mr. Glen Motz:

Canada, and I guess the world, for that matter, is said to have major gaps in talent with respect to cybersecurity. What is your group doing to try to develop more talent? How and where are you investing in skills and target groups in what is certainly an emerging field?

Mr. Steve Drennan:

Yes, that's at the core of what is very important to ADGA.

ADGA is led by a female CEO. We're very proud of that and of our proud Canadian history and diversity as well. We invest heavily in co-op programs and bringing in people who have emerging skills to get them into cybersecurity—because that's what we're talking about today—but also into other fields as well.

There's a lot of work that we all play.... Recruiting is a function that we can get involved in at the university and college level. We can help with the actual programs they're taking. For instance, at Algonquin College, they have a very good program on cybersecurity. There are a number of cybersecurity parts that are being built out now at the university level as well. That's just here in Ottawa. We take an active role in that. We work with other colleges as well.

It's important to purposely recruit diverse talents and diverse skills and have a big diverse population, I guess, in terms of the people you have. We in Canada have to make sure that we maintain that talent. Keeping people excited and energized about the work is a responsibility for all of us. If there's a lot of cyber-work this year but none next year, where does all the talent go?

(1700)

Mr. Glen Motz:

Last week, I believe, we had a gentleman here from Ryerson. Some could argue that there might be some gaps in what they're going to try to roll out as far as their academic program is concerned. Does your group, or do groups like yours in industry, sit down with educational institutions and help them develop curriculum that will help to develop the types of employees and skill sets that you want coming out of our schools?

Mr. Steve Drennan:

Yes. We actually have that opportunity. I've been involved in giving feedback to Algonquin's program in the past. There's also Willis College. We've talked to them. They have a program, and I've given feedback on how much cybersecurity is in there, on what should be in there, and on the Government of Canada security clearances they should get for their students as they go through, which will enable them to have better careers and stay in Canada. We have influenced and we do work with the universities on the programs—for instance, the programs for all the engineering students. We regularly meet with these groups. We're directly involved. We do get an opportunity with the faculties in academia to set those agendas.

Mr. Glen Motz:

Can you explain the difference, if there is any, between cybersecurity in the defence sector and cybersecurity in the IT sector? Is there even a difference?

Mr. Steve Drennan:

I can think of a few key differences. One of them is that it's like a dam bursting. In cybersecurity in Defence, they are just waiting to move from what's called “defence” to “active defence” to “cyber-offence” as the legislation gets moved forward, because it's a critical enabler. Cyber is now seen as a whole new area; just like having naval or air force, cyber is its own theatre of combat. It's pretty critical that we move that legislation forward so that National Defence can do more on the cyber landscape. As they deploy troops and as they're in theatres of operation, they can now win and lose battles based on cyber. That's one difference. They're held back a little bit. They also have a whole bunch of classified networks and other elements that all have to be brought forward. That has to do with funding and large changes that are being looked at right now.

In the private sector, there aren't as many rules. We talked about cyber-threat intelligence earlier. You will see the large vendors being able to gather that data across the world from the nodes they have in different countries, because it's less restrictive on how they operate. That's actually very positive, because then they're able to share that data with government and industry.

The Chair:

Thank you, Mr. Motz.

Mr. Dubé, you have six minutes, please.

Mr. Matthew Dubé:

Thank you very much for being here.

I want to go back to the labour issue that was raised by my colleague and look at a different aspect of it. Does the industry get hamstrung by the fact that when it comes to security clearances, these are based on things like where people are from and things of that nature? You're involved in procurement on the cyber side, but in traditional procurement, if that's the correct term, around the actual building of fighter jets, helicopters, military equipment and what have you, there have been issues in the past where, depending on where our allies are on a particular issue, or where we're at on a particular issue, different companies have been disqualified and missed out. They have highly qualified people working there, and perhaps the ideal equipment to serve, say, Canada's military, but the U.S. has an issue with a particular country or something like that. Are you seeing this issue play out in the same way in the cyber field? If so, what can we do to address that?

Mr. Steve Drennan:

Yes, we are seeing that issue. For commercial clients, they're much more flexible. If your company has the right reputation and if you have the right people and skills, you can get those cyber engagements. We do a lot of security assessments and design and cloud security work. The message in terms of what you're able to do with the commercial sector, which is very sizable in Canada, is much more straightforward.

It is a challenge. I have lots of security clearances. It's been simpler for me, but for others, if they don't have enough residency in Canada, they can't get the security clearance. Typically, “secret” is required for most things. It can be “top secret”, but “reliability” isn't often the requirement. You need, I think, a five-to-10-year residency in Canada, and often to be a Canadian citizen. It might be good to look at mechanisms on how we could also do other security checks that would get people to secret and how we could make it much more uniform. There's probably no reason that every government department needs its own clearance process and its own rules. If you're trusted, you're trusted. If the company is trusted, it's trusted.

These are things that probably could be reformed over time. We probably should look at other ways to clear individuals. We have a bit of a brain drain in Canada. We should be recruiting talent from other countries. As we get those people here, we need to be able to get them busy and onto important projects and still give comfort to the government and banking that they have the right clearance and the right background.

(1705)

Mr. Matthew Dubé:

I appreciate that. In keeping with this issue, is there a particular issue for cyber, though? If you're a company that's building helicopters, you're not selling helicopters to the Department of Finance, but to DND. However, if you're operating in cybersecurity, Finance needs cybersecurity as much as DND does. Is there an issue there even where our traditional sort of military alliances make it easy to cut off people for security clearance when it comes to traditional military procurement, but it's more challenging when...? Is there an issue where, if you're involved in cybersecurity for the Department of Finance, let's say, and you're using a company that has skills coming from people who might not be recognized on the defence side? Do you see what I'm getting at?

You mentioned that security clearances are different. As Canadians, are we losing out on having proper protections, say, for the finance department because we're applying the same rules we would apply in defence because we're trying to create that uniformity where the alliances might be different and how it plays out in terms of—I mean who cares what the Americans have to say if we're protecting the Department of Finance, for example, unlike the military where we actually have an alliance with them?

Mr. Steve Drennan:

I don't think the discrepancy is the issue. I think the issue is time. Now you're losing a year or two years sometimes before you can get key people in on engagements. For some of the cyber knowledge you want, you could take a group of people—I think we talked about how people can be accelerated and there's been witness testimony on how we can get people started quite quickly into cybersecurity, entry level positions and others. If you have a key group of people whom you can clear based on adding some people who are trusted from companies—and sometimes you need subject matter experts, let's say, from the U.S. So comparable clearances and moving quickly on it is fundamental. Sometimes what happens is that it's more about the time that we lose because of all these different clearances and that the impact of that is direct to national defence and to other groups that can't get teams meaningfully started for a year or two sometimes. The Department of Finance might not require as many clearances. DND requires what's also called a VCR at each site, but other entities don't do that. It's about having the same standards applied to everyone. If the data is more sensitive, that's what the clearance should be for everyone.

Mr. Matthew Dubé:

With the 20 seconds I have left, I'm just wondering if you believe that we shoehorn or pigeonhole ourselves rather too much by looking at the traditional alliances and some of the countries that are comparable to Canada and that might have the expertise, but because they're not part of the traditional paradigm that we look at, we're maybe missing out on some of that talent.

Mr. Steve Drennan:

Yes and no. I think we can go to the Five Eyes community and get a lot of that talent and have comparable clearances, but yes, we should also look at extending to other countries. How do we have a fast track clearance process from other countries so we can trust individuals for information, and how can we do it quicker?

The Chair:

Thank you, Mr. Dubé. That was interesting analysis. The analyst here whispered in my ear, “That's exactly one of the big problems, just getting those clearances”.

Mr. Picard you have six minutes please.

Mr. Michel Picard:

It's nice to see you again. You provide services to financial institutions, is that right?

Mr. Steve Drennan:

Yes.

Mr. Michel Picard:

What was the comment you made about the fact they would be the trusted company or the guardian of this critical information? What was that again?

(1710)

Mr. Steve Drennan:

It's a really key point. I just didn't have enough time to go into it too much, so thank you for the opportunity.

We all trust when we walk into a bank, and we all trust when we walk into the Bank of Canada, or one of these trusted places like the Department of Finance. That is something that can be leveraged in a very positive way. One of the things we talk about is passwords. When you're setting up credentials online, you have to be able to trust how you set that up. I think we should be leveraging that space and those personas and organizations more. That can establish more security for those online credentials and it can play a broader role. It can be more uniform as well. That's a key thing. We can set up stronger credentials that are more uniform that could be used in a more specific way for cybersecurity.

Mr. Michel Picard:

Doesn't that create an awkward situation where a bank would be the guardian of my critical information instead of the bank having access to some third party being responsible for that information, because you put the customer in a vulnerable situation where he has to deal with the bank, being secure of course, but at the same time the objective of the bank is to make money, not to guard my information? That puts the customer in a weak situation with the bank.

Mr. Steve Drennan:

The main thing would be that the bank would play a role called a “registration authority”. The bank doesn't have to have the data.

I think you've been briefed on tokenization. The data wouldn't have to be held by the bank; the bank could be the enabler of saying, “You are who you are, we know it, you've come into a bank, we trust you, you trust us, we've done a registration check.” It would be a function in support of setting up the online identity rather than holding the data.

Mr. Michel Picard:

You were quite positive about the earlier comments of AWS about centralized structure and an iCloud type of system where everything is at the same place.

There are two things. First, does that mean you support any initiative towards open banking where everything is in the same place?

At the same time, we talk about those centralized systems with such trust in their security that we don't feel the necessity to discuss an insider job or human risk factors. It's as though they don't exist anymore.

Mr. Steve Drennan:

Yes, I am in favour of using secure public cloud. That would mean large data storage, but the ability, then, to detect attack correctly when it's happening and protect the data better.

In terms of protecting that data, there are lots of mechanisms that can be used. For example, there are good products for cloud that enable you, at the field level, to encrypt data whenever you need to. If you have an insider threat and there's a breach, the data that's stolen is encrypted data. It's protected because it was protected properly as you stored it.

What we don't do a lot sometimes is organize our security design correctly, so when we're breached, we're not protected properly. We don't detect it fast enough and we don't know how to respond. To your point, if we organize ourselves and there is an insider threat, the data can be protected and we can more quickly detect and respond to the event, too.

One example I'm sure everyone is aware of is Snowden. He actually had a lot of access, and then was able to give himself more access. That's not exactly the paradigm you want to have in an environment. There are better ways of doing that.

Mr. Michel Picard:

I'll leave the rest of my time to Mr. Graham.

The Chair:

Mr. Graham.

Mr. David de Burgh Graham:

Thank you.

Mr. Drennan, in the three minutes that Mr. Picard has been asking questions, I logged into a server, and using raw SMTP, sent myself an email from god@heaven.org. I think this brings to a big part of your spear phishing discussion the question, why is it that we are still using protocols that are completely hackable like that?

There's no authentication whatsoever in SMTP. I can put any spoofed address that I want. SMTP SSL is not universal, but it doesn't prevent spoofing in any case. Therefore, is there a role for, say, PGP signing our emails as a standard, or is there something we can do to sign cryptographically? Is that an approach we should be looking at?

For whatever reason, that has not taken off in the 25 years it has been around.

Mr. Steve Drennan:

I'm speaking from some first-hand experience, but it's probably because PKI, or public key infrastructure, can be a bit of a big hammer in actually deploying certificates. Then what assurance of certificates are you deploying, and are they proprietary?

S/MIME was very good, but the point is that there are ways of establishing identity and having digital certificates, or proof of the message originator and who sent it and whether it has been tampered with, that can be added and done better.

Absolutely, there are technologies. If we standardized on one, that would be good. I don't know if we need full public key infrastructure. We have to be careful about what digital certificate approach we take, given the massive community that would be involved in the financial community.

(1715)

Mr. David de Burgh Graham:

What system would you suggest we use to authenticate? Email is the greatest source of all vulnerabilities as far as phishing, and so forth, is concerned, so what should we use?

What do you use?

Mr. Steve Drennan:

Well, we're moving away from email. That's more for productivity reasons. Email is not necessarily being used for what it was created for. There are things such as Slack and other tools that can create more efficient conversations.

Earlier we talked about user awareness. People need to know how to use email and what to click on. Just because everything is encrypted doesn't mean a bad actor didn't send an encrypted email to you, so it still comes down to that point.

There are ways to do it. If we wanted to have a portal service where there would be secure emails kept in a location that you could pull down, that would an option. There's time-to-live encryption, so that when you send messages, they're encrypted, and then if you don't open them fast enough, they expire and disappear.

There are some options to look at.

Mr. David de Burgh Graham:

Like key signatures.

The Chair:

Thank you, Mr. Graham.

There are four minutes left. Are there any questions on the Conservative side?

Mr. Eglinski, do you want to use four minutes?

Mr. Jim Eglinski:

You were talking about security along with Mr. Dubé. At your company, which works a lot with many government agencies, what security level do you look at for your people, or do you have to get them a secret or a top secret level?

Mr. Steve Drennan:

In our cybersecurity team in the organization, we have a lot. We have the ability to hold and process top secret information. We have classified environments. We all get top secret clearance and these extra clearances that we were just talking about. We do that because it enables us to be able to do the contracts we were talking about earlier. We know we have to do it. It affects whom we can hire as well, and that's an unfortunate byproduct because we always want to get as much diversity as we can. But we get all the top clearances for sure. And some other parts go with it for—

Mr. Jim Eglinski:

You seem to be a little on the negative side. There seems to be a lot of.... I used to do top secret investigations for security clearances, and a lot of work is involved in them. But you think that we should be reducing our level or our standard?

Mr. Steve Drennan:

No, creating more consistency.

Mr. Jim Eglinski:

More consistency?

Mr. Steve Drennan:

So that all government departments can have the same clearance. If an entity or a person is trusted to a level of information or a caveat of information, they should be trusted equally wherever they go. They shouldn't need different clearances for different organizations inside Canada.

Mr. Jim Eglinski:

There's no standard with a national set of rules that you have to meet to get to a certain level?

Mr. Steve Drennan:

Absolutely.

Mr. Jim Eglinski:

Okay.

I have one quick question; I think I've got about two minutes left?

The Chair:

Yes.

Mr. Jim Eglinski:

You spoke briefly about artificial intelligence. I've studied it in a couple of different committees other than this one. Do you think that in time artificial intelligence will be able to do cybersecurity better than we can do it personally ourselves right now?

Mr. Steve Drennan:

I think the interesting way to look at artificial intelligence—hopefully it's not one of those bad movies that we've seen—and the way I've seen it being deployed now is that it can assist the operators. So when you have a security operations centre and you have operators who are very hard to recruit, build and keep, and you only have so many of them, they can make it a lot easier by reducing the datasets that you need to deal with and pre-making decisions, populating and making it very easy for you to make key decisions. So if you think of them as cyber assistance to help you get through all the terabytes of data and make your job easier and more focused, that's the way I think artificial intelligence machine learning is at its best for cyber.

Mr. Jim Eglinski:

You don't want to feed them so much.

Mr. Steve Drennan:

You can feed them everything; just don't let them press the button on everything.

The Chair:

I want to thank Mr. Drennan on behalf of the committee for a very fascinating period of time and discussing things that Mr. Graham is pretty well the only one who understood.

Mr. Steve Drennan:

Thank you.

The Chair:

Thank you again.

Colleagues, the subcommittee will start in two minutes.

The meeting is adjourned.

Comité permanent de la sécurité publique et nationale

(1530)

[Traduction]

Le président (L'hon. John McKay (Scarborough—Guildwood, Lib.)):

Il est 15 h 30, et nous avons le quorum.

Il y a deux témoins dans le premier groupe, M. Ryland et M. Fadden.

Avant de commencer, chers collègues, nous avons deux ou trois écueils à contourner en ce qui concerne notre ordre du jour, et nous devons donner certaines directives aux greffiers et à l'analyste. La réunion du sous-comité devait commencer à 17 h 30. Cependant, la sonnerie se fera peut-être entendre à 17 h 30, faisant ainsi en sorte que nous ne pourrions pas commencer la réunion du sous-comité.

M. David de Burgh Graham (Laurentides—Labelle, Lib.):

Commençons à 17 h 29.

Le président:

À 17 h 29, c'est un peu serré. Je pensais commencer plutôt à 17 h 20. Nous pourrons mettre fin à la réunion actuelle à 17 h 20 ou peut-être l'étirer un peu jusqu'à 17 h 25.

S'il n'y a pas d'autres considérations, je vais demander à nos témoins de présenter leur exposé. Je n'ai pas prévu d'ordre précis, mais je souligne que M. Fadden a déjà comparu de nombreuses fois devant le Comité, tandis qu'il s'agit, si je ne m'abuse, de la première comparution de M. Ryland.

M. Mark Ryland (directeur, Bureau du dirigeant principal de l'information, Amazon Web Services, Inc.):

C'est exact, oui.

Le président:

Je devrais peut-être laisser l'expert commencer afin que vous puissiez voir de quelle façon un excellent témoin présente son exposé.

M. Mark Ryland:

C'est parfait.

Le président:

Monsieur Fadden, s'il vous plaît.

M. Richard Fadden (à titre personnel):

Merci, monsieur le président. Je m'attends à ce que votre jugement n'ait pas changé lorsque j'aurai terminé.

Le président:

N'exigez pas qu'on passe au vote.

M. Richard Fadden:

Encore merci de me donner l'occasion de discuter avec vous.

Pour commencer, je tiens à souligner que, dans le cadre de discussions avec le greffier et le personnel du Comité, j'ai précisé que je n'étais pas un expert du secteur financier, et on m'a suggéré de formuler quelques commentaires généraux sur la sécurité nationale et la cybersécurité, ce que je me propose donc de faire. J'espère que tout ça sera utile au Comité.

Je tiens à formuler des commentaires un peu inhabituels au sujet de votre ordre de renvoi. Vous parlez de sécurité économique nationale. Je suis sûr que ce titre a été choisi après mûre réflexion, mais j'aimerais dire — et je prêche un peu pour ma paroisse, ici — que les enjeux que vous abordez sont des enjeux de sécurité nationale, un point c'est tout. Il ne s'agit pas d'un sous-ensemble du domaine de la sécurité nationale.

Il est ici question de la définition même de sécurité nationale. J'espère et je crois que vous utilisez une définition assez large, mais, selon moi, c'est tout ce qui a une incidence importante sur la souveraineté d'un État. Les choses dont le Comité parle en ce moment sont susceptibles d'avoir une incidence importante sur la souveraineté d'un État, tout comme les activités de blanchiment d'argent réalisées par un État étranger ou un enjeu de sécurité nationale dévastateur. C'était simplement un petit effort de promotion de ma part.

Même si je ne suis pas un expert des systèmes financiers, j'espère et je crois pouvoir vous fournir deux ou trois éléments contextuels utiles. Le premier, c'est que le contexte ou l'environnement dans lesquels les cyberattaques se produisent — qu'elles soient dirigées contre des institutions financières ou autres — sont importants. Ces événements ne se produisent pas de façon isolée. Selon moi, on ne peut pas composer avec les cybermenaces dans le secteur financier sans une compréhension des cybermenaces en général, et on ne peut pas comprendre les cybermenaces sans comprendre les menaces qui pèsent généralement contre le Canada et l'Occident. Nous vivons tous dans un monde planétaire, et c'est assurément une caractéristique qui s'applique aux menaces à la sécurité nationale.

Je le dis pour deux ou trois raisons. Certains d'entre vous sont peut-être assez vieux pour vous rappeler la Guerre froide, lorsque les choses étaient assez simples: ceux qui causaient des problèmes et ceux qui en étaient victimes étaient essentiellement des États. Je simplifie les choses à outrance, mais c'était le Pacte de Varsovie contre l'Occident. Certaines entreprises étaient touchées.

Selon moi, l'un des éléments contextuels qui sont importants, c'est que, de nos jours, nos adversaires ou les instigateurs sont des États, des groupes terroristes, des organisations criminelles — et, ce sur quoi je vais revenir — des sociétés, des groupes de la société civile et des particuliers. Je crois que n'importe lequel de ces acteurs pourrait créer des problèmes au sein des systèmes financiers qui vous préoccupent.

Par ailleurs, avant, les cibles étaient essentiellement des États. Je dirais qu'il s'agit maintenant d'États, de sociétés, d'acteurs de la société civile, de partis politiques, d'organisations sans but lucratif et de particuliers. Le monde est assez complexe, et si les institutions financières en tant que telles ou le gouvernement veulent s'attaquer aux cyberattaques dont ils sont victimes, à mon avis, ils doivent connaître et comprendre le contexte dans lequel tout ça se produit. Ils ne peuvent pas bâtir des murs de façon abstraite.

Selon moi, la question de savoir qui ou quoi pourrait lancer des cyberattaques contre le secteur financier est très pertinente. Je n'essaie pas vraiment de trouver des phrases chocs, mais en voici une: la sécurité nationale n'est pas nationale. Elle n'est pas nationale au sens où un seul État ne peut pas régler ces problèmes — assurément pas une puissance relativement petite ou intermédiaire comme le Canada —, et une coopération internationale est nécessaire.

Ensuite, je ferais valoir qu'aucun État national ou État nation ne peut composer avec ces genres de choses sans l'aide des gouvernements provinciaux ou régionaux, des entreprises et de la société en général. Je vous dirais que c'est une grande erreur pour les institutions financières d'affirmer qu'elles peuvent le faire seules, tout comme c'est une erreur pour le gouvernement d'accepter une telle hypothèse.

J'ai parlé rapidement du contexte et de l'environnement, alors j'aimerais tout simplement décrire rapidement les types de menaces à la sécurité nationale auxquelles le Canada est confronté. Les États révisionnistes, la Russie et la Chine, les extrémistes et l'extrémisme de façon générale, y compris les terroristes, l'enjeu cybernétique, l'Occident dysfonctionnel et les États voyous — comme l'Iran et la Corée du Nord — et les enjeux connexes, me viennent à l'esprit.

Je vous dis tout ça parce que, selon moi, tous ces éléments sont interreliés, et ce, beaucoup plus qu'ils ne l'étaient il y a 15 ou 20 ans. Ils s'appuient les uns sur les autres pour amplifier leurs effets. Par exemple, la Russie et la Chine utilisent des cybersystèmes et bénéficient d'un Occident dysfonctionnel, parce qu'on ne lutte pas contre eux de façon coordonnée. Les groupes terroristes bénéficient de la discorde provoquée par les États révisionnistes, et ils utilisent des cybersystèmes. Tous ces éléments interagissent les uns avec les autres, et je crois que c'est quelque chose que nous devons garder à l'esprit lorsque nous abordons cette question.

(1535)



Un des autres enjeux que je veux souligner et une des autres choses que je veux vous faire comprendre, c'est que le Canada est très menacé par les cyberattaques de façon générale ainsi que les cyberattaques contre ses institutions financières. Je le dis parce que, lorsque je travaillais, l'une des choses qui me dérangeaient, c'était l'idée qu'avaient bon nombre de Canadiens que le Canada n'était pas menacé parce que nous étions bordés par trois océans et les États-Unis. Cette vision des choses faisait en sorte qu'il était très difficile pour les gouvernements et d'autres intervenants de composer avec bon nombre des menaces à la sécurité nationale. Le Canadien moyen, ne voyant rien se passer, ne croyait pas qu'il y avait là un grave problème.

Je crois que le Canada est très menacé par une diversité d'institutions et d'entités dont je viens de parler, mais pourquoi? Nous avons une économie de pointe, un milieu scientifique et des technologies de pointe, nous faisons partie du Groupe des cinq et de l'OTAN et nous sommes tout juste à côté des États-Unis.

Pour être honnête, nous ne sommes pas considérés à l'échelle internationale comme ayant la meilleure défense cybernétique, et toute institution s'attaquera au maillon le plus faible de la chaîne. Parfois, c'est ainsi qu'on nous voit, même si je ne crois pas que nos résultats sont si mauvais que ça. De plus, nous sommes menacés, parfois, simplement parce que nous sommes victimes d'une attaque aléatoire.

Je crois qu'il est tout particulièrement important pour le Comité de souligner le fait que notre secteur financier est en effet menacé par des cyberattaques, parce que je ne crois pas que beaucoup de personnes le croient.

L'une des autres choses dont j'aimerais parler, c'est l'identité des principaux instigateurs des attaques potentielles. Je crois que ce sont des États nations et des groupes criminels internationaux.

Que vont-ils faire? Ils vont essayer d'empêcher les gens d'avoir accès aux services, s'en tirer avec des vols traditionnels — ce sur quoi je reviendrai —, ils tenteront d'acquérir de l'information et du renseignement, ils voleront de la propriété intellectuelle et des identités, tant afin de s'enrichir qu'à des fins d'espionnage.

Permettez-moi de vous donner deux ou trois exemples d'États qui jouent avec les systèmes financiers d'autres pays.

La Corée du Nord finance beaucoup de ses activités. Elle obtient beaucoup de ses devises fortes en utilisant ses capacités cybernétiques pour avoir accès aux systèmes financiers de pays divers et variés. Par exemple, elle avait un programme il y a un certain temps qui lui permettait de voler de l'argent systématiquement dans les guichets automatiques de partout dans le monde. Elle mise aussi sur un programme qui lui permet d'obtenir des rançons au moyen de rançongiciels. De façon plus générale, on croit que c'est elle qui a gelé le système de santé national du Royaume-Uni il y a quelques années.

Là où je veux en venir, c'est que vous pouvez apprendre tout ça en faisant simplement des recherches sur Google. Les États-Unis ont formellement accusé un certain nombre de personnes de la Corée du Nord qui ont tenté de faire ce genre de choses, et ce n'est là qu'un exemple d'un État qui tente de pénétrer dans les systèmes financiers des pays occidentaux.

L'Iran en est un autre. Vous aurez vu dans les journaux au cours des cinq ou dix dernières années deux ou trois exemples de la façon dont l'Iran a essayé de le faire, particulièrement contre les États-Unis et les banques. Il y a des accusations formelles qui pèsent contre sept ou huit Iraniens.

Je veux dire deux ou trois choses sur la Russie et la Chine et la façon dont, selon moi, vous ne pouvez pas en faire fi lorsque vous abordez ce sujet. Je crois que leur principal objectif est double: le premier, c'est d'empêcher la prestation des services, et l'autre, c'est simplement de réduire la confiance des Occidentaux à l'égard de leurs institutions. C'est quelque chose que ces pays font de façon systématique.

Les groupes criminels sont de plus en plus présents dans le domaine, et c'est quelque chose dont on ne parle pas assez. J'espère que vous avez eu l'occasion de parler à des représentants de la GRC à ce sujet. Si vous regardez les chiffres de la GRC ou de Statistique Canada, la mesure dans laquelle les groupes criminels internationaux s'immiscent dans nos institutions financières a explosé au cours des dernières années.

En résumé, selon moi, les cyberattaques contre notre système financier sont un enjeu de sécurité nationale. Ces attaques doivent être considérées dans un contexte global si vous voulez les éliminer de façon efficace. Il n'y a pas de solution miracle ici. On y arrivera seulement et nous réussirons seulement à réduire le risque si tous les gouvernements, toutes les sociétés et la société civile travaillent en coopération.

Je crois que le gouvernement doit échanger plus de renseignements avec le secteur privé. C'est quelque chose que nous faisons beaucoup moins que le Royaume-Uni et les États-Unis. Vous ne pouvez pas vous attendre à ce que les sociétés privées soient des partenaires efficaces s'ils ne savent pas ce qui se passe.

Le secteur financier doit déclarer de telles attaques et violations de façon beaucoup plus systématique qu'il ne le fait actuellement.

Ces problèmes évoluent constamment, et nous devons en parler beaucoup plus que nous ne le faisons actuellement.

Merci, monsieur le président.

(1540)

Le président:

Merci, monsieur Fadden.

Monsieur Ryland, vous avez 10 minutes, s'il vous plaît.

M. Mark Ryland:

Bonjour, monsieur le président, et bonjour aussi aux membres du Comité. Je m'appelle Mark Ryland. Je suis directeur de l'ingénierie de sécurité d'Amazon Web Services. Je travaille directement dans le bureau du DPSI pour le dirigeant principal de la sécurité de l'information. Merci de me donner l'occasion de discuter avec vous aujourd'hui.

J'imagine que, de façon générale, vous en savez tous un peu au sujet d'Amazon.com, mais permettez-moi de fournir quelques renseignements sur notre présence canadienne.

Amazon.ca sert sa clientèle canadienne depuis 2002, et nous maintenons une présence physique au pays depuis 2010. Amazon emploie maintenant plus de 10 000 employés à temps plein au Canada, et, en 2018, nous avons annoncé la création de 6 300 emplois supplémentaires. Nous possédons deux carrefours technologiques, qui sont d'importants centres de développement de logiciels ayant de multiples bureaux à Vancouver et Toronto. Nous employons des centaines de concepteurs de logiciels et d'ingénieurs qui travaillent sur certains des projets les plus avancés pour nos plateformes mondiales. Nous avons aussi des bureaux à Victoria associés à AbeBooks.com ainsi qu'à Vancouver, où se trouve une division appelée Thinkbox.

Nous exploitons aussi sept centres de traitement des commandes au Canada, quatre dans la région du Grand Toronto, deux à Vancouver et un à Calgary. Quatre autres ont été annoncés. Ils ouvriront leurs portes en 2019, à Edmonton et Ottawa.

Mais pourquoi suis-je ici? En quoi consiste l'infonuagique? Vous vous demandez peut-être pourquoi nous sommes ici pour discuter de la cybersécurité du secteur financier. Eh bien, revenons en arrière. Il y a environ 12 ans, nous avons créé une division au sein de notre entreprise: Amazon Web Services, ou AWS par souci de brièveté.

Les AWS ont été créés lorsque l'entreprise s'est rendu compte qu'elle avait acquis une compétence de base en matière d'exploitation de très grandes infrastructures technologiques et de grands centres de données. Grâce à cette compétence, nous nous sommes donné comme mission plus générale d'utiliser cette compréhension technologique afin de servir un tout nouveau segment de clients — des développeurs et des entreprises — en offrant un service de technologie de l'information que nos clients peuvent utiliser pour créer leurs propres applications échelonnables de pointe.

L'expression « infonuagique » renvoie à la prestation sur demande de ressources de TI sur Internet ou par l'intermédiaire de réseaux privés, des services assortis d'une tarification à l'utilisation afin que les gens payent seulement pour ce qu'ils utilisent. Plutôt que d'acheter, de posséder et d'entretenir beaucoup de pièces d'équipement de haute technologie, comme des ordinateurs, des dispositifs de stockage, des réseaux, des bases de données et ainsi de suite, il est possible de seulement appeler une interface de programmation et d'avoir accès à ces services sur demande. C'est ce qu'on appelle parfois une « informatique à la demande ». C'est similaire à la façon dont un client appuie sur un interrupteur et peut avoir de l'électricité chez lui. La société d'électricité prend soin de tout le reste.

Toute cette infrastructure est créée et bâtie. Il y a bien sûr l'équipement physique et l'infrastructure derrière tout ça, mais, du point de vue de l'utilisateur, il faut seulement appeler une interface de programmation. On communique avec une interface de programmation ou on clique sur un bouton à l'aide de la souris pour avoir accès à cette capacité, et on est ensuite facturé à l'utilisation.

Tout ça est totalement contrôlé par logiciel, ce qui signifie que tout est automatisé. C'est un point vraiment important que je vais soulever plusieurs fois, parce que la capacité d'automatiser les choses est un grand avantage lorsqu'il est question de sécurité. Plutôt que de faire des choses manuellement et d'utiliser... Croyez-moi, nous n'avons pas assez d'experts pour consigner toutes les commandes nécessaires pour tout exécuter, alors il faut avoir le bon logiciel pour assurer une automatisation.

En date d'aujourd'hui, nous fournissons des services extrêmement fiables, sécurisés et résilients à plus de 1 million de consommateurs dans 190 pays. En fait, vous pouvez considérer notre plateforme infonuagique comme une fédération de régions infonuagiques distinctes. Il y en a 20 dans le monde et 61 zones d'accessibilité. Chaque région s'appuie sur des emplacements physiques distincts pour accroître la résilience.

Montréal est l'hôte de la région canadienne des AWS, qui compte deux zones d'accessibilité. Chaque zone d'accessibilité se trouve dans une ou plusieurs régions géographiques distinctes et est assortie d'une capacité de redondance du point de vue de l'alimentation, du réseautage, de la connectivité, et ainsi de suite pour réduire au minimum les probabilités de défaillance simultanées. Grâce à cette capacité, grâce à ces emplacements physiques distincts, nos clients peuvent construire des applications extrêmement accessibles et insensibles aux défaillances. Même la défaillance de tout un centre de données n'entraîne pas nécessairement une interruption des applications de nos clients.

Les entreprises qui se tournent vers les AWS vont de grandes entreprises comme Porter Airlines, la Banque Nationale du Canada, la Bourse de Montréal, le Groupe TMX, Capital One et BlackBerry, à beaucoup d'entreprises en démarrage, comme Airbnb et Pinterest, ainsi que des entreprises comme Netflix, dont bon nombre d'entre vous ont entendu parler, et qui utilisent toutes l'infonuagique des AWS.

Nous travaillons aussi auprès de beaucoup d'organisations du secteur public du monde entier, y compris le gouvernement de l'Ontario, le ministère de la justice et le Home Office britannique, Singapour, l'Australie, les États-Unis et de nombreux autres clients du secteur public à l'échelle internationale.

Quels sont les avantages de l'infonuagique? Il y a trois avantages principaux que je veux souligner.

Le premier, c'est l'agilité et la souplesse. L'agilité permet d'acquérir rapidement des ressources, de les utiliser et de les interrompre lorsqu'on n'en a pas besoin. Cela signifie que, pour la première fois, les clients peuvent vraiment traiter les technologies de l'information d'une façon plus expérimentale, parce que les expériences sont peu coûteuses. Les gens peuvent en fait essayer des choses, et si ça ne fonctionne pas, ils ont dépensé très peu d'argent. Plutôt que d'avoir engagé d'importantes dépenses d'immobilisation assorties d'importants coûts pour acquérir des licences, il est possible de le faire selon un modèle beaucoup plus dynamique. L'expérimentation est très utile lorsqu'il est question d'innovation; c'est donc une façon d'accroître l'innovation.

(1545)



Pour ce qui est de la souplesse, nos clients devaient souvent se doter de systèmes trop gros pour leurs besoins. Ils devaient acquérir une trop grande capacité simplement parce que, une fois par année ou une fois par mois, ils avaient besoin d'une capacité de pointe.

La plupart du temps, leurs systèmes roulaient relativement au ralenti, et il y avait beaucoup de pertes associées à un tel modèle de surapprovisionnement. Grâce à l'infonuagique, il est possible d'obtenir ce dont on a besoin. Les services sont échelonnables, et on peut accroître la capacité ou la réduire de façon dynamique en temps réel.

Un autre avantage est l'économie de coût. Ce que je viens de décrire entraîne aussi des économies de coût. On utilise seulement la capacité nécessaire à un moment donné. Il est aussi possible de transformer les dépenses d'immobilisation en dépenses de fonctionnement, ce que beaucoup de personnes trouvent utile.

En bref, nos clients peuvent maintenir des niveaux d'infrastructure très élevés à un prix qui est très difficile à atteindre lorsqu'il faut acheter et gérer sa propre infrastructure.

La troisième raison, et c'est celle sur laquelle je veux vraiment mettre l'accent dans le cadre de mon témoignage, c'est l'avantage du point de vue de la sécurité. L'infrastructure des AWS met de solides mesures de protection en place pour protéger la sécurité et la confidentialité des consommateurs. Toutes les données sont stockées dans des centres de données extrêmement sécurisés. Nous fournissons très facilement un chiffrement complet: littéralement, il suffit de cocher une case ou d'appeler une interface de programmation. Toutes les données sont chiffrées, ce qui permet de contrôler les sessions, de voir ce qui se passe et de surveiller et contrôler les accès. De plus, notre réseau mondial fournit des capacités inhérentes intégrées permettant de protéger les consommateurs des attaques informatiques par saturation et des autres attaques de type réseau.

Avant l'infonuagique, les organisations devaient passer beaucoup de temps et dépenser beaucoup d'argent pour gérer leurs propres centres de données et s'en faire au sujet de la sécurité de tout ce qui s'y trouvait, et cela signifiait qu'ils consacraient moins de temps à leur mission de base en tant que telle. Grâce à l'infonuagique, les organisations peuvent agir davantage comme des entreprises en démarrage, mettre en oeuvre leurs idées sans coûts initiaux et sans avoir à se protéger contre tous les types de menaces à la sécurité.

Avant, les organisations devaient adopter un important programme d'immobilisations ou conclure des contrats à long terme avec des fournisseurs. Vraiment, la partie la plus difficile tenait au fait que les entreprises et les organisations étaient responsables de tout le système. Les clients étaient responsables de tout, du béton aux serrures sur les portes en passant par les logiciels. Grâce à l'infonuagique, nous assumons un certain nombre de ces responsabilités.

Et qu'en est-il de la sécurité de l'infonuagique? De plus en plus, les organisations se rendent compte qu'il y a un lien entre la modernisation des TI et l'utilisation de l'infonuagique pour améliorer leur posture de sécurité. La sécurité dépend de la capacité à toujours avoir une longueur d'avance sur le contexte des menaces qui évolue rapidement et continuellement en plus d'exiger une agilité opérationnelle et l'accès aux toutes dernières technologies. Tandis qu'une bonne partie des anciennes infrastructures de bon nombre de nos clients arrivent en fin de vie ou doivent être remplacées, les organisations passent à l'infonuagique pour tirer profit de nos capacités de pointe.

Une automatisation accrue est essentielle, comme je l'ai déjà mentionné, et l'infonuagique offre le plus haut niveau d'automatisation. La possibilité d'automatisation est maximisée lorsqu'on utilise une plateforme d'infonuagique. La sécurité dans le nuage est notre priorité. En fait, nous disons que la sécurité est la tâche zéro, elle vient avant même la tâche numéro un, et les organisations de tous les secteurs vous diront de quelle façon l'infonuagique commerciale peut accroître la sécurité de leur infrastructure de TI.

Par conséquent, bon nombre d'organisations, comme des institutions financières, modernisent leur capacité d'utilisation des plateformes infonuagiques. Nous avons été conçus pour assurer la sécurité des organisations, et même pour répondre aux besoins de certaines des organisations pour qui la sécurité est la plus importante considération, comme les services financiers.

Mais il s'agit d'une responsabilité commune. Les clients restent responsables d'assurer la sécurité dans leurs environnements, mais la zone de surface, le nombre de choses dont ils doivent s'inquiéter, est grandement limité, parce que nous prenons soin de beaucoup de ces choses afin qu'ils puissent se concentrer sur le reste. Des grandes banques aux gouvernements fédéraux, nos clients nous ont répété — et nous avons des citations que nous pourrons fournir au Comité — qu'ils se sentent plus en sécurité lorsqu'ils déploient leurs applications dans le nuage que lorsqu'ils le font dans leur propre infrastructure physique, sur place, dans leur propre centre de données.

En résumé, l'infonuagique devrait être considérée non pas comme un obstacle à la sécurité, mais comme une technologie qui favorise la sécurité, et elle est parfois très utile dans le domaine des services financiers en tant que composante de la solution globale pour moderniser et améliorer la sécurité.

Nous avons aussi quelques recommandations de nature stratégique, que nous vous fournirons dans notre mémoire écrit.

L'une des choses que nous voulons mentionner, c'est que, selon nous, on met trop l'accent sur l'emplacement physique des données. Très souvent, les gens se disent: « Il faut que j'aie les données avec moi, physiquement, pour les protéger ». En fait, si on regarde les antécédents en matière de cyberincidents, tout est fait à distance. C'est lorsqu'on est connecté à un réseau assorti d'accès vers l'extérieur que le pire peut se produire.

L'emplacement physique des données, surtout lorsqu'on peut tout chiffrer, comme l'accès physique aux lecteurs de stockage ou peu importe, n'est littéralement pas un vecteur de menace. En fait, il faudrait donner une certaine marge de manoeuvre aux banques et aux autres institutions quant à l'endroit physique où leurs données sont conservées, et ces institutions devraient pouvoir réaliser leur charge de travail dans le monde entier, offrant à leurs clients mondiaux des services à faible latence et en stockant possiblement des données à l'extérieur du Canada.

Il y a deux ou trois autres recommandations, y compris la question de la résidence des données. Nous croyons aussi que la centralisation du travail d'évaluation de sécurité est tout à fait appropriée. Plutôt que de demander à chaque agence ou chaque organisme de réglementation d'évaluer séparément la sécurité de l'infonuagique, il faudrait centraliser ce travail dans une organisation comme le Centre canadien pour la cybersécurité où les responsables peuvent réaliser une évaluation centralisée et déterminer si les plateformes d'infonuagique respectent les exigences. Puis, cette autorisation d'utilisation peut servir à d'autres organisations à l'échelle du gouvernement et au sein des industries réglementées.

(1550)



Merci beaucoup du temps que vous m'avez accordé.

Le président:

Merci, monsieur Ryland.

Les sept premières minutes reviennent à M. Spengemann, s'il vous plaît.

M. Sven Spengemann (Mississauga—Lakeshore, Lib.):

Merci beaucoup, messieurs, d'être là.

Monsieur Fadden, je suis particulièrement heureux que vous soyez là. En ce qui concerne votre ancien rôle de conseiller à la sécurité nationale, je crois que vous avez un point de vue unique sur la façon dont le sujet est lié au ministère de la Défense nationale et aux questions liées à la défense nationale. Je veux commencer par vous poser des questions à ce sujet.

Quelles sont les intersections, les zones grises, entre ce que nous considérons comme des questions liées à la sécurité publique et les questions liées à la défense nationale? Ce sont deux comités qui ont leur propre mandat. De cette façon, il y a des cloisons, et on devrait peut-être réaliser une étude conjointe réunissant les deux comités.

Pouvez-vous formuler des commentaires généraux sur la mesure dans laquelle la composante de défense nationale joue un rôle dans une bonne cybersécurité et quelle part revient à la composante de la sécurité publique?

M. Richard Fadden:

Eh bien, je suis assez d'accord avec vous: les distinctions qu'on fait dans le domaine sont un peu artificielles, et une des choses qu'il faut éviter, dans la mesure du possible, c'est de créer de telles cloisons. Nous en avons déjà assez comme c'est là, nous n'en avons pas besoin de plus.

Je crois que la principale contribution de la Défense nationale, c'est par l'intermédiaire du Centre de la sécurité et des télécommunications et, en ce qui concerne le secteur privé, le Centre pour la cybersécurité. Ces intervenants ont tendance à travailler de façon assez coopérative avec d'autres composantes de l'environnement de la sécurité nationale au Canada. Je dirais, et c'est en partie à la lumière de ce que j'ai su lorsque je travaillais, mais c'est aussi en partie parce que je travaille maintenant un peu dans le secteur privé, qu'il s'agissait assurément là de nouveautés qui ont été les bienvenues, mais ces entités n'ont pas réglé tous les problèmes des cyberattaques, ici et ailleurs.

Selon moi, l'un de leurs gros problèmes, et c'est un problème lié à la Défense, dans la mesure où c'est le ministre de la Défense qui est responsable, c'est que nous parlons de ces choses, mais nous en parlons beaucoup moins et nous partageons beaucoup moins d'information avec le secteur privé que ne le font une diversité d'autres pays. Je ne blâme pas un gouvernement ou un fonctionnaire précis. Il y a quelque chose dans l'ADN canadien lié au fait que nous estimons qu'il faut gérer la sécurité nationale, mais pas en parler. Toutefois, je dirais que, dans de nombreux cas, nous nous en tirerions beaucoup mieux si nous en parlions un peu au secteur privé, sans aller dans les détails opérationnels. C'est une façon d'accroître la sensibilisation. Cela permet au gouvernement et aux sociétés de discuter et de communiquer plus d'information qu'on en demande, mais je crois que le principal contributeur, c'est le CST.

(1555)

M. Sven Spengemann:

J'ai eu l'occasion de demander au dernier groupe de témoins quelle était la distinction — s'il y en a une — entre les acteurs étatiques et les acteurs non étatiques, leur différence qualitative en ce qui a trait à leur capacité de mettre à exécution une menace. Pouvez-vous nous en parler? Un acteur étatique a-t-il tout simplement plus de capacités, plus de pirates, plus de personnes? Ou y a-t-il d'autres différences qualitatives faisant en sorte que ces types d'acteurs sont dans des catégories complètement différentes?

M. Richard Fadden:

Je crois qu'il y a des distinctions à faire entre les acteurs étatiques. Je crois que la Chine et la Russie sont dans une ligue à part. Ils consacrent des ressources quasiment illimitées à leur capacité cybernétique. Ils sont très, très bons. Selon moi, il est généralement accepté que la Chine utilise l'approche de la balayeuse. Elle prend tout simplement tout ce qu'elle peut. Les Russes, selon moi, comptent sur des technologies un peu meilleures et ils sont un peu plus chirurgicaux quant à ce qu'ils tentent d'acquérir.

Selon moi, les groupes criminels internationaux ne sont pas au même niveau, mais ils deviennent très, très bons. Ce sont des gens très intelligents qui ont découvert qu'il était plus facile de s'enrichir en utilisant des appareils cybernétiques qu'au moyen d'interventions cinétiques d'une forme ou d'une autre. En outre, il n'y a pas de frontière, et dans la mesure où il n'y a pas de frontière, c'est beaucoup plus facile.

Le dernier groupe que je mentionnerais, j'imagine, c'est les groupes terroristes. Ils sont dans une catégorie différente. Certains possèdent une capacité cybernétique limitée. Tout cela n'a pas vraiment une envergure mondiale.

J'imagine que ce que je dirais encore une fois, c'est que les acteurs étatiques en particulier font en sorte qu'il est important pour nous de voir les défenses cybernétiques comme étant en constante évolution. Je ne parle pas en particulier de l'entreprise de M. Ryland, mais, quelle que soit la mesure de protection que nous mettons en place, si on se trouve devant une entité très agressive et qu'on lui donne assez de temps et de technologies, elle trouvera une façon de les contourner. Mon point, c'est que nous devons constamment renouveler nos mesures de défense. Nous devons constamment perfectionner nos technologies, surtout contre les États nations, mais de plus en plus aussi contre les groupes criminels internationaux.

M. Sven Spengemann:

Je veux vous poser une question au sujet du contenu dans le domaine numérique, tant du côté civil que du côté militaire. Facebook vient tout juste de décider d'interdire un certain nombre d'entités, des personnes qui ne respectent pas ses normes, y compris Faith Goldy, une nationaliste blanche canadienne. Nous avons aussi eu des discussions au sein du comité de la défense au sujet des campagnes de désinformation russes et du contenu délibérément faux dans la sphère sociale.

Dans quelle mesure le contenu est-il un problème? Où les tendances s'en vont-elles selon vous? Y a-t-il une tendance vers l'interdiction — entre guillemets — de contenu? Dans l'affirmative, qu'est-ce qui arrive? Repoussons-nous ce type de contenu vers le Web invisible ou réglons-nous certains problèmes?

M. Richard Fadden:

Selon moi, le contenu est horrifiant, dégoûtant et exagérément terrible. Si vous preniez le temps un samedi après-midi ou un dimanche pluvieux et que vous faisiez preuve d'un peu d'imagination en vous promenant sur le Web, vous pourriez trouver du contenu d'extrême-droite qui est aussi mauvais que ce qu'écrivaient les nazis, et vous trouverez de la littérature djihadiste qui fait la promotion de la mise à mort systématique des gens. Je ne parle pas du Web profond, qui est, encore là, un autre problème. Je crois que le contenu est un réel problème.

Je dirais que ce que Facebook essaie de faire est une bonne première étape, mais je ne veux pas vraiment que Facebook devienne l'entité qui contrôle mes pensées. Par ailleurs, j'ai la même inquiétude au sujet des gouvernements. Je ne veux pas que les gouvernements se mettent à contrôler nos pensées en déterminant ce qu'il faut faire. Je crois que nous avons besoin d'une certaine discussion nationale pour déterminer qui doit s'occuper de tout cela.

L'une des façons dont le Parlement a composé avec ce problème, c'est dans le domaine du blanchiment d'argent. Vous vous rappelez peut-être qu'il y a eu un débat il y a de ça des années sur la façon de composer avec le blanchiment d'argent: fallait-il tout simplement en faire un crime? Essentiellement, ce que le Parlement a fait, c'est d'imposer une obligation aux banques de connaître leurs clients. Cela a amélioré de façon importante la capacité de tout le monde de composer avec le blanchiment d'argent. On n'a pas éliminé le problème, mais les mesures ont été bénéfiques.

Selon moi, il serait possible pour le gouvernement de mettre en place un cadre, législatif ou réglementaire, exigeant que les entreprises qui oeuvrent dans ce large domaine sachent à qui elles donnent accès au Web et les informent de ce qui est permis et de ce qui est interdit.

En raison de mon grand âge et après 40 ans au sein du gouvernement, j'hésite un peu à laisser des gens me dire ce que je dois penser, que ce soit le gouvernement ou le secteur privé; je crois qu'il doit y avoir une mesure de transparence afin que nous sachions à la fois ce qu'on fait et ce qu'on ne fait pas.

Cependant, rien de tout cela ne fonctionnera, selon moi, si le Canadien moyen ne sait pas plus ce qui est accessible et s'il n'a pas des moyens quelconques de faire connaître ce qui le dérange. Actuellement, oui, on peut appeler la Gendarmerie, mais elle s'occupe de tellement de choses que ce n'est vraiment pas l'une de ses priorités.

M. Sven Spengemann:

Merci beaucoup. C'est très utile.

Le président:

Merci, monsieur Spengemann. [Français]

Monsieur Paul-Hus, vous avez sept minutes, s'il vous plaît.

M. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, PCC):

Merci, monsieur le président.

Bonjour, messieurs.

Monsieur Fadden, en 2010, vous avez donné une entrevue à CBC qui a été rapportée dans le Globe and Mail. Vous mentionniez qu'il y avait de l'ingérence d'acteurs d'autres États auprès de fonctionnaires et de ministres provinciaux ainsi que dans les milieux politiques canadiens. À ce moment-là, des gens du NPD et du Parti libéral ont demandé votre démission. Heureusement, vous êtes resté en poste.

Ce matin, nous avons appris que le rapport du Comité des parlementaires sur la sécurité nationale et le renseignement, qui vient d'être déposé, confirme ce que vous avez dit et confirme très clairement que la Chine est un acteur dangereux pour la sécurité du Canada.

Dans votre présentation, vous avez parlé des problèmes, mais j'aimerais aussi connaître les pistes de solution. Vous avez parlé de « l'Occident dysfonctionnel ». C'est ce que j'ai entendu à l'interprétation. Pourriez-vous nous éclairer davantage quant à ce que nous pourrions faire? Qu'est-ce que cela veut dire?

(1600)

[Traduction]

M. Richard Fadden:

Oui. Lorsque je parle de l'Occident qui est dysfonctionnel, je veux dire que... Je suis sûr que vous ne voulez pas avoir une longue discussion sur l'administration américaine actuelle, mais c'est là un problème important à l'heure actuelle dans la mesure où les points de vue du président américain actuel favorisent une grande instabilité. Les gens ne savent pas exactement ce qui se passe. Le Royaume-Uni n'a pas pris de décision majeure en un an et demi. M. Macron est préoccupé par ce qui se passe avec les gilets jaunes. L'Allemagne est préoccupée par le remplacement de Mme Merkel, et qui sait ce que font les Italiens.

Ce que j'essaie de dire, c'est que, tandis que nous nous inquiétons de ces enjeux majeurs, nous donnons l'occasion à la Russie et à la Chine en particulier de mettre leur nez dans nos affaires d'une façon qu'ils ne pourraient pas le faire si nous étions un peu plus unis. Je ne dis pas que le monde tire à sa fin. Ce n'est vraiment pas ce que je dis, mais je crois que nos adversaires — et je les appelle des adversaires, pas des ennemis — sont très actifs. Ils profitent de chaque occasion. Je crois que nous devons commencer à rétablir les liens étroits qu'il y avait entre certains pays depuis la Deuxième Guerre mondiale.

Selon moi, il faut aussi nous rendre encore plus compte que nous ne le faisons actuellement — et c'est l'un des moyens dont, selon moi, nous devons parler — et mieux comprendre aussi que la Russie et la Chine sont, à leur façon, de grands pays. Ces pays ont beaucoup contribué à la civilisation. Cependant, pour l'heure, ils sont foncièrement mécontents de leur position sur la planète et ils tenteront de changer la donne en utilisant quasiment n'importe quelle méthode. Selon moi, on n'y pense pas assez. Si on n'y pense pas et qu'on n'essaie pas de faire quoi que ce soit à ce sujet, nous sommes vraiment à la traîne.

Selon moi, la première chose à faire, c'est de mieux comprendre ce qui se passe. Quelqu'un m'a demandé l'autre jour dans les médias pourquoi la Russie est allée en Syrie. Elle n'a aucune possibilité d'acquérir des territoires, mais elle tente de causer du tort, et elle réussit très bien. Elle a retardé l'élimination du califat. Elle fait ce genre de choses dans un paquet de domaines. Elle est intervenue dans les élections des États-Unis, de l'Allemagne, de la France et si je ne m'abuse, de l'Italie. Tout ce qu'elle tente de faire, ce n'est pas vraiment de choisir qui gagnera, mais de réduire la confiance du public à l'égard des institutions publiques.

Ce sont toutes des choses dont, selon moi, nous devons parler davantage. Nous devons vraiment bien comprendre, particulièrement au sein des principaux pays occidentaux, la gravité du problème. Certaines parties de l'administration américaine jugent que tout cela est plus important que nous, parfois. Les Britanniques sont à un tout autre niveau. Nous avons besoin d'un consensus au sein de l'Occident quant au fait qu'il y a un problème. Les États-Unis viennent de changer leurs priorités en matière de sécurité nationale pour remettre l'accent sur les conflits entre grandes puissances après s'être intéressés au terrorisme pendant de nombreuses années. Eh bien, si c'est le cas, il faut commencer à réfléchir à ce qu'on fera au sujet de la Russie et de la Chine, sans partir en guerre, ce qui n'est vraiment pas ce que je propose. Il faut en parler, comprendre la nature de la menace et tisser des liens plus étroits à l'échelle internationale. Je crois vraiment que la sécurité nationale n'est pas nationale, pas de la façon dont on l'assure aujourd'hui. Il faut travailler en collaboration avec tout le monde. [Français]

M. Pierre Paul-Hus:

Merci.

Revenons à notre sujet de base, qui est le secteur financier, les banques.

Nous avons rencontré plusieurs intervenants, différentes banques et différents autres groupes. Il y a les banques, le système administratif gouvernemental et le côté politique. Lorsqu'il est question de sécurité, d'enjeux, d'ennemis potentiels, le côté politique est toujours frileux. Les banques prennent des mesures de leur côté.

Selon vous, est-ce que l'administration, c'est-à-dire les gens que nous ne voyons pas, ceux qui sont dans l'ombre, est assez efficace actuellement pour pallier le côté politique? Il peut s'agir d'un côté ou de l'autre, je parle de façon générale. Politiquement, parfois, on n'ose pas.

À la suite des années que vous avez passées au sein de l'appareil politique, pensez-vous que nous sommes efficaces ou qu'il y aurait lieu de prendre des mesures très vigoureuses? [Traduction]

M. Richard Fadden:

Je dois admettre d'entrée de jeu que je ne suis probablement pas objectif, puisque j'ai travaillé pendant beaucoup d'années dans le domaine, mais je crois qu'il y a eu beaucoup de progrès ces derniers temps et qu'il y a beaucoup plus de coopération et de collaboration.

Cependant, je dirais deux choses. Premièrement, c'est que le monde devient beaucoup, beaucoup plus complexe, et je crois qu'on pourrait dire qu'il faut plus de ressources. Lorsque je travaillais pour le gouvernement, la dernière chose que nous voulions faire, c'était de mettre notre ministre dans l'embarras en disant que nous voulions plus d'argent. Ce n'est pas vraiment ce que je dis maintenant, mais si on pense à la guerre froide, puis au terrorisme, et enfin aux enjeux cybernétiques actuels et aux conflits entre grandes puissances de façon générale, oui, toutes ces institutions ont déjà eu plus de ressources, mais ces niveaux de ressources ne sont peut-être plus suffisants de nos jours, alors c'est quelque chose que je demanderais.

J'imagine que l'autre enjeu que je soulèverais est le suivant: plusieurs politiciens des deux côtés m'ont dit au fil des ans que parler de sécurité nationale ne fait pas gagner beaucoup de votes, et que c'est une des raisons pour lesquelles le gouvernement hésite parfois à prendre les mesures que vous avez soulevées. Cependant, si contrariés que soient les politiciens par les fonctionnaires, ce sont les fonctionnaires qui prennent les devants du point de vue politique des choses, et je crois que nous devons être un peu plus proactifs parfois que nous ne le sommes, parce que la technologie avance, la menace change, et nous semblons toujours essayer de rattraper le retard.

Je ne vise aucun gouvernement ni aucun fonctionnaire. Cela semble tout simplement être la façon dont on fait les choses, en grande partie parce que, si vous êtes le ministre des Finances ou le président du Conseil du Trésor, la dernière chose que vous voulez faire, tous les deux ans, c'est de dire: « voici encore 250 millions de dollars ». Je dis un montant comme ça, mais, vous savez, il y a des changements technologiques, et M. Ryland a parlé de certains d'entre eux, et il y en a un paquet d'autres. C'est très difficile pour un gouvernement de maintenir le rythme sans déployer constamment des efforts, et, en même temps, on s'inquiète au sujet de la Russie, de la Chine, de la Corée du Nord et de l'Iran. On s'inquiète au sujet des groupes criminels internationaux. J'ai l'impression qu'on commence à sous-estimer le problème que posent les terroristes tout simplement parce que nous en avons épinglé quelques-uns.

Par conséquent, et c'est une longue réponse à une question courte: je crois que, de façon générale, les gens font tout ce qu'ils peuvent, mais c'est très difficile de mobiliser tous ceux qui travaillent sur ce dossier — les fonctionnaires et le secteur privé —, sauf s'il y a un consensus quelconque quant à la gravité de la menace.

Je dirais, en toute déférence, que ce genre de consensus brille par son absence au Canada.

(1605)

Le président:

Merci, monsieur Paul-Hus.

Monsieur Dubé, allez-y pour sept minutes, s'il vous plaît. [Français]

M. Matthew Dubé (Beloeil—Chambly, NPD):

Merci, monsieur le président.

Messieurs, merci d'être ici aujourd'hui.

Monsieur Ryland, ma première question est pour vous. En ce qui concerne vos services, je ne sais pas si vous êtes en mesure de nous expliquer la séparation des responsabilités entre vous et vos clients.

Quel est le rôle de vos clients pour assurer la sûreté des données qu'ils vont stocker sur vos serveurs en utilisant vos services? [Traduction]

M. Mark Ryland:

Cette conversation peut être très longue et nuancée, mais juste pour vous donner un genre de résumé, si vous regardez quelque chose comme ce qu'ont les États-Unis... Il y a un cadre de contrôle de sécurité fondé sur une norme NIST appelée FedRAMP, qui dresse la liste de quelque 250 mesures de contrôle — autrement dit, les caractéristiques de sécurité que vous recherchez dans un système — et si vous prenez tout ce cadre de sécurité, notre plateforme couvre plus du tiers de ces mesures de contrôle. Ce sont simplement des choses dont nous nous occupons littéralement au nom de nos clients. Ils n'ont pas du tout besoin de s'en préoccuper. À peu près le tiers est partagé, de manière à ce que nous puissions nous occuper de certaines des choses, mais le client doit effectuer certaines configurations et faire certains choix qui fonctionnent pour ses besoins. Ces mesures de contrôle sont optionnelles, parce qu'il est raisonnable de choisir une option ou une autre, mais selon les besoins des clients, ils doivent faire un choix. Puis, environ le tiers est essentiellement la responsabilité du client.

Nous avons donc rétréci le champ d'action pour le client. Nous délimitons assez clairement qui est responsable de quoi et détenons littéralement des documents de contrôle à ce sujet, puis nous disposons de beaucoup de matériel — des livres blancs, des documents sur les pratiques exemplaires et ce que nous appelons un « cadre bien conçu » — afin d'aider les gens à assumer cette responsabilité restante. Nous voulons qu'ils y parviennent haut la main et nous déployons donc beaucoup d'efforts pour les aider à concevoir des systèmes sécurisés.

Mais lorsque vous arrivez à ce niveau, tout dépend des besoins de l'application, et il n'y a donc pas de bonne réponse à certaines questions. On vous dira « ça dépend ». Ça dépend de l'application et du besoin.

En général, je crois que c'est un bon résumé du type de modèle que nous utilisons avec nos clients. Nous nous occupons d'un certain nombre de choses qui les préoccuperaient habituellement; nous décrivons quelques domaines dans lesquels nous faisons certaines choses et où ils doivent en faire d'autres, puis nous les aidons avec le reste de la conception d'un système sécurisé en leur fournissant beaucoup d'outils et de caractéristiques qui font en sorte qu'il est plus facile de l'achever. [Français]

M. Matthew Dubé:

Merci.

Je veux m'assurer de bien comprendre. Vous avez dit qu'environ un tiers de la responsabilité à bien configurer le tout relevait uniquement du client. Est-ce que cela crée une barrière pour les personnes ou, notamment, les entreprises qui peuvent accéder à vos services, c'est-à-dire que l'expertise doit déjà exister au sein de l'entreprise ou de l'agence gouvernementale?

Je m'explique. Voici l'exemple qui me vient en tête. Je crois que Services partagés Canada a un contrat avec vous. Toutefois, selon ce qu'on voit dans l'actualité depuis un certain temps, cet organisme un bilan assez lamentable en ce qui a trait à la mise en œuvre de système informatique.

Est-ce que les lacunes qui peuvent exister ou le manque d'expertise au sein d'une l'entreprise ou d'une agence gouvernementale pourraient limiter la capacité d'un client de faire affaire avec vous ou avec toute autre entreprise comparable à la vôtre?

(1610)

[Traduction]

M. Mark Ryland:

Chaque fois qu'on utilise une technologie, c'est certainement possible de ne pas bien s'en servir. Une bonne partie de notre mission consiste à renseigner et à former nos clients, et c'est ce que nous faisons dans bien des cas. Et une bonne partie de cette formation est en fait gratuite, dans le contexte où on les aide à comprendre ce type de nouveau paradigme qu'est l'infonuagique.

Cela dit, il y a beaucoup de points communs avec des choses qu'ils font déjà depuis un certain temps. Je vais vous donner juste un exemple. Disons que vous dirigez une application Web accessible aux citoyens pour un gouvernement. Vous savez déjà en quelque sorte comment sécuriser un réseau central; vous détenez un système d'authentification, faites une réinitialisation du mot de passe, ces types de caractéristiques qui sont intégrées dans le système. Si vous utilisez ce type de système semblable sur une plateforme infonuagique, les caractéristiques de sécurité s'apparenteraient à celles que vous avez utilisées par le passé.

Ce n'est pas un monde complètement nouveau. Il ne s'agit pas d'un ensemble de compétences entièrement nouvelles qui sont requises pour les professionnels de la sécurité, mais il y a assurément des différences et des changements. Cela fait partie des progrès de l'industrie, tout comme il y a 20 ou 30 ans, quand nous avons beaucoup travaillé sur l'ordinateur central. Ce n'est pas quelque chose sur quoi les gens se concentrent maintenant. Il y a toujours des systèmes centraux qui fonctionnent, et ils doivent être sécurisés, mais l'on a tendance à se concentrer sur les nouvelles choses, les nouveaux systèmes et les nouvelles applications.

Je crois que la transition vers l'infonuagique comporte une caractéristique semblable. Chaque fois qu'il est question de modernisation et d'utilisation de nouvelles technologies, il y a assurément une certaine courbe d'apprentissage, mais vous pouvez aussi en faire beaucoup plus en travaillant moins, avec moins d'êtres humains réels. Parfois, quand on se sert de l'automatisation, d'aucuns jugent que c'est controversé, parce qu'on se dit, eh bien, qu'arrive-t-il si nous retirons des gens? Allons-nous enlever des emplois à des travailleurs? Dans le domaine de la cybersécurité, tout le monde reconnaît que nous avons une énorme pénurie de main-d'oeuvre qualifiée. Tout type de technologie qui peut accroître l'automatisation et permettre à un travailleur qualifié de trouver une solution, puis de la reproduire à grande échelle, représente un gain énorme, et tout le monde peut donc appuyer une plus grande automatisation dans le domaine de la sécurité.

Je crois que c'est une des principales raisons pour lesquelles les gens estiment que les plateformes infonuagiques sont avantageuses. Oui, il y a une courbe d'apprentissage, mais la capacité d'automatiser des choses est vraiment grandement supérieure à l'utilisation de la technologie traditionnelle. [Français]

M. Matthew Dubé:

J'ai deux dernières questions à poser rapidement.

Voici la première. Vous n'êtes peut-être pas le mieux placé dans votre organisation pour y répondre. Toutefois, advenant le cas où il y aurait une fuite de données, étant donné qu'il y a une responsabilité partagée, qui serait ultimement responsable des données, légalement? En particulier dans le secteur financier, si un client perdait de l'argent, serait-ce la faute de la banque ou de l'entreprise qui permet l'entreposage de données dans le nuage?

Comment voyez-vous cela? [Traduction]

Le président:

Veuillez faire très vite, s'il vous plaît.

M. Mark Ryland:

Oui.

La responsabilité partagée suppose aussi qu'on détermine qui assume cette responsabilité. Si un problème devait apparaître dans un de nos systèmes, nous en serions responsables. Si un client configure ou utilise mal un de nos systèmes, il en est responsable.

Encore une fois, nous faisons beaucoup de choses pour soutenir les clients, et il arrive souvent, dans l'équipe de sécurité où je travaille, que des clients soient en proie à un problème et à un certain type d'incident et viennent nous demander de l'aide. Même si, techniquement, ce n'est pas du tout notre faute, nous répondons tout de même avec grand dynamisme pour les aider à résoudre les problèmes qu'ils ont causés.

Je vais prendre un exemple simple et non controversé. Nous détenons des systèmes où des clients ont accidentellement supprimé des données sans faire les sauvegardes appropriées, et ils viennent nous voir en panique. D'un côté, nous pourrions dire: « Eh bien, le système fonctionnait exactement tel qu'il a été conçu. Vous avez fait une erreur. Nous ne pouvons rien faire. » Pourtant, nous nous donnerons beaucoup de mal pour les aider à trouver des solutions à ces types de problèmes, et il en va de même avec les incidents de sécurité.

(1615)

Le président:

Merci, monsieur Dubé. Je suis désolé.

Monsieur Graham, vous avez sept minutes, s'il vous plaît.

M. David de Burgh Graham:

Merci.

J'aimerais beaucoup poursuivre sur ce sujet, mais j'y reviendrai dans une seconde.

Monsieur Fadden, je ne crois pas que quiconque désapprouvera votre évaluation selon laquelle notre étude concerne vraiment la sécurité nationale, plutôt que la cybersécurité dans le secteur financier comme question primordiale.

Je dirais que beaucoup de questions sont mises aux voix au chapitre de la sécurité nationale, mais seulement une fois que l'incident s'est produit.

M. Richard Fadden:

J'en prends bonne note. Je vous remercie.

M. David de Burgh Graham:

Vous avez dit que la sécurité n'est pas nationale; qu'elle est supernationale. Le Canada a-t-il un réseau de base assez fort pour répondre aux besoins des Canadiens? Avons-nous des liens intercontinentaux suffisants pour répondre aux besoins des Canadiens, et est-ce important?

M. Richard Fadden:

Je crois que c'est très important.

Avons-nous le réseau de base ou les liens intercontinentaux? Il est difficile de répondre à cette question, car je crois qu'elle suppose une réponse en deux parties: une qui concerne les gouvernements de façon générale, et l'autre, le secteur non gouvernemental.

À mon avis, en ce qui concerne les gouvernements, nous avons des alliances très étroites avec le Groupe des cinq — les États-Unis en particulier — et l'échange de renseignements est énorme. Je dirais que c'est assez efficace, nonobstant le dysfonctionnement dont je parlais.

Quand je travaillais encore, l'approche qui avait été adoptée pour régler certains de ces problèmes... C'est un peu comme parler d'un cancer. Ce n'est pas particulièrement utile. J'ai remarqué que certains d'entre vous portent leur épinglette contre le cancer. Le fait de parler de façon générale au sujet du cancer n'est pas particulièrement utile, parce que le remède contre le cancer concerne les quelque 130 types de cancer. Je trouve que le fait de parler de façon générale de la cybernétique n'est souvent pas très utile. Vous devez la décomposer et vous attacher à ses parties constituantes.

Auparavant, nous divisions l'économie canadienne en secteurs stratégiques, comme les télécommunications, les finances, l'énergie nucléaire... Il y en avait 11 ou 12. Bien honnêtement, je crois que les liens qu'ils entretiennent avec leur établissement principal — l'un avec l'autre au Canada et à l'étranger — varient. Par exemple, notre secteur nucléaire est assez bien organisé, et je crois que le point de vue général, en ce qui concerne les secteurs, c'est que le secteur financier ne se porte pas mal. C'est moins le cas de certains des autres secteurs.

Je n'essaie pas d'éluder votre question, mais je crois qu'il est difficile de juste vous répondre par oui ou non. Je crois qu'il n'y a pas une seule entité — gouvernementale ou non gouvernementale — qui est responsable. C'est juste ainsi que les choses ont évolué.

M. David de Burgh Graham:

Je vais demander à M. Ryland de nous fournir plus de précisions.

Vous avez parlé du modèle de surapprovisionnement. Vous parliez des vastes ressources et de la capacité de les répartir entre les systèmes, ce que nous n'aurions pas pu faire auparavant. En guise d'exemple, quelle est la puissance de calcul d'un porte-clé aujourd'hui par rapport à celle d'Apollo?

M. Mark Ryland:

La puissance du porte-clé est probablement plus grande. C'est un microcontrôleur de 32 bits.

M. David de Burgh Graham:

Lorsque survient ce type de changement massif dans la capacité de calcul, quelle incidence a-t-il sur la sécurité? La technologie change-t-elle à un rythme plus rapide que ce que nous pouvons soutenir?

M. Mark Ryland:

Non, je ne le crois pas.

La technologie change rapidement, mais des gens motivent ces changements technologiques. En général, les experts qui conçoivent les systèmes comprennent leur fonctionnement et la façon de les sécuriser. Il peut y avoir un temps mort avant que l'on comprenne de façon élargie ces technologies de pointe, mais souvent, ces experts conçoivent aussi des choses afin de les sécuriser davantage par défaut.

Je crois que l'Internet des objets est un excellent exemple. Nous n'avons pas le temps d'en parler en détail, mais nous avons tous reconnu dans le passé les problèmes avec l'IdO — les appareils domestiques, etc. — qui était déployé de façon très peu sécuritaire. Par le passé, c'était la chose la moins coûteuse et la plus facile à faire. Si vous examinez la technologie récente que nous offrons, ou celle que Microsoft ou d'autres gros fournisseurs vous offrent, par défaut, leurs systèmes sont beaucoup plus sécuritaires. Vous pouvez les mettre à jour par substitution, ce qu'il n'était pas possible de faire auparavant. Ils utilisent des protocoles sécurisés par défaut; ils ne le faisaient pas auparavant. Vous pouvez aller directement au bas de la liste pour savoir comment les intérêts commerciaux de ces gros fournisseurs s'harmonisent avec la conception de systèmes qui sont sécurisés par défaut, tandis que, auparavant, cette fonction revenait à la personne qui concevait le réfrigérateur intelligent, le grille-pain intelligent ou quoi que ce soit d'autre.

Les changements technologiques peuvent en fait relever la barre dans des industries entières au moyen d'investissements et de l'harmonisation des intérêts commerciaux avec une sécurité supérieure.

M. David de Burgh Graham:

Je vais revenir à l'infonuagique. Le public ou même les organisations avec qui vous traitez comprennent-ils réellement ce qu'est le nuage?

M. Mark Ryland:

Il y a souvent beaucoup de confusion. D'abord, il y a cette idée qui consiste à savoir ce qui existe. Les gens croient qu'il doit y avoir quelque chose qui existe. Il y a aussi la confusion qui apparaît entre les cas d'utilisation des clients. Les gens croient que Facebook et Google sont comme un nuage, mais la prestation de services de TI d'un fournisseur de services d'infonuagique est un modèle tout à fait différent. Tout d'abord, nous ne monétisons pas vos données; nous les verrouillons et ne les examinons jamais. Notre perception est totalement différente.

Une chose qu'ils ont généralement en commun, c'est l'accessibilité aux réseaux. On sera en mesure d'y accéder de n'importe où.

Il y a beaucoup de confusion. Souvent, au début de nos exposés, nous afficherons une mappemonde, où figurent de petits points qui montrent où se trouvent nos choses dans cette ville ou cette région, afin que les gens puissent savoir que de l'équipement physique sous-tend toute cette capacité.

(1620)

M. David de Burgh Graham:

Les AWS consistent-ils essentiellement en des serveurs virtuels ou y a-t-il un autre système à part celui-là? Y a-t-il des machines virtuelles?

M. Mark Ryland:

C'est un de nos services principaux. Ça s'appelle EC2, mais nous possédons littéralement une centaine d'autres services. La tendance s'éloigne déjà de l'utilisation de services de machines virtuelles, car c'est là que le client doit assumer la plus grande responsabilité. Les gens préféreraient utiliser les services de niveau supérieur où nous assumons une responsabilité accrue et où ils n'ont qu'à effectuer une configuration très minime.

M. David de Burgh Graham:

Si vous utilisez non pas une machine virtuelle, mais plutôt les services fournis, quel contrôle un client peut-il réellement détenir? On doit trouver un juste milieu. En tant que client, serais-je en mesure de choisir le système d'exploitation de ma machine virtuelle? Je pourrais mettre un système Debian, ou quoi que ce soit d'autre, mais que pourriez-vous mettre sur une machine qui n'est pas virtuelle? Quelles sont les autres options?

M. Mark Ryland:

Encore une fois, cela dépend du cas d'utilisation. Le modèle informatique associé à un service de stockage vous importe peu, puisque vous ne faites que stocker des données. Les bases de données se trouvent au milieu. Il y a une panoplie de choix et d'options, mais les gens ont tendance à préférer ce qu'on appelle les « services virtuels ». Au fil du temps, vous verrez que les gens adoptent de plus en plus ces services virtuels. Je n'ai qu'à téléverser ma fonction de JavaScript sur cette fonction comme service, et le code s'exécute dès que certains événements surviennent. Je n'ai aucune notion du système d'exploitation ni de quoi que ce soit d'autre; c'est géré pour moi.

M. David de Burgh Graham:

Il ne me reste que 40 secondes environ, donc ma dernière question pour vous deux concerne les avantages par rapport aux désavantages en matière de sécurité des logiciels ouverts et des logiciels exclusifs.

M. Mark Ryland:

Il y a quelque chose qui s'appelle l'hypothèse des « yeux multiples » pour les logiciels ouverts. Le fait que les gens peuvent voir le code fait en sorte qu'il est plus probable que l'on découvre des défauts de sécurité et d'autres failles. Je ne sais pas s'il y a des données empiriques vraiment solides qui l'appuient, car beaucoup de défauts de sécurité ont été retrouvés dans le code ouvert, mais le grand avantage, c'est que les gens ont plus de contrôle sur leur propre destin, parce que vous pouvez mener votre propre enquête. Vous pouvez trouver vos solutions. Vous ne dépendez pas d'un fournisseur pour découvrir et régler des problèmes de sécurité. Dans l'ensemble, les logiciels ouverts offrent quelques avantages réels, mais ce n'est pas complètement noir ou blanc.

M. David de Burgh Graham:

Merci.

Le président:

Merci, monsieur Graham.

M. Richard Fadden:

Monsieur le président, me permettez-vous de dire deux choses rapidement?

M. Ryland a parlé de ce qu'il fait et de ce que ses clients font. Si nous imaginons une banque pour une minute, je crois qu'il importe que nous ne soyons pas hypnotisés par les choses vraiment efficaces que M. Ryland fait. Si je prenais un dispositif, que je pourrais probablement obtenir si j'essayais fort, et que je le mettais sous le bureau du vice-président exécutif de la Banque de Montréal, ce serait un dispositif d'enregistrement. Lorsqu'il accéderait aux renseignements et entrerait tous ses mots de passe, je serais en mesure d'y accéder à partir du bureau voisin ou d'une autre ville.

Si l'on parle de l'Internet des objets, je ne crois toujours pas que nous soyons à même de comprendre l'établissement d'une relation avec une ampoule électrique. Je crois que les choses sont meilleures qu'elles l'étaient auparavant, mais encore une fois, si vous contrôlez l'ampoule électrique — et je blague par rapport à cela... mais le dispositif que vous souhaitez utiliser, quel qu'il soit, a la capacité d'obtenir des renseignements.

La sécurité des systèmes dont nous parlons comporte deux aspects réels: la partie dont M. Ryland a parlé et l'environnement que les institutions financières utilisent. Ils sont tout aussi importants l'un que l'autre, parce que si vous réussissez à pénétrer efficacement dans l'institution financière, que ce soit au moyen du dispositif dont j'ai parlé ou d'un autre, vous pouvez non seulement causer des dommages à cette institution financière, mais aussi compliquer énormément la vie de M. Ryland.

M. Ryland ne parle pas seulement de dispositifs de sécurité très complexes. C'est toute une série d'autres choses également. Je dirais que la Banque Royale du Canada fait probablement très bien ces choses. Une modeste caisse populaire du Manitoba ne le fait peut-être pas. Excusez-moi s'il y a des gens ici du Manitoba. C'est le maillon le plus faible dans le problème de la chaîne que nous n'avons pas vraiment réussi à comprendre aussi efficacement que nous le pourrions.

Le président:

Merci.

À la suite de cette étude, je suis devenu paranoïaque et j'évitais de parler devant mon réfrigérateur ou mon thermostat. Maintenant, je dois m'inquiéter de mon porte-clé et de mes ampoules électriques.

Monsieur Motz, vous avez cinq minutes, s'il vous plaît.

M. Jim Eglinski (Yellowhead, PCC):

Vous avez beaucoup de choses à cacher.

M. Glen Motz (Medicine Hat—Cardston—Warner, PCC):

Merci, monsieur le président.

Merci, messieurs, d'être ici.

Monsieur Fadden, lorsque nous parlions plus tôt de lutter contre le terrorisme, vous avez fait allusion à notre modèle canadien actuel comme s'il s'agissait d'un jeu de la taupe, où nous éliminons un problème une fois qu'il est apparu. Y a-t-il un mécanisme qui permet une plus grande proactivité pour prévenir les cyberattaques, mis à part la seule éducation ou formation?

M. Richard Fadden:

Oui, je crois qu'il y en a un.

Si vous regardez ce que vous pouvez faire — et je ne suis pas ingénieur, donc je limite mes propos à un langage que je peux comprendre —, vous pouvez prévoir des mesures purement défensives. Vous concevez quelque chose dans votre système, quel qu'il soit: vous y mettez des pare-feu et quoi que ce soit d'autre.

Puis, vous avez ce que j'appelle la « défense agressive »: vous pouvez savoir lorsque quelqu'un essaie de sortir ou de pénétrer, et vous vous en occupez.

Enfin, vous avez l'attaque purement offensive: vous êtes en mesure d'aller trouver des problèmes ou d'affaiblir les capacités d'autrui.

Je crois que nous sommes assez bons en ce qui concerne la première option. Nous ne sommes pas si mauvais pour ce qui est de la deuxième. Je ne crois pas que nous soyons vraiment excellents par rapport à la troisième. Je ne crois pas que nous, au Canada, devions le faire seuls. Nous pouvons le faire avec un tas d'autres pays. Toutefois, la capacité de ce que j'appellerai les « cyberadversaires » d'utiliser 37 intermédiaires inconnus fait en sorte qu'il est très difficile pour les gens de savoir d'où ils viennent, et que sais-je encore.

Vous avez vraiment besoin d'un genre de système de surveillance à l'échelle mondiale. Je ne crois pas que nous en ayons un. Je crois que les États-Unis, selon ce que je comprends, essaient de le faire, mais il y a une limite à ce que même eux peuvent faire.

Vous avez probablement entendu parler de l'ancien secrétaire américain à la Défense, Donald Rumsfeld. Il a été couvert de ridicule à un certain moment, mais je crois qu'il a dit une chose qui est vraie, et cela s'applique à ce domaine: vous ne savez pas ce que vous ne savez pas.

Je crois que M. Ryland sera d'accord avec moi pour dire...

(1625)

M. Mark Ryland:

Il y a les inconnus connus et les inconnus inconnus.

M. Richard Fadden:

Ce sont ceux-là qui m'inquiètent.

La technologie avance si rapidement que nous trouvons très difficile de garder une longueur d'avance.

C'est une réponse longue à une question courte, mais je ne crois pas que notre situation soit aussi bonne que ce qu'elle pourrait être à l'échelle internationale.

M. Glen Motz:

D'accord, pour amener cette idée un peu plus loin, vous avez dit récemment que nous étions en quelque sorte à l'écart lorsqu'il s'agit de notre capacité de surveiller les terroristes de l'État islamique ou les combattants étrangers qui sont revenus ou qui reviennent vers notre territoire. Diriez-vous que nous sommes en meilleure position lorsqu'il s'agit de cybersécurité?

M. Richard Fadden:

Eh bien, si vous avez affaire au gouvernement du Canada, je dirais probablement oui. Je crois que, sous l'ancien gouvernement et le gouvernement actuel, l'appareil gouvernemental a fait de réels progrès pour renforcer la capacité de défendre les systèmes du gouvernement du Canada. Il a limité l'accès à Internet aux systèmes du gouvernement du Canada, ce qui a beaucoup facilité le contrôle.

Je revenais sans cesse au maillon le plus faible de la chaîne. Tout ce qu'il vous faut, c'est un maillon faible qui vous permet d'accéder à tout. Cela dit, je crois que, en ce qui concerne la cybersécurité, le gouvernement est mieux placé qu'il le serait par rapport au terrorisme. Je ne crois pas que sa position soit très bonne relativement au terrorisme. J'essayais juste de dire qu'il y a une limite quelque part par rapport à ce que vous pouvez faire.

Si vous étendez cela aux gouvernements provinciaux, par exemple, il y a des liens entre les provinces et le gouvernement fédéral. La protection des provinces varie beaucoup, je crois. Puis, vous continuez d'avancer, et il ne faut pas beaucoup d'imagination.

Je vais vous donner un exemple: j'ai lu il y a quelques années qu'un atelier de soudage familial — je crois que c'était en Arizona — possédait son propre petit serveur et que sais-je encore. Un État étranger s'est servi d'un problème qui est survenu pour accéder à un élément du gouvernement américain en Chine. Ce que j'essaie de dire, c'est qu'il n'est pas nécessaire que la faille soit béante, pour reprendre une manifestation physique, pour y pénétrer.

De façon générale, je crois que nous tirons assez bien notre épingle du jeu. Nous ne faisons vraiment pas mauvaise figure, mais si nous croyons avoir bloqué toutes les cyberattaques possibles contre nous ou notre économie, alors je crois que nous sommes beaucoup trop optimistes.

M. Glen Motz:

Nous avons des vases clos dans l'application de la loi lorsqu'il s'agit de mener quelques batailles, parfois, ainsi que d'échanger des renseignements. Vous avez déjà mentionné que le Canada n'a pas de ressources suffisantes appliquées à ce problème.

Voyez-vous le même problème de cloisonnement pour la cybersécurité?

M. Richard Fadden:

Il ne s'agit pas tant de cloisonnement. Certains de mes anciens collègues voudront me donner des coups de pied en dessous de la table parce que je le dis, mais je ne crois pas qu'il y ait un cerveau dirigeant central qui s'occupe des questions de cybersécurité au gouvernement du Canada.

Je crois que le Centre de la sécurité des télécommunications a un rôle réel à jouer. Je crois que la Sécurité publique a un rôle à jouer. L'armée voit les choses de manière légèrement différente. Affaires mondiales Canada a un rôle à jouer pour s'occuper de choses à l'échelle internationale. Innovation, Sciences et Développement économique — je crois que c'est ainsi qu'il s'appelle — joue un rôle dans la réglementation d'Internet et la façon dont nous interagissons avec lui.

Je ne crois pas que la pratique américaine qui consiste à mettre en place un tsar soit nécessairement la solution. Je dirais, à tout le moins en me fondant sur mon ancien titre de conseiller à la sécurité nationale, que nous aurions pu bénéficier d'une plus grande coordination, et peut-être, à un certain moment, d'une plus grande orientation. C'est un domaine très complexe, et les ministères se préoccupent d'abord d'eux-mêmes.

L'appareil gouvernemental est la prérogative du premier ministre. Il va organiser les choses comme il l'entend, mais c'est un domaine dont la manifestation a une portée si mondiale et si complexe, que le simple fait de dire à divers ministères et organismes qu'ils doivent coopérer n'est peut-être pas suffisant, à mon avis.

(1630)

Le président:

Merci, monsieur Motz.

Les cinq dernières minutes vont à M. Picard.

M. Michel Picard (Montarville, Lib.):

Merci.

Monsieur Ryland, si je comprends bien, le nuage, c'est une structure centralisée pour laquelle les mesures de sécurité et les niveaux de sécurité sont si élevés que les clients pour lesquels vous stockez des données se sentent assez rassurés, estimant qu'ils sont protégés à 99 % contre les attaques extérieures.

M. Mark Ryland:

Je crois que c'est un résumé assez juste. Ils ont certainement l'impression d'avoir une longueur d'avance pour ce qui est d'établir des mesures de défense appropriées, car nous nous occupons de beaucoup de choses dont ils devraient autrement s'inquiéter.

M. Michel Picard:

Mais vous venez de dire à M. Graham que vous ne saviez rien au sujet du contenu stocké sur votre serveur, car ce n'est pas votre affaire de savoir ce que les clients mettent sur votre serveur, donc quelle serait la sécurité de votre système du point de vue d'un cheval de Troie?

M. Mark Ryland:

C'est très sécuritaire, car nous concevons et mettons constamment à l'essai nos systèmes en présumant que nous avons des clients hostiles. Nous présumons que nous sommes attaqués par nos clients, nous en tenons compte et nous nous assurons que les caractéristiques d'isolement du système sont très robustes.

M. Michel Picard:

Il y a donc une sécurité de part et d'autre, contre les attaques provenant de l'extérieur ainsi que celles provenant de l'intérieur.

M. Mark Ryland:

Oui.

M. Michel Picard:

Excellent. Merci beaucoup.

Monsieur Fadden, cette étude nous a fait voyager. Nous n'avions aucune idée de l'endroit où nous allions, parce que c'est tellement vaste, gros, large et diversifié. Nous comprenons tout à fait la pertinence de toute mesure à prendre relativement à cette question, particulièrement de mon côté, avec les institutions financières. Selon vos connaissances au sujet du gouvernement et votre expérience, diriez-vous que nous devrions commencer à établir des politiques, et quelles seraient certaines de vos recommandations?

M. Richard Fadden:

Monsieur le président, j'aimerais revenir à un des points soulevés plus tôt. Je crois que, par voie législative, le Parlement doit imposer des obligations aux institutions financières, au même titre que ce qu'il a fait concernant le blanchiment d'argent. Il doit les obliger à faire une diversité de choses. En ce moment, la plupart de ces choses sont faites dans l'intérêt propre des institutions financières. Elles ont tendance à être assez bonnes, mais nous devrions grandement augmenter le nombre de nos signalements d'atteintes et de tentatives d'atteinte. Il y a un règlement, si ma mémoire est bonne, qui en fait une obligation en ce moment. Ce n'est pas aussi complet que ça devrait l'être.

Les Américains et les Britanniques, en particulier, prévoient des sanctions sévères pour les institutions qui ne signalent pas les atteintes. Je ne sais pas comment nous pouvons nous attendre à gérer efficacement les atteintes si nous ne savons pas quand elles se produisent. Je crois que c'est mieux qu'autrefois, mais tout de même... Je dirais donc que l'on doit imposer des obligations claires aux institutions et signaler les atteintes. Encore une fois, certains de mes anciens collègues vont me donner des coups de pied en dessous de la table, mais je ne crois pas que nous transmettions assez de renseignements classifiés au secteur privé. Je crois que nous nous en tirons beaucoup mieux qu'il y a 15 ou 20 ans, mais si vous prenez le représentant du service technologique le plus expérimenté de la Banque Royale — ce qui s'adonne à être ma banque, mais je n'essaie pas de la promouvoir — et que vous lui demandez de collaborer sur des questions de cybersécurité, et que le représentant canadien n'est pas autorisé à communiquer des renseignements classifiés, je ne vois pas comment vous pouvez avoir un dialogue réel. Les États-Unis et le Royaume-Uni autorisent, du point de vue des renseignements classifiés, des gens dans le secteur privé. Je ne veux pas dire que nous ne faisons rien de tout cela, car nous le faisons. Je dis juste que nous ne le faisons pas assez. Je dirais ces trois choses.

M. Michel Picard:

Quand vous avez dit que nous pourrions être tentés de faire abstraction de la Russie et de la Chine ou de les oublier parce que notre intérêt est ailleurs, j'ai été surpris. Je croyais que nous étions tellement concentrés sur la Russie et la Chine que nous avions oublié les menaces réelles provenant d'autres pays, de pays satellites travaillant pour ces États principaux. Lorsque nous avons examiné Cambridge Analytica à notre comité, il a semblé évident, au bout du compte, que la menace n'allait peut-être pas être la Russie, mais avec un si grand nombre de bureaux satellites à l'oeuvre dans d'autres pays, où devrions-nous concentrer nos efforts?

M. Richard Fadden:

Monsieur le président, je crois que c'est la question à 57 000 $.

Des députés: Ha, ha!

M. Richard Fadden:

Une partie du problème tient au fait que vous ne pouvez pas faire abstraction de la Russie et de la Chine. Nous ne pouvons pas fait fi de ces choses que vous venez d'énumérer. Je crois que nous mettons de côté les groupes terroristes internationaux à nos risques et périls. Nous avons tout un tas de groupes de la société civile qui ne prennent pas au sérieux la cybersécurité. Je pourrais probablement en énumérer d'autres, mais la vérité, c'est que nous ne pouvons faire abstraction d'un seul d'entre eux.

C'est pourquoi je crois qu'il doit y avoir une plus grande collaboration, une plus grande communication et plus d'efforts pour nous amener au point suggéré par un des autres députés. Nous voulons essayer de garder une longueur d'avance sur le problème, plus que dans le passé. Je n'ai pas de réponse, sauf pour dire que, même s'il se peut bien que vous ayez raison par rapport à cette période de six mois, peut-être que les choses changeront au cours des prochains six mois. Nous devons être agiles. Encore une fois, après avoir travaillé pour le gouvernement pendant 40 ans, je peux dire que ce n'est pas un de nos points forts. Cela vaut pour les gouvernements de façon générale, mais je crois que nous devons être plus agiles que par le passé pour nous occuper de tous les sujets dont vous parlez.

(1635)

Le président:

Merci, monsieur Picard.

Avant de suspendre, j'aimerais juste remercier nos témoins. Habituellement, les mots « agile » et « gouvernement » ne se retrouvent pas dans la même phrase.

Cela dit, nous allons suspendre les travaux pour une minute ou deux. Merci de vos exposés.

M. Richard Fadden:

Tout le plaisir était pour moi.

M. Mark Ryland:

Merci.

Le président:

Nous suspendons nos travaux.

(1635)

(1635)

Le président:

Nous allons composer avec le vote par appel nominal, à 17 h 30. Nous arrêterons probablement autour de 17 h 20, plutôt que 17 h 30. Je vais étirer la discussion autant que je le peux.

Cela dit, nous sommes de retour, et je demanderai à M. Drennan de présenter son exposé.

Vous avez 10 minutes. Si vous me regardez, je vous donnerai un signal quand vous approcherez des 10 minutes.

Merci, monsieur Drennan, de comparaître.

M. Steve Drennan (directeur, Cybersécurity, Groupe ADGA):

Merci. Je m'appelle Steve Drennan, et je suis heureux d'être ici aujourd'hui pour me représenter et représenter ADGA dans le domaine de la cybersécurité et le secteur financier au Canada. Merci de m'avoir invité à présenter un témoignage au comité de la sécurité publique à la Chambre des communes aujourd'hui, et merci de votre temps.

En guise de contexte, ADGA est une entreprise entièrement canadienne qui fournit des services professionnels stratégiques de consultation et une technologie de pointe dans les services informatiques de défense, de sécurité et d'entreprise depuis plus de 50 ans. Elle offre des solutions ainsi que des services d'ingénierie et de dotation haut de gamme dans des locaux gouvernementaux et commerciaux. ADGA possède donc beaucoup de connaissances et d'expertise dans des domaines comme la cybersécurité. ADGA a aussi des opinions tranchées, tout comme moi, sur les besoins et l'évolution de la sécurité d'un océan à l'autre et sur la connaissance du paysage et des partenaires stratégiques. ADGA possède une solide capacité combinée en matière de sécurité, en plus d'une vaste expérience en conception d'évaluations de cybersécurité et en conformité. Voilà qui vous donne une idée de mes antécédents aujourd'hui.

En examinant les témoignages précédents en ligne, j'ai vu un thème ressortir: que le Comité avait déjà reçu beaucoup de commentaires sur les cyberattaques, les difficultés, les catégories et les défauts dans le domaine. Compte tenu de tout cela, je me suis dit que je miserais aujourd'hui sur les solutions en matière de cybersécurité. Il n'y a pas de solution miracle, mais c'est possible de déployer une forte capacité d'échelle, et beaucoup d'autres éléments peuvent être renforcés de manière à vraiment accroître ce que nous faisons et à stimuler le secteur financier et canadien.

J'aime penser que c'est une infrastructure essentielle. Vous voyez probablement les centrales électriques, les barrages et les systèmes classifiés comme de l'infrastructure essentielle, mais le secteur financier représente certainement de l'infrastructure essentielle. C'est un grand système interdépendant qui englobe beaucoup d'entités différentes, comme la Banque du Canada, Paiements Canada, Interac — qui ont comparu —, le receveur général, les commerçants, les petites et grandes entités commerciales et aussi les clients. Il y a beaucoup de points finaux. Il y a beaucoup de choses qui peuvent mal tourner. Ce sont aussi toutes les données qui sont en transit ou en mémoire. Si vous avez entendu parler d'un réseau, d'un aspect ou d'une solution ou y avez réfléchi, ce n'est pas toute l'histoire.

Un changement se produit dans la cybersécurité. On assiste maintenant à des attaques sociopolitiques et à la manipulation de marques, ainsi qu'à des attaques financières de petit et grand volumes. Étant donné tout ce qui est en jeu et la capacité des cybercriminels de cacher, de dissimuler et de lancer des attaques sans interruption, le Canada doit adopter une approche mise à jour à l'égard de la cyberdéfense dans le secteur financier. Les jours où l'on se cachait derrière des murs, des murs réels ou des pare-feu, sont derrière nous. Tout est très interrelié.

Il importe aussi de comprendre l'adversaire. Je crois qu'on vous a tous bien renseignés à ce sujet, mais les cybercriminels et les États nations possèdent d'énormes ensembles de ressources. Ce serait un très grand pays, sur le plan de son PIB, si tous les cybercriminels combinaient leur richesse. On ne peut souvent pas les atteindre physiquement vu leur lieu de provenance.

Je vais vous donner une statistique, un bref exemple, et je n'entrerai pas trop dans les détails: selon un rapport récent de Mandiant — Mandiant est le cyberarmement de FireEye, un de nos partenaires stratégiques —, la durée médiane mondiale durant laquelle un logiciel malveillant vit dans un réseau jusqu'à ce qu'il soit découvert et arrêté est de 101 jours. Pensez-y une seconde. C'est une durée incroyable pour quelque chose qui exfiltre et saisit des données avant qu'on le découvre. Il faut parfois attendre jusqu'à 2 000 jours avant qu'on le découvre. Bien que le problème cybernétique soit complexe, on peut s'y attaquer de façon simplifiée pour les utilisateurs, les commerçants, les entreprises et les organisations bancaires. C'est ce sur quoi je veux insister aujourd'hui, soit certains des moyens qui nous permettent d'y remédier.

Je vais me concentrer sur les thèmes de solutions cybernétiques qui peuvent permettre de lutter contre des attaques cybernétiques à grande échelle à l'endroit du secteur financier canadien. Le premier thème que j'aimerais parcourir est ce que j'appelle la « convergence des données cybernétiques et la capacité de protection ». Voyez cela comme des solutions de prochaine génération qui pourraient être déployées à l'échelle pour que tout le monde puisse les utiliser et en profiter. Le concept, c'est qu'une organisation pourrait en fait diriger cet effort et mettre cette capacité dans un lieu central pour que cela soit activé par toutes les entités dont je parlais. Tout ce à quoi nous avons réfléchi.

(1640)



Il y a de nouvelles technologies vraiment fantastiques. L'une d'entre elles associe des idées sur l'intelligence artificielle centralisée, l'apprentissage machine, l'analytique avancée, la recherche de menaces — si vous n'avez pas entendu parler de ces concepts, vous pouvez me poser des questions plus tard — et l'orchestration de la sécurité. Vous pouvez en fait créer des mesures de détection et d'intervention cybernétiques semi-automatiques. Il est possible de le faire de façon assez automatisée. Parfois, vous voulez qu'une personne soit en mesure de prendre des décisions sur des aspects essentiels et d'intervenir lorsque vous ressentez une cybermenace, particulièrement si vous fermez une partie d'un réseau.

Les immeubles et les réseaux intelligents peuvent aussi jouer un rôle. Ce n'est pas juste nouveau. Ce qui est nouveau est bon, mais lorsque vous introduisez toutes sortes de détecteurs de l'Internet des objets, vous présentez tout un tas de données, et celles-ci peuvent ensuite être compromises. Si vous avez la capacité d'ordonner l'ensemble des données physiques — des données opérationnelles, qu'on appelle parfois données de technologie opérationnelle, et des données de l'IdO —, nous pouvons trouver des solutions qui nous permettent de mieux détecter quand il y a un problème. Par exemple, en cas de problème environnemental ou d'attaque contre un immeuble ou un centre de données, vous voudriez probablement être mis au courant dans le monde cybernétique et être en mesure d'y réagir. Aujourd'hui, ce n'est pas bien fusionné, mais ça pourrait l'être.

Il y a l'idée d'aller de l'avant au chapitre de la défense cyberactive ou même des cyberattaques, et c'est lié à la législation et aux règles existantes. Lorsque vous savez que vous êtes sondé et attaqué, la capacité d'intervenir et de déterminer où se trouve l'attaque et de l'interrompre, ou du moins de vous protéger, est très importante.

La sécurité du service de noms de domaine, qui est au coeur d'Internet, est assortie de règles appelées DNSSEC et d'autres éléments. C'est très important, parce que si vous ne pouvez pas faire confiance à votre résolution d'adresse et à l'endroit où vous allez rechercher vos données, cela se révèle très important.

Les renseignements sur la cybermenace, que nous avons abordés plus tôt, sont vraiment intéressants, parce qu'on peut procéder de façon verticale. Vous pourriez ne disposer que de données et de renseignements bancaires canadiens, et vous verriez donc les tendances dans les attaques sur le marché canadien, et ce, avant qu'elles frappent la plupart de vos points finaux, puis vous seriez en mesure d'y réagir à l'avance. Vous pourriez prendre des décisions et faire des mises à jour avant que l'attaque ne soit généralisée. Il pourrait y avoir des attaques du jour zéro ou des attaques par des menaces sophistiquées et persistantes, mais la capacité de voir les attaques et d'y réagir avant qu'elles deviennent un problème est capitale.

(1645)

Le président:

Excusez-moi, monsieur Drennan. Le système archaïque que nous possédons ici empiète sur un exposé très impressionnant sur la cybersécurité. On me dit que nous avons... Est-ce que ce n'est pas 15 minutes?

M. David de Burgh Graham:

N'utilisez pas ParlVu.

Le président:

Au début, je croyais qu'il s'agissait d'une vérification du quorum, alors je n'ai rien dit, mais ensuite, le temps file... mais ce n'est pas le cas. Nous allons considérer qu'il s'agit d'une vérification du quorum.

M. David de Burgh Graham:

Vous pourriez gagner 45 secondes si vous regardiez le site noscommunes.ca plutôt que ParlVu. Vous recevez donc le fil direct de cette façon.

Le président:

Je vois ce qu'il regarde.

M. David de Burgh Graham:

Vous ne regardez pas la bonne chose. Allez-y plus rapidement.

Le greffier du comité (M. Naaman Sugrue):

Je vérifie les deux.

Le président:

Bon, nous venons de perdre 45 secondes. Je suis désolé.

Merci, monsieur Drennan, de votre patience et de votre compréhension. Allez-y.

M. Steve Drennan:

Merci.

Pour revenir à mon dernier point sur les capacités, vous pourriez mettre en oeuvre à l'échelle une initiative de gestion de la chaîne d'approvisionnement et du cycle de vie, pour rester dans le même thème. Le Centre canadien pour la cybersécurité du Centre de la sécurité des télécommunications, le CST, exécutait dans le passé un programme appelé la « liste des produits évalués ».

Lorsque nous parlons de Huawei, les gens ont des préoccupations, et nous en discutons; il faut prendre en considération tout ce qui est utilisé: tous les logiciels qui sont programmés — qui sont souvent numérisés et sauvegardés dans le nuage — ainsi que le matériel et les puces. Où les puces sont-elles fabriquées? D'où viennent-elles? Il faudrait un programme intégral qui évalue l'équipement et les logiciels du berceau à la tombe pour que nous puissions être sûrs qu'ils sont sans risque, mais le gouvernement est la bonne organisation pour exécuter ce genre de programme.

Le second thème que j'aimerais aborder concerne les avantages que l'on peut tirer d'un nuage public sécurisé. Je crois que le témoin précédent représentait Amazon Web Services, alors je suis sûr qu'il vous en a parlé de long en large. Je vais dire, à mon tour, que c'est une bonne idée. La meilleure façon de réunir une foule de groupes différents est d'utiliser un nuage public canadien sécurisé. Je crois que c'est une solution que nous devons envisager plus sérieusement. Je sais qu'un certain nombre d'institutions bancaires songent également à utiliser cette technologie.

Lorsque vous avez des réseaux à l'intérieur d'une organisation, c'est un nuage privé ou un nuage hybride, à mesure que vous retirez du contenu du nuage public. Cependant, l'utilisation d'un nuage public sécurisé à grande échelle est capitale, car ce serait une façon géniale de réunir tout le monde et tous les consommateurs afin qu'ils puissent communiquer entre eux. Pourvu que vous preniez des mesures adéquates en matière de sécurité, de politiques et de filtres, tout le monde aura accès au même niveau de sécurité. Certains exploitants se sont dotés de véritables systèmes auxiliaires au Canada, alors s'il y a une panne du système — quelque chose d'inévitable —, la reprise après catastrophe se fait au Canada, ce qui est très important à l'égard de l'hébergement et de la propriété des données.

Dans ce contexte, la flexibilité informatique est capitale, car elle permet de réagir et de lancer de nouvelles applications.

Le président:

Il vous reste une minute.

M. Steve Drennan:

D'accord. Je vais me dépêcher. Comme troisième thème, je vais parler du besoin de veiller à ce que les données de nature délicate soient beaucoup plus fiables. À dire vrai, les banques et les institutions bancaires clés pourraient devenir une ressource unique et fiable en ce qui a trait aux données d'inscription, d'authentification et d'identification.

Le quatrième thème concerne la sensibilisation des utilisateurs. Une chose que nous ne devons pas oublier est que les utilisateurs sont toujours le maillon faible de la chaîne. On pourrait donner à certaines personnes des mandats spécifiques et offrir davantage de formation afin que les gens soient sensibilisés à ce sur quoi ils cliquent sur Internet et afin qu'ils sachent comment se comporter correctement et sainement.

En conclusion, il y a des solutions informatiques de prochaine génération que nous pouvons mettre en oeuvre à grande échelle afin de stabiliser et de renforcer le milieu financier, mais cela suppose d'injecter les fonds nécessaires et de motiver les gens.

(1650)

Le président:

Merci, monsieur Drennan.

Chers collègues, il nous reste environ une demi-heure. Nous allons utiliser à peu près tout le temps qu'il nous reste si je vous laisse sept minutes chacun. Si vous acceptez d'avoir chacun six minutes, nous aurons le temps pour une question supplémentaire. Êtes-vous d'accord?

Des députés: D'accord.

Le président: Parfait, vous aurez six minutes chacun. La parole va à Mme Dabrusin. Allez-y.

Mme Julie Dabrusin (Toronto—Danforth, Lib.):

Merci.

Je voulais d'abord discuter de votre quatrième thème. Un témoin a donné une image qui m'est vraiment restée en tête depuis le début de nos séances. C'était à propos d'un système très sécuritaire qui communiquait de l'information entre deux boîtes en carton. Dans cette métaphore, les deux boîtes en carton représentent les gens qui utilisent le système. Vous n'avez pas eu le temps de terminer ce que vous aviez à dire à propos de la sensibilisation des utilisateurs, mais peut-être pourriez-vous le faire maintenant. Quelles mesures le gouvernement pourrait-il prendre, précisément, afin de s'améliorer de ce côté-là, afin de sensibiliser le public et de renforcer la cybersécurité, l'hygiène informatique ou peu importe comment vous voulez l'appeler.

M. Steve Drennan:

Parfait. Je suis content de pouvoir en parler davantage. Je crois qu'il n'y a pas beaucoup de normes. J'ai consulté les lignes directrices du Conseil du Trésor et les exigences relatives à la Gestion de la sécurité des technologies de l'information, et tout cela n'est pas très clair. On ne définit pas vraiment ce qu'il faut faire pour former les utilisateurs ou pour fournir une orientation suffisante en matière d'informatique. Tout ce qu'on fait est un peu passif. Nous avons des sites Web sur la cybersécurité que les gens peuvent consulter pour en apprendre davantage, mais que faisons-nous pour diffuser activement l'information? Peut-être faudrait-il davantage de campagnes. Peut-être devrait-on organiser des activités d'apprentissage par le jeu, des réunions mensuelles et des activités thématiques pour sensibiliser les gens. Je vais vous donner un exemple de harponnage. A-t-on déjà abordé le sujet ici?

Mme Julie Dabrusin:

Je ne crois pas.

M. Steve Drennan:

Vous a-t-on parlé de hameçonnage?

Mme Julie Dabrusin:

Oui.

M. Steve Drennan:

Le harponnage est une forme de hameçonnage plus ciblé. Disons que vous recevez tous un message qui semble provenir de l'honorable John McKay. En objet, il vous dit que c'est urgent et que vous devez cliquer dessus. Vous allez probablement vouloir cliquer dessus, puisque le message semble venir de John McKay.

Le président:

Ce n'est pas un bon exemple.

Des voix: Ha, ha!

M. Steve Drennan:

Eh bien, c'est tout de même un exemple. Si vous recevez un message qui semble venir d'une personne en position d'autorité et que le style d'écriture et les choses qui y sont mentionnées ressemblent à ce qui se trouve habituellement dans les messages que vous échangez, alors vous êtes plus susceptible de cliquer dessus. Vous ressentez la pression. Même si vous remarquez des problèmes avec la mise en page ou des fautes d'orthographe, vous allez tout de même cliquer dessus. J'imagine qu'il vous arrive souvent de sortir vos appareils et de faire défiler vos messages très rapidement.

Une façon de lutter contre le harponnage serait d'offrir une courte formation et de sensibiliser les gens, mais ce n'est pas quelque chose qu'on peut faire seulement une fois. Il faut des interventions répétées. Une façon de procéder serait d'organiser une campagne anonyme pendant laquelle on analyserait du harponnage. Vous pourriez envoyer à tous les membres d'une organisation ce genre de courriel. Vous êtes des gens éthiques, alors cela ne pose pas de problème. Il y a un lien dans le courriel, et si le destinataire clique dessus, cela ne fera qu'enregistrer anonymement que quelqu'un a cliqué sur le lien. Au bout du compte, vous avez une statistique sur le nombre de personnes qui ont cliqué sur le lien. Les résultats ne seront pas reluisants la première fois, mais après, vous pouvez informer les gens que vous avez « organisé une campagne de harponnage. Venez nous voir demain pendant l'heure du dîner et nous vous expliquerons pourquoi vous n'auriez pas dû cliquer sur le lien », parce que beaucoup de personnes l'ont fait. Puis, lorsque vous recommencez — parce que vous allez devoir organiser ce genre de campagne deux ou trois fois afin de sensibiliser les gens —, les utilisateurs vont être beaucoup plus prudents. Vous n'allez jamais atteindre un taux de réussite de 100 %, mais c'est toujours une bonne chose de faire baisser le nombre de personnes prêtes à cliquer sur un tel lien.

Mme Julie Dabrusin:

Intéressant. Ce serait une initiative que les organisations pourraient mettre en oeuvre. Mais ce que j'aimerais savoir — parce que nous allons devoir formuler des recommandations — c'est ce que nous pouvons faire pour renforcer notre rôle dans tout cela.

J'ai pris en note qu'un témoin a parlé du problème des mots de passe. Il y a déjà des exigences lorsque vous choisissez un mot de passe: il y a un nombre minimal de caractères, de lettres majuscules et de chiffres, etc., qu'il faut entrer. Cependant, il n'est pas interdit d'utiliser le même mot de passe plus d'une fois. Il semble qu'une grande faiblesse des mots de passe tient au fait que les gens utilisent le même encore et encore. C'est très commun. Peut-être pourrait-on afficher un petit message rappelant aux gens qu'il ne faut pas utiliser le même mot de passe. Ce serait simple, parce que même si un mot de passe satisfait à toutes les autres exigences, il ne serait pas sécuritaire. Dans l'industrie de la finance, les gens s'inscrivent aux services bancaires en ligne et à toutes sortes d'autres choses du même genre, alors peut-être que l'on pourrait proposer ce genre de pratiques comme normes.

M. Steve Drennan:

Oui. Vous touchez à deux questions. Il y a d'un côté la sensibilisation à la cybersécurité, et, de l'autre, les mots de passe. Je vais parler des deux.

En ce qui concerne les mots de passe, il devrait effectivement y avoir davantage de normes. Ce serait facile d'établir cela dans les politiques, et vous devriez le faire. Cela pourrait même être visé par une loi. Ce serait plus clair. Si je reviens à la norme de GSTI ou aux exigences connexes, les lignes directrices pour le choix d'un mot de passe ne sont pas toujours claires. Il faudrait une approche plus normative.

Bien sûr, ce que vous dites est un exemple parmi d'autres. Vous voulez probablement éviter les mots de passe répandus que les gens choisissent souvent. Vous devez faire en sorte que les gens savent qu'il ne faut pas choisir des dates qui ont une signification personnelle qu'une personne mal intentionnée connaît déjà.

Il y aurait des façons d'inscrire ce genre d'exigences dans la loi et de les appliquer. Un excellent exemple...

(1655)

Mme Julie Dabrusin:

Puis-je vous interrompre rapidement? Je n'ai plus beaucoup de temps.

M. Steve Drennan:

Oui.

Mme Julie Dabrusin:

Y a-t-il des pays qui ont pris ce genre de mesures? Pouvez-vous nous donner des exemples que nous pourrions examiner?

M. Steve Drennan:

Pas à ma connaissance, mais l'Allemagne et l'Europe ont adopté beaucoup de dispositions législatives sur le sujet. Peut-être devriez-vous consulter le règlement général sur la protection des données et d'autres normes connexes, mais je ne suis pas sûr à 100 %.

Mme Julie Dabrusin:

Vous pouvez continuer. Je voulais seulement poser la question.

M. Steve Drennan:

Je voulais dire également qu'il y a trop de mots de passe, trop de mots de passe différents. Vous ici présents, à combien de systèmes devez-vous vous connecter juste pour le travail?

Une solution serait d'harmoniser les mots de passe, mais d'adopter l'authentification à deux étapes ou l'authentification biométrique. Cela donnerait des mots de passe très forts et harmonisés. Ce serait beaucoup plus efficace, en vérité. Si en plus vous mettez en oeuvre la capacité de contrôler les utilisateurs afin de cerner des comportements problématiques sur le réseau, cela donnerait un modèle beaucoup plus solide que de demander à tout le monde de se rappeler 15 mots de passe qu'ils vont réutiliser constamment.

Le président:

Merci, madame Dabrusin.

Monsieur Motz, vous avez six minutes. Allez-y.

M. Glen Motz:

Merci, monsieur le président, et merci, monsieur Drennan d'être ici.

Comme vous l'avez déjà dit, votre groupe travaille auprès du gouvernement, de l'industrie et des organismes d'application de la loi sur des questions de sécurité, y compris la sécurité nationale. L'année dernière, un expert s'est exprimé dans le cadre de notre étude sur la sécurité et avait dit qu'il n'avait aucune confiance dans l'état de préparation du Canada à l'égard des menaces technologiques émergentes comme l'intelligence artificielle ou l'informatique quantique.

Vous avez travaillé avec le Canada, et d'après votre expérience, comment évalueriez-vous l'état de préparation de notre pays dans ce contexte?

M. Steve Drennan:

Nous ne sommes pas aussi prêts que nous devrions l'être, mais nous avons au moins commencé. Je dirais, malheureusement, que cela varie beaucoup en fonction du groupe concerné. Par exemple, le Centre canadien pour la cybersécurité met l'accent sur l'analyse et la communication des indicateurs de compromission et d'autres choses du genre, alors qu'il pourrait jouer un rôle beaucoup plus important — et ce sera sans doute le cas dans l'avenir — dans la façon dont ses capacités peuvent être utilisées.

Il y a d'autres organisations dont les capacités varient en fonction des technologies qu'elles utilisent. Par exemple, certaines utilisent le pare-feu de Fortinet, alors que d'autres utilisent celui de Check Point ou de Cisco. Le niveau d'efficacité varie selon les pare-feu; certains appartiennent à la prochaine génération, tandis que d'autres, non.

Malheureusement, les interventions que nous pourrions effectuer visent toutes sortes de choses différentes. Vous avez parlé de l'intelligence artificielle, de l'apprentissage machine et de l'informatique quantique. À mesure que les attaques deviennent plus perfectionnées, nous aurons besoin de mesures de protection plus perfectionnées à grande échelle, et c'est justement pourquoi j'ai proposé l'utilisation d'un nuage public. Si le secteur financier était géré à partir d'un espace commun, les capacités avancées seraient à la portée de tous ceux qui sont connectés à la source. Ce serait une façon de faire en sorte que tout le monde soit sur le même pied.

M. Glen Motz:

On dit qu'il manque énormément de spécialistes en cybersécurité au Canada, et dans le reste du monde aussi, j'imagine. Que fait votre groupe afin de former un bassin de personnes compétentes? De quelle façon et à quels égards investissez-vous pour que les gens et certains groupes cibles puissent acquérir des compétences dans ce domaine émergent?

M. Steve Drennan:

Ce dont vous parlez est effectivement au centre des priorités du Groupe ADGA.

Nous sommes très fiers du fait que le Groupe ADGA est dirigé par une directrice générale, tout comme nous sommes fiers de notre histoire au Canada et de notre diversité. Nous avons investi massivement dans des programmes d'alternance travail-études pour encourager les gens ayant des compétences émergentes à s'intéresser à la cybersécurité. Il y a d'autres domaines également, mais il est question de cybersécurité aujourd'hui.

Nous jouons de nombreux rôles... Nous pouvons faire du recrutement dans les établissements d'enseignement universitaires et collégiaux, et nous pouvons aider les étudiants qui sont inscrits à des programmes pertinents. Par exemple, le Collège algonquin offre un excellent programme sur la cybersécurité. Les universités sont également en train d'élaborer certaines choses relatives à la cybersécurité, et tout cela se passe ici à Ottawa. Nous jouons donc un rôle actif et nous travaillons aussi avec d'autres collèges.

Il est important de recruter intentionnellement des personnes ayant divers talents et compétences et d'avoir beaucoup de diversité parmi les personnes dans le groupe. Nous allons faire en sorte qu'il y ait constamment un bassin de personnes compétentes au Canada. C'est notre responsabilité à tous de veiller à ce que les gens soient motivés et enthousiastes par rapport au domaine. S'il y a énormément de travail en informatique cette année, mais aucun l'année suivante, les personnes compétentes vont aller voir ailleurs.

(1700)

M. Glen Motz:

La semaine dernière — je crois —, un représentant de l'Université Ryerson est venu témoigner. Il a été question d'un programme universitaire, mais il se pourrait que ce qu'on veut mettre en place soit lacunaire à certains égards. Je voulais savoir si les établissements d'enseignement consultaient votre groupe ou des groupes comme le vôtre dans l'industrie afin de recevoir de l'aide pour l'élaboration des programmes servant à former des diplômés qui ont les compétences nécessaires pour travailler dans votre entreprise.

M. Steve Drennan:

Oui, c'est effectivement quelque chose que nous faisons. J'ai déjà aidé à formuler une rétroaction concernant le programme du Collège algonquin. Nous avons aussi eu des discussions avec le Collège Willis. Il a un programme de cybersécurité, et j'ai fourni une rétroaction sur son contenu, sur ce qui manque et sur les autorisations de sécurité du gouvernement du Canada qui seront nécessaires pour les étudiants pendant leurs études et qui leur permettront de trouver de bonnes carrières et de rester au Canada. Nous collaborons avec les universités et proposons une orientation pour leurs programmes, par exemple les programmes dispensés à l'ensemble des étudiants en génie. Nous discutons régulièrement avec ces groupes et nous travaillons directement avec eux. Donc, oui, nous pouvons travailler avec les facultés universitaires pour fixer les objectifs.

M. Glen Motz:

Pouvez-vous nous expliquer la différence, s'il y en a une, entre la cybersécurité en matière de défense et la cybersécurité dans le secteur des technologies de l'information? Y a-t-il bien une différence?

M. Steve Drennan:

Quelques différences clés me viennent à l'esprit. On pourrait comparer l'un des deux à un barrage sur le point d'éclater. La cybersécurité en matière de défense comprend une succession d'étapes: d'abord, ce qu'on appelle la « défense », puis la « défense active », et enfin la « cyberattaque ». À ce chapitre, les lois habilitantes sont d'une importance capitale. De nos jours, l'informatique est considérée comme un tout nouveau théâtre d'opérations à part entière, au même titre que les théâtres d'opérations de la Marine ou de la Force aérienne. Voilà pourquoi il faut absolument adopter des dispositions législatives qui donneront à la Défense nationale une plus grande marge de manoeuvre dans le cyberespace. Lorsque les troupes sont déployées dans les théâtres d'opérations, l'informatique peut faire la différence entre la victoire et la défaite. C'est une différence entre les deux. Il y a aussi un peu plus de restrictions imposées à la cybersécurité en matière de défense. Il y a une foule de réseaux classifiés et toutes sortes d'autres questions qu'il faut régler, notamment le financement et les vastes modifications qui sont présentement à l'étude.

Il n'y a pas autant de règles dans le secteur privé. Nous avons parlé plus tôt des renseignements sur les cybermenaces. Nous savons que les grands fournisseurs peuvent recueillir des données du monde entier grâce à leurs noeuds dans divers pays. Il y a moins de restrictions imposées à leurs activités de cette façon. À dire vrai, c'est une très bonne chose, parce que les fournisseurs peuvent ensuite communiquer les données au gouvernement et à l'industrie.

Le président:

Merci, monsieur Motz.

Monsieur Dubé, vous avez six minutes. Allez-y.

M. Matthew Dubé:

Merci beaucoup d'être parmi nous.

J'aimerais revenir sur la question de la main-d'oeuvre que mon collègue a abordée. Je veux l'étudier d'un angle différent. Pouvez-vous me dire si ce qui paralyse l'industrie, c'est le fait que les autorisations de sécurité sont accordées en fonction de l'origine des personnes et d'autres choses du genre? Vous connaissez le processus d'approvisionnement pour les services informatiques, mais pour ce qui est du processus traditionnel d'approvisionnement — je ne sais pas si j'utilise le bon terme —, par exemple lorsqu'il s'agit de construire des avions de combat à réaction, des hélicoptères, du matériel militaire, etc., il y a déjà eu des problèmes parce que des entreprises étaient disqualifiées ou n'obtenaient pas des contrats en fonction de nos alliés ou de notre position dans un contexte particulier. Il y a des entreprises avec des gens très compétents qui auraient peut-être pu fournir du matériel idéal pour les Forces armées canadiennes, disons, mais on les refuse parce que les États-Unis ont des réserves par rapport à un pays ou quelque chose du genre. Ce genre de choses arrive-t-il également dans le secteur informatique, et si oui, quelles mesures pouvons-nous prendre en conséquence?

M. Steve Drennan:

Oui, nous avons observé la même chose. Les clients privés sont beaucoup plus souples. Pourvu que votre entreprise ait une bonne réputation et embauche des personnes qui ont les bonnes compétences, le contrat pour la fourniture de services informatiques est à vous. En ce qui nous concerne, nos activités touchent beaucoup l'évaluation de la sécurité, la conception de systèmes de sécurité et la sécurité infonuagique. Au Canada, le secteur privé est très vaste, et il exprime bien plus clairement ce que vous pouvez faire.

Une difficulté tient au grand nombre de contrôles de sécurité qu'il faut subir. De mon côté, cela a été plutôt simple, mais pour d'autres, par exemple les gens qui ne résident pas au Canada depuis assez longtemps, il est impossible d'obtenir une autorisation de sécurité. En général, la plupart des contrats exigent une autorisation de sécurité « secret ». Pour certains, il faut une autorisation de sécurité « très secret », mais c'est plutôt rare qu'on demande une simple cote de fiabilité. Je crois que pour réussir un contrôle de sécurité, vous avez besoin de 5 à 10 années de résidence au Canada, et souvent de la citoyenneté canadienne. Ce serait peut-être une bonne idée d'élaborer des contrôles de sécurité supplémentaires pour que les gens puissent obtenir l'autorisation de sécurité « secret » et d'envisager d'uniformiser le processus. Je ne vois vraiment pas pourquoi chaque ministère doit avoir son propre processus de contrôle de sécurité et ses propres règles. Si vous êtes digne de confiance, vous devriez l'être partout. C'est la même chose pour une entreprise.

Il y a probablement des modifications que l'on pourrait apporter au fil du temps. Il faudrait probablement envisager d'autres façons d'accorder une autorisation de sécurité aux gens. Il y a un certain exode des cerveaux au Canada, alors nous devrions chercher à recruter des gens talentueux à l'étranger. Nous devons faire en sorte que les gens qui viennent au Canada puissent travailler à des projets importants, tout en assurant au gouvernement et aux institutions bancaires que ces personnes ont réussi les contrôles de sécurité appropriés et qu'il n'y a pas de problème avec leurs antécédents.

(1705)

M. Matthew Dubé:

Je comprends. Toujours dans le même ordre d'idées, cela poserait-il un problème particulier dans le secteur informatique? Disons que vous êtes une entreprise qui construit des hélicoptères, vous vendez vos hélicoptères non pas au ministère des Finances, mais au ministère de la Défense nationale. Cependant, si vous êtes une entreprise de cybersécurité, le ministère des Finances a besoin de vos services tout autant que la Défense nationale. On peut refuser rapidement d'accorder une autorisation de sécurité à certaines personnes dans le cadre du processus traditionnel d'approvisionnement en matière de défense à cause de nos alliances militaires traditionnelles. Donc, cela peut-il poser un problème?... Va t-il y avoir un problème si vous fournissez des services de cybersécurité au ministère des Finances et que votre entreprise embauche des spécialistes qui ne réussiraient peut-être pas le contrôle de sécurité de la Défense nationale? Voyez-vous ce que je veux dire?

Vous avez dit qu'il y avait différents processus de contrôle de sécurité. Est-ce que le Canada s'empêche, donc, de protéger correctement le ministère des Finances parce que nous avons choisi d'appliquer les mêmes règles que pour le ministère de la Défense nationale, à des fins d'harmonisation, même si les alliances qui entrent en ligne de compte ne sont pas les mêmes... Je veux dire, les Américains n'ont pas à nous dire comment nous devons protéger le ministère des Finances, alors que nous sommes alliés en ce qui concerne la défense.

M. Steve Drennan:

Je ne crois pas que le manque d'uniformité soit un problème. Le véritable problème, c'est le temps. De nos jours, on peut perdre un an ou deux à attendre que les personnes clés puissent participer aux projets. Vous avez parfois besoin de connaissances informatiques précises, alors vous prenez un groupe de personnes... Je crois qu'il a déjà été question d'un processus accéléré; un témoin a déjà parlé de la possibilité de démarrer rapidement des carrières en cybersécurité et d'offrir aux gens des postes de débutant, entre autres choses. Si vous pouvez obtenir une autorisation de sécurité pour un groupe clé en choisissant des employés dignes de confiance provenant d'entreprises... parce que parfois, vous avez besoin d'experts en la matière venant des États-Unis, par exemple. Cela veut dire qu'il est essentiel que les autorisations de sécurité soient similaires et que le processus de contrôle soit rapide. Parfois, le problème est que nous perdons énormément de temps avec tous les différents contrôles de sécurité, et cela a des conséquences directes sur la défense nationale et sur d'autres groupes qui doivent attendre un an ou deux avant que leurs équipes puissent vraiment commencer leur travail. Le ministère des Finances n'a pas nécessairement besoin d'effectuer autant de contrôles de sécurité que le ministère de la Défense nationale, qui lui exige de remplir une demande de permis de visite pour chacune de ses installations, ce qui n'est pas le cas des autres organisations. Il faut cependant que les mêmes normes s'appliquent à tout le monde. Si les données dont il est question sont de nature très délicate, il faudrait tout de même que le processus de contrôle de sécurité soit le même pour tout le monde.

M. Matthew Dubé:

Il me reste 20 secondes, et j'aimerais savoir si, selon vous, le Canada s'impose des restrictions excessives en se tournant uniquement vers nos alliés additionnels. Il y a des pays similaires au Canada qui ont peut-être les spécialistes dont nous avons besoin, mais parce qu'ils ne font pas partie du paradigme traditionnel, nous ratons une occasion d'en tirer parti.

M. Steve Drennan:

Oui et non. Je crois qu'il y a beaucoup de spécialistes qui ont des autorisations de sécurité comparables dans le Groupe des cinq, mais, effectivement, nous devrions également prendre d'autres pays en considération. Nous devons penser à un processus de contrôle de sécurité rapide pour les autres pays afin de savoir que nous pouvons avoir confiance en ces gens et en leur information. Nous devons trouver une façon d'accélérer les choses.

Le président:

Merci, monsieur Dubé. J'ai trouvé votre analyse très intéressante. Notre analyste m'a dit à l'oreille: « Un problème majeur est justement de réussir les contrôles de sécurité. »

Monsieur Picard, vous avez six minutes.

M. Michel Picard:

C'est bon de vous revoir. Vous fournissez des services aux institutions financières, n'est-ce pas?

M. Steve Drennan:

Oui.

M. Michel Picard:

Pouvez-vous répéter votre commentaire à propos du fait que les institutions financières pourraient agir à titre d'entreprise de confiance pour conserver les renseignements critiques? Pouvez-vous préciser?

(1710)

M. Steve Drennan:

C'était l'un de mes points clés. Je n'ai pas eu le temps d'entrer dans le détail, alors je vous remercie de m'en donner l'occasion.

Quand nous allons à la banque, disons à la Banque du Canada, nous sommes tous sûrs qu'il s'agit d'une institution qui mérite la confiance, comme le ministère des Finances. On pourrait donc tirer parti de cela. Il a été question des mots de passe; quand vous entrez vos renseignements d'identification en ligne, vous devez avoir confiance dans le processus. Je crois qu'il faudrait tirer parti davantage de cet espace, de ces personnes et de ces organisations. Il serait possible de renforcer les mesures de sécurité relatives aux renseignements d'identification en ligne afin que ces organismes puissent jouer un rôle plus grand. L'uniformité pourrait être renforcée également. C'est une proposition clé: nous pouvons renforcer et uniformiser le processus d'identification afin de pouvoir l'utiliser à des fins de cybersécurité précises.

M. Michel Picard:

Je ne sais pas si les gens seraient à l'aise de savoir qu'une banque conserve leurs renseignements de nature très délicate, au lieu que la banque ait simplement accès à une tierce partie qui, elle, serait responsable de conserver ces renseignements. Le client est en position de vulnérabilité, parce que même si la banque protège correctement ses renseignements, son objectif est non pas de protéger les renseignements, mais de faire de l'argent. Dans cette optique, le client n'est pas sur le même pied que la banque.

M. Steve Drennan:

Principalement, l'institution financière jouerait le rôle d'une « autorité d'enregistrement ». La banque ne conserve pas nécessairement les données.

Je crois qu'on vous a déjà parlé de la tokenisation. Les données ne seront pas nécessairement conservées par la banque; plutôt, la banque agira comme instrument d'habilitation. Elle dira: « Vous êtes bien qui vous dites être. Nous le savons. Vous êtes venu à la banque. Nous vous faisons confiance, et vous avez confiance en nous. Nous avons vérifié vos données d'enregistrement. » Son rôle serait de soutenir le processus d'établissement de l'identité en ligne, et non de conserver les données.

M. Michel Picard:

Plus tôt, vous avez approuvé très vivement les commentaires d'Amazon Web Services à propos d'une structure centralisée, un système du type iCloud, où tout serait au même endroit.

J'ai deux questions: premièrement, êtes-vous en faveur d'un système bancaire ouvert où toutes les données seraient conservées au même endroit?

Deuxièmement, j'ai l'impression que nous faisons tellement confiance à la sécurité des systèmes centralisés que nous ne pensons même pas à évoquer la possibilité d'un délit interne ou d'une erreur humaine. C'est comme si ce genre de choses n'existait plus.

M. Steve Drennan:

Oui, je suis en faveur de l'utilisation d'un nuage public sécurisé. Non seulement cela nous donnerait énormément d'espace pour stocker les données, mais nous aurions aussi la possibilité de détecter correctement les attaques lorsqu'elles se produisent et de protéger les données très efficacement.

À propos de la protection des données, il y a énormément de mécanismes que l'on pourrait utiliser. Par exemple, il y a de bons produits en infonuagique qui vous permettent, à l'échelle locale, de crypter les données lorsque c'est nécessaire. Même en cas de menace interne et d'atteinte à la sécurité, les données volées seraient cryptées. Donc, les données sont protégées, parce que vous avez pris des mesures adéquates lorsque vous les avez stockées.

Trop souvent, les systèmes de sécurité ne sont pas conçus adéquatement, et les données ne sont pas protégées correctement lorsqu'il y a une atteinte à la sécurité. Nous ne sommes pas en mesure de détecter les menaces assez rapidement, et nous ne savons pas comment réagir. Pour répondre à votre question, s'il y a une menace interne, mais que nous nous sommes préparés en conséquence, les données seront protégées, nous pourrons détecter la menace rapidement et réagir.

Un exemple bien connu que je peux donner est le cas de M. Snowden. Il avait un accès très grand au système, et il a été en mesure d'accroître davantage son accès au système. Ce n'est pas le genre de modèle que vous voulez dans ce genre de contexte. Il y a de meilleurs modèles qui pourraient être mis en oeuvre.

M. Michel Picard:

Je cède le reste de mon temps à M. Graham.

Le président:

Monsieur Graham.

M. David de Burgh Graham:

Merci.

Monsieur Drennan, pendant les trois minutes où M. Picard a posé des questions, je me suis connecté à un serveur et, grâce à un simple protocole SMTP, je me suis envoyé un courriel de la part de dieu@paradis.org. Cela me rappelle beaucoup ce dont nous avons discuté à propos du harponnage. Je me demande pourquoi nous utilisons encore des protocoles qui peuvent être aussi facilement piratés.

Le protocole SMTP ne demande absolument aucune authentification. Je peux utiliser n'importe quelle adresse courriel usurpée. Le protocole SSL du SMTP n'est pas universel; il n'empêche pas ce genre d'usurpation de courriel. Serait-il souhaitable, donc, d'imposer une norme PGP pour la signature des courriels? Y a-t-il des mesures que l'on pourrait prendre relativement au traitement cryptographique des signatures? Est-ce une approche que l'on devrait examiner?

Même si cela existe depuis 25 ans, pour une raison ou pour une autre, nous n'y avons pas adhéré massivement.

M. Steve Drennan:

D'après mon expérience, c'est probablement parce que le système d'infrastructure à clés publiques est parfois trop complexe pour ce qui est de la délivrance des certificats. Nous ne pouvons pas être sûrs que les certificats délivrés sont corrects ou exclusifs.

La norme S/MIME a déjà été excellente, mais aujourd'hui, il y a de meilleures façons qui peuvent être mises en place pour vérifier les renseignements d'identification et pour délivrer des certificats numériques ou pour vérifier que l'expéditeur du message est bien qui il prétend être ou pour être sûr que le message n'a pas été modifié.

Ces technologies existent bel et bien. Ce serait une bonne idée d'en choisir une comme norme. Je ne sais pas si nous avons besoin de tous les éléments de l'infrastructure à clés publiques. Nous devons bien réfléchir au modèle de certificat numérique que nous voulons utiliser, parce qu'il y a énormément d'acteurs qui font partie du secteur financier.

(1715)

M. David de Burgh Graham:

Quel système d'authentification recommanderiez-vous? Les systèmes de messagerie électronique sont probablement les plus vulnérables, compte tenu du hameçonnage et de tout le reste. Que devrions-nous utiliser?

Vous-même, qu'utilisez-vous?

M. Steve Drennan:

À dire vrai, nous utilisons de moins en moins les courriels, pour des raisons de productivité. Les courriels ne sont plus nécessairement utilisés pour les bonnes raisons. Il y a d'autres outils, comme Slack, qui sont plus efficaces pour mener des discussions.

Plus tôt, nous avons parlé de la sensibilisation des utilisateurs. Les gens doivent savoir comment utiliser les courriels et sur quoi cliquer. Simplement parce que tout est crypté, cela ne veut pas dire qu'une personne mal intentionnée ne peut pas vous envoyer un courriel crypté, alors on retourne à la case départ.

Il y a d'autres possibilités. Une option serait de créer un portail unique duquel on pourrait télécharger des courriels sécurisés. Le cryptage qui limite la durée de vie: lorsque vous envoyez un message crypté, le message disparaît au bout d'un certain temps s'il n'est pas ouvert.

Il y a des options intéressantes.

M. David de Burgh Graham:

Comme une signature numérique utilisant une clé.

Le président:

Merci, monsieur Graham.

Il nous reste quatre minutes. Y a-t-il des questions de la part du Parti conservateur?

Monsieur Eglinski, prenez-vous les quatre minutes?

M. Jim Eglinski:

Vous parliez de sécurité avec M. Dubé. Votre entreprise travaille avec de nombreux organismes gouvernementaux, et j'aimerais savoir quelle autorisation de sécurité est exigée pour vos employés? Doivent-ils avoir une autorisation de sécurité secret » ou « très secret »?

M. Steve Drennan:

Les membres de notre équipe de cybersécurité ont dû obtenir énormément d'autorisations de sécurité. Nous pouvons détenir et traiter des renseignements classés très secret. Nous travaillons dans des environnements classifiés. Nous avons tous une autorisation de sécurité très secret ainsi que les autorisations de sécurité supplémentaires dont nous venons de parler. C'est nécessaire, si nous voulons décrocher les contrats dont nous avons parlé plus tôt. Nous savons que c'est obligatoire. Cela a aussi une incidence sur les personnes que nous pouvons embaucher, car même si nous cherchons à avoir le maximum de diversité au sein de notre personnel, cela entraîne parfois des difficultés. Une chose est certaine, cependant, c'est que nous avons tous une autorisation de sécurité très secret. Il y a également...

M. Jim Eglinski:

Vous ne semblez pas être tout à fait d'accord. Je crois qu'il y a beaucoup de... J'ai déjà mené des enquêtes classées très secret pour des contrôles de sécurité, et il y a énormément de choses à vérifier. Croyez-vous que nous devrions abaisser notre niveau d'exigence ou nos normes?

M. Steve Drennan:

Non, mais il faudrait que ce soit plus uniforme.

M. Jim Eglinski:

Plus uniforme?

M. Steve Drennan:

Il faudrait que tous les ministères fédéraux utilisent le même processus de contrôle de sécurité. Si une entité ou une personne est autorisée à accéder à une certaine classe d'information, jusqu'à une certaine limite, l'autorisation devrait être valide à grande échelle. Ce n'est pas nécessaire d'avoir des autorisations de sécurité différentes pour chaque organisme au Canada.

M. Jim Eglinski:

Je crois qu'il n'y a aucune norme qui impose des critères nationaux à respecter pour pouvoir accéder à une certaine classe d'information.

M. Steve Drennan:

Vous avez raison.

M. Jim Eglinski:

D'accord.

Rapidement, j'ai une dernière question. Il doit me rester environ deux minutes, n'est-ce pas?

Le président:

Oui.

M. Jim Eglinski:

Vous avez brièvement parlé d'intelligence artificielle. Je me suis penché sur le sujet pendant les études de deux ou trois autres comités. Croyez-vous que l'intelligence artificielle, à un moment donné, arrivera à obtenir de meilleurs résultats en matière de cybersécurité que nous en sommes capables présentement?

M. Steve Drennan:

Je crois que ce qui est intéressant avec l'intelligence artificielle — si nous avons la chance, les choses ne finiront pas comme dans les films, les navets que nous connaissons —, c'est qu'elle peut fournir du soutien aux spécialistes. C'est de cette façon qu'elle est utilisée présentement. Disons que vous avez un centre des opérations de sécurité, et que vous avez énormément de difficulté à recruter et à former des spécialistes, puis à les maintenir en poste. Même si vous en avez très peu, le travail peut être beaucoup plus facile si on réduit les ensembles de données à traiter et qu'on prend des décisions à l'avance. Il suffit donc d'entrer ce genre de données, et ce sera beaucoup plus facile pour vous ensuite de prendre des décisions clés. L'intelligence artificielle doit être considérée comme un assistant numérique qui est là pour vous aider à traiter les téraoctets de données et ainsi de rendre votre travail plus facile et plus ciblé. Je crois que c'est la meilleure façon de voir l'apprentissage machine en informatique.

M. Jim Eglinski:

Vous ne pouvez quand même pas trop lui en donner.

M. Steve Drennan:

Vous pouvez tout lui donner; évitez simplement de lui laisser toutes les décisions.

Le président:

Au nom du Comité, je veux remercier M. Drennan. Nous avons eu une séance tout à fait fascinante. Nous avons aussi discuté de choses que M. Graham est probablement le seul à avoir compris.

M. Steve Drennan:

Merci.

Le président:

Merci encore.

Chers collègues, les travaux du Sous-comité débuteront dans deux minutes.

La séance est levée.

Hansard Hansard

committee hansard secu 38137 words - whole entry and permanent link. Posted at 22:44 on April 10, 2019

2019-04-08 SECU 156

Standing Committee on Public Safety and National Security

(1640)

[English]

The Chair (Hon. John McKay (Scarborough—Guildwood, Lib.)):

Ladies and gentlemen, I see we have quorum.

I apologize to the witnesses for all the difficulties with votes, but it is what it is and we're in the season that we are in.

Before I start, there has been some conversation about Mr. Dubé's motion. I'm going to allocate the princely amount of one minute to see whether there is an appetite to deal with Mr. Dubé's motion.

The first question I have is.... I shouldn't even ask this. I should say we're going to have this in open meeting as opposed to in camera; otherwise, we'll just waste more time.

Mr. Dubé, do you want to move your motion? We'll see whether we can get this done in one minute.

Mr. Matthew Dubé (Beloeil—Chambly, NDP):

Hopefully I will need less than that. I've already presented it and explained why. It's on the record, so I'm happy to move to the vote.

The Chair:

Ms. Sahota.

Ms. Ruby Sahota (Brampton North, Lib.):

I would just like to state that I'm supportive of the motion; however, I do feel that the time frame is very loose. It allows up until June 21. I do think there is some urgency to the matter, because there are a lot of people who feel uncomfortable about the way the report was put out initially in December. I would urge that we perhaps state that it should be done at the minister's earliest convenience.

That's just a friendly amendment, so that we don't give such a lengthy deadline but do it as soon as possible.

The Chair:

Mr. Dubé.

Mr. Matthew Dubé:

Thank you. I appreciate that. Understanding that we have a busy committee, I would perhaps just amend it to say “at the minister's earliest convenience but no later than” the date that's in the motion, so we don't say that the earliest convenience is when some of us come back.

Ms. Ruby Sahota:

Yes, I think that's a good amendment.

The Chair:

Okay, do we have consensus on that?

Properly, I should have Ms. Sahota move an amendment and then we will vote on the amendment. Do you want to move your amendment?

Ms. Ruby Sahota:

Yes, my amendment is, after the words “the Minister of Public Safety and Emergency Preparedness to appear”, to say, “at his earliest convenience but no later than Friday, June 21, 2019.”

The rest of it is the same.

The Chair:

Okay. The vote is on the amendment.

(Amendment agreed to [See Minutes of Proceedings])

(Motion as amended agreed to [See Minutes of Proceedings])

The Chair: Excellent, thank you very much.

Now we'll turn to our witnesses. Notice the extraordinary level of co-operation among colleagues on the public safety committee, unfortunately not replicated anywhere else.

Our first witness is Ms. Terri O'Brien from the Interac Corporation, and the second witnesses are Mr. Ferrabee and Mr. Kyle from Payments Canada. I thank you for your patience.

I'm going to ask you for your opening statements.

I'll point out to colleagues that we are supposed to be voting again at 5:30. I assume that's when the bells go.

The Clerk of the Committee (Mr. Naaman Sugrue):

There may be bells at 5:00.

The Chair:

Okay, so let's at least get the statements done. We started the meeting. Thank goodness for that.

Do I have unanimous consent to proceed until we can no longer proceed?

Some hon. members: Agreed.

The Chair:

Okay, that is probably 20 minutes.

Please proceed. Again, I apologize for these procedures, but they are what they are.

Ms. O'Brien, go ahead.

Ms. Terri O'Brien (Chief Risk Officer, Interac Corp.):

Good afternoon, everyone. Thank you very much for the opportunity to address the committee.

My name is Terri O'Brien. I lead the risk management practice at Interac Corp.

For my opening remarks today, my goal is to provide insights and recommendations on cybersecurity from our unique position in the financial services landscape. Many of you know Interac already. Like millions of Canadians each day, you use our products and services to withdraw money and pay and transfer funds with security and convenience.

What you may not know is that Interac is 100% Canadian-owned and operated. What sets us apart is not only our Canadian roots, but the trust we have established with Canadians over our 35-year history. Last year, Canadians made 6.6 billion transactions, moving over $415 billion in value across our suite of products, including Interac debit and Interac e-Transfer.

Interac has been in the business of facilitating real-time payments between Canadians for decades, including our Interac e-Transfer product, which has been facilitating real-time payments since 2002. Of course, this includes real-time 24-7 fraud detection. With real-time payments comes the need for real-time security, prevention and detection capabilities, which we've built up over our history. Our real-time cyber and fraud capabilities help Canadians digitally transact with confidence across a variety of devices and platforms, including mobile devices. At the same time, we adhere to our core values that have been central to our history, including corporate responsibility, safety and soundness.

Security is a core element of everything we do, whether it's combatting fraud across our network or keeping the personal financial information of Canadians private. Therefore, cybersecurity is something we think about a lot.

As our economy and society have become increasingly digital, it is no secret that the pace of cybercrime has accelerated. As I'm sure you've heard in some testimony, and as we've read and seen in reports, around the world it has never been easier for people to access cybercrime goods and services. Fraud-as-a-service and cybercrime-as-a-service websites currently sell everything from credit card numbers to social media account credentials and denial-of-service attacks. All of that is available with a single click and for several hundred dollars.

In that regard, Interac was very pleased to see the government establish the Canadian Centre for Cyber Security last year and make new investments in cybersecurity in the most recent budget. We also support the creation of the centralized cybercrime unit under the RCMP.

Interac is in a unique position at the centre of the Canadian financial services landscape. We operate as a central payments and digital information exchange to facilitate the interoperability of payments and related information among our Canadian banks, credit unions, caisses populaires, payment processors, businesses and Canadian consumers. Because of this, we are in a unique position where we can detect cybercrime, including fraud and money laundering, as it moves throughout our system and between those institutions.

This is a unique role that Interac plays at the centre of the ecosystem. Whereas each financial institution can detect fraud and money laundering only within its own customer accounts, Interac can see the criminal activity across institutions.

In order to pick up on these patterns of criminal activity, we employ sophisticated tools that utilize machine learning and predictive behavioural modelling. When our systems detect high-risk or suspected fraudulent activity, actions are immediately taken, including suspending or blocking the transactions.

We also communicate directly with institutions across the financial system. We collaborate and share information to strengthen our collective resilience and security in the Canadian economy. A practical example of this for the committee is when we detect that financial criminals are utilizing many different accounts to target a specific bank, union or caisse populaire. In these circumstances, we alert the institution that is being targeted, while simultaneously working to block the activity and secure vulnerabilities at the various sending institutions.

Because cybercrime doesn't have business hours, neither do we. Our detection and prevention systems and staff operate 24-7, enabling us to counter cybercrime in near-real time.

We are constantly evolving our approach in order to keep Canadians safe when transacting over our networks. In 2018, our fraud risk mitigation practices prevented over $100 million in fraud losses, and we had over 4,300 malicious websites taken down.

We also work together today with the RCMP and local law enforcement to support and assist in their investigations of fraud and related criminal activity. Protecting Canadians' financial information amidst the changing payments landscape is a top priority for Interac.

(1645)



Since the advent of mobile wallets, payments are now made through smart phones and other devices, as mobile payments are growing in popularity among Canadian consumers and businesses every day.

In order to secure the payments made via the Interac debit network on mobile devices, Interac became one of the first domestic debit networks globally to establish its own token service provider, or TSP. Our TSP ensures that personal identifiable information, including account numbers, is replaced with randomized information, or tokens, that is of no use to hackers or criminal activity.

Expanding the use of tokenization is one way we can enhance cybersecurity for the benefit of Canadians. Collaboration and coordination among private and public entities are also pivotal to addressing the volume of cyber-threats that exist today.

We see three specific areas of focus here that can greatly benefit Canadians. The first is information sharing with the new cybercrime unit in the RCMP. The second is a more targeted approach to detecting cybercriminals. The third is ongoing public education and awareness.

Interac believes there is an opportunity to reduce impediments that currently exist in order to enable more open sharing of known cyber-threats between Interac and the government through secure and trusted channels. This should include looking at legislative changes, as well as safe harbour provisions, to open up communication channels and address concerns around enforcement actions.

Second, when it comes to detecting cyber-threats, we see benefits in utilizing a more targeted approach as a key point of emphasis. The way threats are detected today is akin to a scattershot, in that all transactions must be scanned and analyzed with equal importance. A more efficient model would be one that focuses on lists of known cybercriminals and cyber-threats and those vectors and behaviours, utilizing information from government and law enforcement, as well as financial institutions and Interac.

Interac could play a pivotal role here, given our ability to detect criminal activity across our network and our connection to almost 300 financial institutions. Interac, at the centre of the ecosystem today, could represent a secure information exchange with the RCMP in the future, to allow both organizations to take a targeted approach in detecting and preventing crime, rather than scanning all transactions. We believe government can and should play a leadership role here by establishing and maintaining clear processes and lines of accountability.

Finally, at Interac we recognize there is a need to provide ongoing public information and education about cyber-threats and security best practices to support an increased knowledge of the current risks and how to keep Canadians safe. We regularly conduct proactive campaigns designed to educate and inform. We also participate in forums such as the Competition Bureau's public education working group to share our insights and results. We also collaborate actively with the RCMP and local law enforcement.

We look forward to further collaboration with the government on information sharing, targeted detection, and public education in the future.

To conclude, I would like to emphasize Interac's commitment to cybersecurity and our willingness to work together with the government, as we do today. We support recent initiatives and investments made by the federal government, and we believe that continued education and discussions like these can advance industry-wide solutions to help keep Canadians safe from cybercrime.

Thanks very much.

(1650)

The Chair:

Thank you, Ms. O'Brien.

Mr. Ferrabee, go ahead. [Translation]

Mr. Justin Ferrabee (Chief Operating Officer, Payments Canada):

Good afternoon.

My name is Justin Ferrabee. I'm the Chief Operating Officer of Payments Canada.[English]

Thank you for inviting Payments Canada to contribute to the study.

Let me begin by reassuring the committee that security is Payments Canada's highest priority in all we do. It commands focus, resources and investment, above all other needs. This means that we design, review, modify, update and operate our systems as we monitor risks. We see security as a prerequisite for innovation in the payment space. We remain in a constant state of vigilance and respond decisively, as required, to ensure that we manage risk appropriately and that we remain secure.

Over the next few minutes, I'll share who we are and what we do, our collaborative approach to cybersecurity, and our recommendations for reducing the risk in the financial sector.

Payments Canada operates Canada's national clearing and settlement systems. While Payments Canada is a little-known entity to most Canadians, it plays an essential role in the economy and in the day-to-day operations of financial institutions and businesses across the country. Payments Canada's systems ensure that payments between financial institutions—the aggregation of all payments made in the economy—are safely and securely completed each and every day. The value transferred is over $50 trillion annually.

We are guided by our mandate and the public policy objectives of safety, security and efficiency of the Canadian clearing and settlement system. In consultation with members and stakeholders, we also maintain a framework of rules and standards that mitigate risk and facilitate the exchange of payments and the deployment of emerging payment products and services.

Given that cyber-threats evolve rapidly, Payments Canada is continually raising its defences. We have a cybersecurity action plan based on secure design principles and industry standards. The plan ensures that we are constantly watching for and closing gaps to maintain the resiliency of our operations.

Payments Canada operates within a network of financial institutions, regulators and other financial market infrastructures. We are held to the highest global security standards, including “Guidance on Cyber Resilience for Financial Market Infrastructures” from the Bank for International Settlements, the SWIFT customer security program, and the NIST cybersecurity framework.

We also work closely with the Bank of Canada to ensure that we meet the requirements for mitigating cyber-threats through internal and external assessments. Outside of these requirements, we establish rules and standards around the security of payment items and the connectivity of systems, to which our members must adhere.

From a wider, collaborative industry perspective, we work very closely with partners in the financial sector through cybersecurity industry groups such as the Canadian Financial Services Cybersecurity Governance Council, the Canadian Bankers Association cybersecurity specialist group, and the Financial Services Information Sharing and Analysis Center.

We also participate in and lead industry exercises for business continuity and cyber-resilience and share intelligence with partner agencies and organizations in the cyber community. These connections include the Canadian Centre for Cyber Security, Public Safety's critical infrastructure protection branch, RCMP's national critical infrastructure team, and the Canadian Cyber Threat Exchange. Further to these collaborations, we are actively engaged in the international cyber-risk community with our partners at the Bank of Canada.

Through all of these activities, we continually rank and benchmark ourselves internationally, and we are consistently in the top 1% of the global industry for safety and security.

Working closely with our financial institution members, the Bank of Canada and the Department of Finance, we are currently undertaking a major program to modernize Canada's payment systems to meet the growing demand for secure and innovative new payments products. Modernization will result in new payment infrastructure designed to strengthen the payment system.

Through our diligence and movement toward modern payment systems, we have identified gaps that exist outside our realm, which this study may be able to influence. There is a clear need for public-private coordination in responding to attacks against critical infrastructure and, with that, a single, clear point of contact in the public sector. These improvements will help us better share information, in a protected fashion, and help us manage and prevent future attacks. The release of the national cybersecurity strategy in 2018 and the recent developments with the Canadian Centre for Cyber Security will help in this area.

At the same time, the recovery of systemic cyber systems must be prioritized in the event of a widespread disruption. Policy that extends cybersecurity requirements to the supply chain of critical systems would help to improve the resilience of dependent components to the national infrastructure and the financial system as a whole.

(1655)



Investments in policies and cybersecurity can also support digital supply chain risk. The modern supply chain often includes hundreds, or thousands, of software components that are embedded in critical systems sourced from companies and communities all around the world. It is a significant task to track and inventory all the ingredients of a system and make sure that those ingredients remain safe.

In the food safety world, we have labelling standards that inform customers about product ingredients and nutritional facts, but in the software world, we have no labelling standard to help consumers understand what components and what risks might exist within the software. Policy to support digital supply chain risk is necessary, and system labelling of software components should be studied for its benefits to the economy.

We also feel strongly that more could be done to address the cybersecurity skills shortage. There is already a gap in capable people and, given the increasing severity of threats, there is a need for policies and strategies to develop, attract and retain skilled workers. This would ensure that Canadian companies are able to safely grow and innovate as they expand their use of digital technologies.

Finally, we see a need to equip Canadians with the knowledge and awareness of good cyber hygiene to protect their personal and financial information online. For instance, right now millions of Canadians are seeking technologies and financial applications that mimic the services of open banking. In seeking such services, they aggregate account information across multiple platforms and thereby expose themselves to cyber-threats.

Payments Canada was pleased to see that several of these issues, and commitments to address them, were included in the 2019 federal budget, but we know that cyber-threats are not going away. They are evolving just as quickly, if not faster, than digitization and modernization across all industries. We must work together to build resilience in the face of these threats in a way that ensures that we do not hinder the pace of innovation.

While every organization has the responsibility to protect itself from cyber-attacks, doing so as a collective or a network is much more effective. Cybersecurity is an issue that affects the Canadian economy and our national security as a whole. Payments Canada is eager to contribute and support a network defence strategy.

Thank you.

(1700)

The Chair:

Thank you.

Colleagues, we have 12 minutes left. If we ran this down to five minutes before the vote, that would give you four minutes, then four minutes, and that would be about it.

I would seek your input as to whether we could come back and spend an hour with these folks, if they are available. Can we do that?

Mr. Glen Motz (Medicine Hat—Cardston—Warner, CPC):

I won't be here.

The Chair:

Okay, there are no votes, no motions. That's agreed. We'll come back for an hour. I just feel we're abusing these folks' time.

We'll be back here probably about 5:30.

With that, Ms. Sahota has four minutes, and then Monsieur Paul-Hus has four minutes.

Ms. Ruby Sahota:

Thank you.

Ms. O'Brien, you spoke about malicious websites. How often are you seeing these malicious websites go up? How much of your capacity gets used up by taking down these malicious sites? Could you explain a little the awareness you are trying to raise for consumers so they're not duped?

Ms. Terri O'Brien:

Last year, Interac experienced 4,300 of these phishing websites. We worked with a leader in the industry, a partner of ours, to take them down. It's a similar partner that works with many financial institutions. The larger financial institutions experience many more phishing incidents or fraudulent websites that are put up.

The websites are intended to collect personal, identifiable information—login credentials or other such means of identity—of Canadian consumers, so they can take over their bank accounts or other payment processing to extrapolate the money from their accounts. That's the intention of the websites. We are finding that they've been getting more sophisticated in recent years. I think folks would agree that they're getting better at stealing logos and branding and making it look like a legitimate website.

We do participate heavily in public education in this regard. It's very important to know that your financial institution isn't going to send you links and emails to click through to these malicious websites. There are ways that we educate the public to double-check that they are, in fact, on their own financial institution's website or Interac's website, and not on a spoofed website.

Ms. Ruby Sahota:

You also spoke a bit about mobile wallets, and Interac has been operating on the tap system for a while now. Has this led to an increase in fraudulent incidences? Are we forgoing safety for the sake of convenience? Could you shed some light on that?

Ms. Terri O'Brien:

I would say no, actually. The mobile technology is more secure. It is akin to the tap technology, so it uses the EMV card technology. It's quite a layered security. I also mentioned tokenization. What's actually stored on the phones is a token, not the actual card number. It leverages the tap technology, which is quite secure. We have almost eliminated fraud in the Interac debit business. A lot of that has to do with chip and PIN. The residual, which is really at one basis point—it's as low as it could possibly be—stems from exploits in the U.S., where there are still terminals with a magnetic stripe, but effectively, in Canada, that technology is extremely secure.

Ms. Ruby Sahota:

We heard a little bit about the token service provider from witnesses from Mastercard when they were here. I'd never heard about it before. It seems that—and correct me if I'm wrong in my understanding—this system isn't used consistently. Why is Interac not switching over to the token system completely so that personal information is eliminated?

(1705)

Ms. Terri O'Brien:

Interac has developed and deployed our own token service provider. It's correct in that we are not using any other provider, whether it's Mastercard or otherwise. We have our own token service provider. We deploy our own technology because it is so secure and because we can manage and maintain the security around it.

The Chair:

Thank you, Ms. Sahota.[Translation]

Mr. Paul-Hus, you have the floor for four minutes.

Mr. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, CPC):

Thank you, Mr. Chair.

I want to thank everyone for being here. We're sorry about the disruption resulting from the votes in the House.

In the case of Interac, if I make a transfer, the recipient will have 30 days to accept the funds. Where is the money from my bank account stored on a virtual level? How does this work? [English]

Ms. Terri O'Brien:

That's a very good question. I think the question is directed toward our Interac e-Transfer product, which has several different options. Auto-deposit is an immediate, real-time transaction. The one that you described is called our question and answer type of transaction. That's where the recipient would like a security question answered to deposit the e-transfer transaction. In that case, since a person may not be on their email on a daily basis, they are given 30 days to accept the transfer. What happens, however, for the person sending the transaction is that the money is taken from their account. It's a good-funds model, so the funds are available. It's held by the sending financial institution in a suspense account, and then, once the security question is answered, the funds are released. At all times they are secure. [Translation]

Mr. Pierre Paul-Hus:

I gather that, if I do business with the Royal Bank, the money doesn't go to Interac. The money will remain in a Royal Bank account.

There's often a concern. Once the transfer is made, we have no more contact. We wait for the recipient to accept the funds. However, if the person doesn't receive the money, we worry about where the money has ended up. So the issuing bank has it.

I'm trying to understand the technical system. From a virtual standpoint, could another person intercept the transfer? Could a hacker intercept a transfer? What could be done in that type of situation? [English]

Ms. Terri O'Brien:

The answer is no. It's a highly secure, closed-loop, private network. While Interac operates the infrastructure, Interac also has the operating regulations and governance through which the transactions transfer from each financial institution. What we are facilitating is the financial institution that wants to employ the question and answer or Q and A type service. At no time, though, could the transaction be intercepted in transit. It is securely held at one financial institution and then, once released, the payment across the Interac infrastructure is securely facilitated into the receiving institution. [Translation]

Mr. Pierre Paul-Hus:

You're saying that the transfer process is perfectly secure. There's no way to interfere with it. [English]

Ms. Terri O'Brien:

That's correct.

We have a fully secured, closed-loop private network among the almost 300 financial institutions, credit unions and caisses populaires across Canada. [Translation]

Mr. Pierre Paul-Hus:

You spoke a bit about the government. What current legislation should be amended and made more effective for you? Certainly some legislative measures aren't effective and should be improved. [English]

Ms. Terri O'Brien:

That's a wonderful question.

We actively work with the RCMP and law enforcement today on the exchange of some information, although it often requires a production order. We would suggest that certain privacy and other safe harbour legislation could be opened that would allow a much more targeted approach among the trusted channels that we have today, whereby we could effectively focus and manage the cybercrime in a much more targeted way.

We find that our communications today are quite effective, but they are unspecific and constrained in many ways. We think there definitely are legislative options that would allow for more open sharing of that information, which would benefit—

The Chair:

Thank you, Mr. Paul-Hus.

With that, I'm going to suspend, and we'll resume as soon as possible for another hour. There will be no motions or anything else.

Again, I thank you for your patience.

(1705)

(1725)

The Chair:

We are back on. I see quorum.

Mr. Motz, you have never been more popular in your entire life.

We're going to go with four minutes, then four minutes, and then we'll go to five-minute rounds. Mr. Dubé would normally be up next, but I don't see Mr. Dubé, so I'm going to go to Mr. Picard. When Mr. Dubé arrives, we'll go back to Mr. Dubé.

Again, thank you for your patience.

Mr. Picard, you have four minutes.

Mr. Michel Picard (Montarville, Lib.):

Thank you.

Ms. O'Brien, you talked about cybercrime and fraud. What is the nature of the fraud you detected on your system, to which you've reacted in the past?

Ms. Terri O'Brien:

The fraud is constantly changing, and it also moves around based on vulnerabilities at the different financial institutions. The most common fraud that we see is what we call account takeover fraud. In the earlier example, we were speaking about some of the phishing exams, a person's credentials or personal, identifiable information that allows criminals to overtake their bank account. Then they start a systemic practice of draining the funds from that bank account, sometimes to different receiving institutions, and pulling the money out of the financial system.

At Interac, we are in a unique position where we can see that fraud cross institutions across our network into different financial institutions on the receiving end. What we've developed is a fraud detection system that patterns that behaviour and is able to detect it. Then it either blocks the transactions or holds them for further review.

Mr. Michel Picard:

When you block a transaction, that means that someone somewhere has the information of the cardholder. By having that, they may then have access to their bank account and therefore start digging for more than just the money—personal information that can be used for identity theft and so on. Your action may block a transaction, but part of the damage is done already, and we don't yet have any control over what kind of information has been stolen at this point.

(1730)

Ms. Terri O'Brien:

Not always. I won't outline all of the behavioural models, but I will say—noting that 99.9% of transactions flow through, and that's just indicative of our volume—that when a transaction actually gets blocked, it is a known fraudulent transaction. There are certain vectors and information we have where certain transactions are known, usually through information sharing that we actively participate in between Interac and the financial institutions, both sending and receiving. Sometimes that happens with the RCMP and law enforcement as well. It's that reciprocal sharing of information that is really critical to allowing us to block known fraudulent transactions. In the cases of the blocks, the customers are not impacted.

Mr. Michel Picard:

We're still stuck with four-digit PINs, which provide maybe 10,000 combinations. Is that sufficient nowadays?

Ms. Terri O'Brien:

I'd say yes. The chip and PIN, both the chip technology with the EMV-layered security and the PIN that is known only to the user, have been very effective. We've almost eradicated fraud on Interac debit. It's well below one basis point of fraud. As I mentioned earlier, it's just the remaining mag stripe terminals in the U.S.

I think it's also effective because of public education. There has been a lot of public education so that you don't share your PIN. Even in widely streamed media, in television shows, they've talked about how sometimes even spouses don't share PINs with each other. It's been very effective public education to keep your PIN secure and secret.

Mr. Michel Picard:

You said that you have a private network among banks, but when I buy something at the store, do I make my transaction through a totally private, closed network? If that's not the case, do I have to go on the web or somewhere to make that so I'm totally secure?

Ms. Terri O'Brien:

You are totally secure. The PIN pads you make your transaction on, those are all issued by acquirers and payment processors, and they are part of the closed loop network. Every point in the network is secured.

Mr. Michel Picard:

How about going—

The Chair:

Thank you, Mr. Picard.

Ms. Terri O'Brien:

It doesn't go across an open Internet.

The Chair:

I know you were on a roll there.

Mr. Michel Picard:

No, I know. Thank you.

Ms. Terri O'Brien:

They're good questions. Thank you.

The Chair:

Mr. Cannings, welcome to the committee. I see you're not Mr. Dubé.

Mr. Richard Cannings (South Okanagan—West Kootenay, NDP):

No, not the last time I checked.

The Chair:

We had held four minutes for Mr. Dubé as the next questioner, but you may want to catch your breath and we can come back to you.

Mr. Richard Cannings:

I would like to catch my breath and figure out what exactly we're talking about.

The Chair:

Well, we're trying to figure out the same thing.

Mr. Motz, you have five minutes.

Mr. Glen Motz:

Thank you, Mr. Chair.

First of all, thank you to both of the organizations for being here today.

I'll start with you, Ms. O'Brien. Canadians wonder—and I think I know the answer to this, but you can shed some light for us—if an Interac e-Transfer is traceable.

Ms. Terri O'Brien:

Could you expand on the question? In what regard do you mean traceable?

Mr. Glen Motz:

We're talking about cybersecurity today, so if we have an issue with an e-transfer, is that e-transfer a traceable transaction, if it is to a bad actor?

Ms. Terri O'Brien:

Part of my testimony today was about encouraging open collaboration and more information sharing and safe harbour provisions with the RCMP. The transactions are traceable. However, in today's environment, if the RCMP is looking at a bad actor, as you suggest, they will keep certain information around that bad actor secret. They will sometimes issue a production order, in which case we will share the information we have, as required by law, and then they will continue their investigation into that bad actor.

We have some information that is shared among ourselves at Interac, the financial institutions and law enforcement, wherein we can have indicators that inform our behavioural models, but how the RCMP does its tracing of bad actors is shared to us as they are able to do so.

(1735)

Mr. Glen Motz:

Thank you for that.

In your opening remarks, you spoke about having a proactive sharing system, I think you called it.

Can you describe for us, in an ideal world, what the ideal sharing would be between your organization or the industry in general and law enforcement, to protect consumers? What would that look like?

Ms. Terri O'Brien:

Sure. I'm happy to crystal-ball some great ideas in that space. We would absolutely love.... The cybercrime unit, particularly in government and the RCMP, as well as law enforcement, will regularly monitor some of the online or dark web or deep web marketplaces. Those marketplaces come up and go down quite frequently as they are trying to hide some of the marketplaces and some of the identifiable features of them.

In an open sharing environment, we would know that very quickly, and therefore we would have an ability—as to your earlier question—to trace bad actors as they come up in these online marketplaces in a closer to real-time fashion. If that information was openly shared with us, we could do a lot more to block or monitor potentially fraudulent transactions.

Mr. Glen Motz:

Payments Canada, would you care to weigh in on that question? In an ideal world, what do you see as being a vehicle or a way in which we can share information between the financial institutions or the financial industry and law enforcement to protect consumers better than we do now?

Mr. Justin Ferrabee:

I'll have our CISO, Martin Kyle, respond to that, because we're active in that.

Mr. Martin Kyle (Chief Information Security Officer, Payments Canada):

There are many sharing organizations and groups already in place. In our comments, we talked a little bit about an information sharing group with the Canadian Bankers Association, for example. We talked about information sharing with a non-profit, the Canadian Cyber Threat Exchange, which was represented here by a witness, I believe. We have information sharing with the Canadian Centre for Cyber Security and with the RCMP. All of these various sharing groups allow us to get more information about existing threats and learn how to detect those threats on our systems, and then allow us to respond to those threats.

Mr. Glen Motz:

You said in your opening remarks that Payments Canada transfers more than $200 billion daily through your various networks. If that's the case, how do you keep those large sums of money safe during your transfers? What does that look like?

Mr. Martin Kyle:

As you know, our number one priority is the security of those transfers. We enable the safety of our systems by reducing our attack surface, as we in the trade call it. We have a very small, close-knit group of members whom we support and allow into that network. That network is very segregated from other networks, and that small attack surface allows us to pay very close attention to what happens on it in identifying threats, monitoring the activities and responding to the things that occur there in real time.

The Chair:

Thank you, Mr. Motz.

Mr. Cannings, have you caught your breath, or should I go to Ms. Dabrusin?

Mr. Richard Cannings:

I'll wing it here.

The Chair:

Okay, you have four minutes.

Mr. Richard Cannings:

Thank you.

As you understand, it's a bit of a surprise for me to be here. I just got off a plane and voted, and then they took me down here. So unfortunately I have not been able to hear your testimony. I had no idea what was going on before in this study either.

A question pops into my mind about payments with chip cards. You may have covered this, and my apologies if that's the case. Canada was an early adopter, at least compared to the United States. I'm just wondering about two things. Is that an issue, that Canada has widely used chip cards and Americans have not? I'm not sure if that's changing. Is there an issue between the two countries on the security status of those systems? Should we be more worried in the United States than we are here, or vice versa?

(1740)

Ms. Terri O'Brien:

That's a very good question. We have almost eradicated fraud in Canada on the debit card with chip and PIN. It's a very effective technology and secondary control, and only the person knows the PIN. The EMV technology on the card has been very effective to date.

We do have risk in that the U.S. has not adopted EMV technology. Industry pressure is increasing for them to do so. More of their point-of-sale terminals are being enabled. They have offered chip and signature in some point-of-sale terminals, but they haven't fully migrated to a chip and PIN environment.

It's a good example where a consortium of the industry, together with payments processors in the centre of the industry and settlement partners, can combat fraud when coming together on solutions.

The risk to Canadians in the U.S. is certainly lower, but it does continue with the magnetic stripe.

Mr. Richard Cannings:

Where I interact with it, it's more the inconvenience of trying to buy gas in the United States and they demand a swipe and a postal code; of course, Canadian postal codes don't work down there.

Mr. David de Burgh Graham (Laurentides—Labelle, Lib.):

I can explain it to you.

Mr. Richard Cannings:

I don't know. In Texas, they have trouble with it.

I was just going to ask you about skimming devices and chips. Is that not an issue at all?

Ms. Terri O'Brien:

It's much less of an issue with the chip and PIN. Skimming devices still exist, though they have to have cameras to try to capture the PIN, but it's not a very elegant fraudulent solution because your hand could be in the way. So the risk is really negligible in Canada. The skimming devices that take the mag stripe continue to be a risk in the U.S. The mag stripe is easily copied.

Mr. Richard Cannings:

That certainly does it for me.

Thank you.

The Chair:

If you need any hacking help, Mr. Graham is here to help.

Ms. Dabrusin, you have five minutes, please.

Ms. Julie Dabrusin (Toronto—Danforth, Lib.):

Thank you.

My first question is probably more for Payments Canada. I was looking at a letter I received from someone who lives in my community. We're in that hybrid moment where people still sometimes write paper cheques, and now they can deposit them by taking a picture and sending that in. But then that cheque stays floating around with that person. They have all this personal information with your signature that you're counting on someone to deal with properly, although they might be just a private individual who doesn't have a way of dealing with it.

Has this ever come up as an issue that's been raised with you, and if so, do you have any tips for people about that and what they can do to protect their personal information?

Mr. Justin Ferrabee:

I can speak for Payments Canada. We're at the infrastructure layer. We would write the rules around how that works, and we run the systems that do the cheque imaging and enable the digital image. But all the security and all the services provided to a consumer would be through their bank. We would support the bank, support our members in that, but it's at the policy level of the bank.

Ms. Julie Dabrusin:

Okay.

Ms. Terri O'Brien:

To add from my many years in banking, the technology has come a long way and the cheque imaging is quite good now. Of course, consumers are encouraged to destroy the cheque afterwards. However, duplicate cheque detection has come a long way as well. If you ever try to deposit it twice, it won't allow you to do so.

Ms. Julie Dabrusin:

Thank you.

To Payments Canada, you talked about labelling within the digital supply chain and how to create proper labelling. Does anybody do any labelling in the world? Do you know of a standard out there?

Mr. Martin Kyle:

No. In fact, that's why we put it—

Ms. Terri O'Brien:

I know one.

Ms. Julie Dabrusin:

Do you?

Ms. Terri O'Brien: I do, yes.

Mr. Martin Kyle:

Go ahead, please.

Ms. Terri O'Brien:

I've been looking at the model. It's actually quite good. SWIFT has adopted a model wherein they publish the security standings of all their counterparties, as they call them, not from a creditor's standpoint but just as a counterparty to the system. It's a good model that we quite like.

That allows each of the participants in the ecosystem.... If you're a financial institution or a caisse populaire and you see a lowered security level that's not quite at the standards, you can mitigate or limit your risk to that partnering financial institution. They've implemented some really interesting things in the past year.

(1745)

Ms. Julie Dabrusin:

Knowing that there's one standard out there, somebody who's doing it, what's the government's role in that? Is it that government adopts a form of labelling and then requires it for our financial institutions, or is it something that we leave to another sector?

Mr. Martin Kyle:

I can respond to that.

The attestation program to which Terri referred has been a set-up by the SWIFT organization, to allow the counterparties to publish their attestations to other counterparties. If one organization feels like the other counterparty that they're doing business with is too risky, because of their attestation they have the opportunity as a business owner to de-risk themselves or to demand that certain requirements be met before they continue doing business with that organization.

Mr. Justin Ferrabee:

I just want to come back to the labelling of ingredients. The attestation is a version of it, but it's an early version. There is no precedent for identifying all of the components in the value chain and disclosing and managing that. There are multiple parts to this. It's not actually being done anywhere else that we know of.

Ms. Julie Dabrusin:

Part of what I'm thinking is that, from what we've heard, more and more of this is crossing borders. It's not something that lies entirely within Canada, as far as how it's being done is concerned. I'm trying to figure out which body, which organization is best set up so that we can co-operate with it as the Canadian government. We can encourage other international governments to participate, but where should that lie?

Ms. Terri O'Brien:

It's a great question. SWIFT is a global organization that has started early days in that. I would absolutely suggest that Interac would be an appropriate place as well. We currently run our operating regulations and minimum standards, whether they're security standards or participant standards, for all the FIs in our ecosystem.

We have a very robust governance policy and operating regulations in market today. We're looking at how we can enhance those in-market regulations every day. The participants eagerly participate in the marketplace and adhere to those regulations because what it gets them is reciprocity of payments and access to the ecosystem.

Ms. Julie Dabrusin:

Thank you.

The Chair:

Thank you, Ms. Dabrusin.

Mr. Motz, you have five minutes.

Mr. Glen Motz:

Thank you, Chair.

One of the things I'm sure you heard or read about is that Canada is dealing with whether to accept Huawei as part of our critical infrastructure moving forward. With 5G on the horizon, the question I have for both of your organizations is whether your platforms are prepared to use servers that are built, in whole or in part, by foreign entities that are likely subject to extrajudicial directions from a foreign government.

Ms. Terri O'Brien:

I can answer only for Interac, but I can firmly say that we are not. We are not prepared to allow data outside of our Canadian constitution and Canadian roots. Our incorporation—we became a corporation about a year ago—is quite strongly grounded in Canada. All of our data is to reside in Canada. We are also to use Canadian vendors and Canadian suppliers in the delivery of any of our services, but we build our own technologies. To your question about foreign service providers, we are quite anchored in our Canadian roots.

Mr. Glen Motz:

Before I get Payments Canada to respond to the question I asked previously, I just want to follow up with your comment. If you don't have a server from someone like this, what happens if the infrastructure on which you transfer your data has the ability to have switches that can be hacked by a foreign entity? How does that play into your security programs?

Ms. Terri O'Brien:

All our infrastructure and data are resident in Canada and owned and operated by Interac.

To your question about a foreign entity as a hacker, our experience is that most hackers are foreign entities. We haven't seen a lot of domestic Canadian hackers.

(1750)

Mr. Glen Motz:

They access the information through the back door; they're not hacking the system. We're talking about certain foreign actors who, because of the technology that's in place, could potentially intercept communication that happens on a daily basis, and we don't even know it's being siphoned off.

Ms. Terri O'Brien:

We do vulnerability scan controls and have intensive security scans. We use only Canadian networks, Canadian telecom providers, and have Canadian data centres in multiple provinces. We run our transactions only through our Canadian data centres, so I don't anticipate that.

Mr. Glen Motz:

Okay. Thank you.

Payments Canada, what is your response to the first question?

Mr. Justin Ferrabee:

As you can appreciate, we wouldn't discuss specific capabilities or principles or how we manage our infrastructure.

What you're raising is a very acute thing we're aware of and are concerned about. Part of the motivation for the tracking of supply chain ingredients is to know that, because we would have providers of a service who would have technology and they may not know exactly where it has all come from, so we wouldn't know.

We have to imagine that it is not safe or secure, and we have to prepare ourselves for that—and we are. We are aware of these risks, but without that kind of knowledge, even if they were to attest that this is true, it might not be true. We can't afford to take those risks, so we plan as if it's not and we try to make it so.

The Chair:

You have a little more than a minute.

Mr. Glen Motz:

A previous witness at committee some time ago—and I asked this the other week—called Canadians “innocent”, which I thought was a very polite way of saying that we don't have a clue about our own cybersecurity.

From the perspective of both of you, what needs to change in Canada to get the consumer to get it, to be more vigilant in their own cybersecurity, and thus their own privacy? What role do we have as legislators to make sure we encourage them?

Ms. Terri O'Brien:

While I am not privy to the comment, the “innocent” comment seems to be directed more at general public knowledge.

Mr. Glen Motz:

Yes.

Ms. Terri O'Brien:

Our resiliency in Canada, particularly with the financial institutions, is quite strong on a global scale.

To your question about Canadian consumers, I would agree. I think public education is immensely important. Certainly this time of year, with the level of CRA scams that come out, from both phone calls and emails that people receive—and I'm sure all of you are well versed in that—Canadians do get pulled into those scams. They don't have enough education or awareness to understand when they should hang up the phone or delete the email, and also to up the system security on their home computers, and how important that is.

The Chair:

Thank you, Mr. Motz.

Mr. Graham, you have five minutes, please.

Mr. David de Burgh Graham:

Thank you. I hope it's enough.

Mr. Cannings, I'll just tell you how the things we talked about earlier work. The postal code in your constituency office is V2A 5B7. If you're trying to use your postal code, you'd have the numbers from that: two, five and seven, plus zero, zero.

In the U.S., your postal code for the purpose of your card is 25700. Now you know how it works.

Mr. Richard Cannings:

Okay. Next time I'm in Texas I'll remember that.

Mr. David de Burgh Graham:

Have a safe trip, and keep in mind that your postal code is a public record. Everybody knows how it works now, so there you go.

The Chair:

It might be fraud, but that's another thing.

Some hon. members: Oh, oh!

Mr. David de Burgh Graham:

To come back to the matter at hand, we're talking about foreign-built devices. There is one thing I'm curious about, and this applies to both organizations. When you have third party software, or hardware for that matter, do you always get the source code, audit it and compile it yourself?

Mr. Martin Kyle:

We do risk assessments on all the software and projects we deploy. Those risk assessments include an inventory of the libraries that are included in the applications that we develop, as well as any defects associated with those libraries.

The digital supply chain comes from all around the world. This microphone probably comes from many different countries around the world, so the risks that are represented in the components that make up this piece of equipment need to be assessed. They need to be assessed for vulnerabilities that could allow adversarial groups to enter this piece of equipment, or a piece of software.

We make sure that when we deploy something, it goes through a rigorous risk assessment process where we evaluate things as much as possible.

(1755)

Mr. David de Burgh Graham:

The question at the core is, do you have access to the source code of what you're using, or is the risk assessment “We don't need it in this case because we trust this company”?

Mr. Martin Kyle:

We ensure that we do audits on the organizations that provide source code to us. We certainly have access to some of the source code. We build some source code. Where we don't have access to the source code, we go through a rigorous risk assessment process with the company that provides it to us.

Mr. David de Burgh Graham:

Terri, is it the same story?

Ms. Terri O'Brien:

No, actually. All of our high-risk and transaction-based systems are proprietary code bases. Proprietary code means that we have a large development team that builds the code themselves. We put it through quite rigorous security standards and vulnerability scanning. We have a managed detection and response, layered security protocols that are quite robust and a private, closed-loop network.

We do, of course, have the source code, because we have a team that writes the source code, and we have very robust security layers. We're constantly reviewing our security posture as well.

Mr. David de Burgh Graham:

What does Interac know about a transaction? If I go to the store and buy something, what do you know about the transaction?

Ms. Terri O'Brien:

I can share with the committee that all the data meets the minimum required standards in order to process the transaction, and any personal, identifiable information that is required to process the transaction to your bank account and not somebody else's bank account is fully secured.

Mr. David de Burgh Graham:

How about what the transaction is actually for?

Ms. Terri O'Brien:

Do you mean the intended use and purpose of the transaction in terms of the merchant where it's being purchased?

Mr. David de Burgh Graham:

If you go to the gas station and buy gas and a bar of chocolate, does Interac know that you bought gas and a bar of chocolate, or that you went to the gas station?

Ms. Terri O'Brien:

I can't share all the data elements that are collected, but I believe the transaction is about the money movement itself. It's not about the goods and services that you're looking to purchase.

Mr. Richard Cannings:

Be careful what you're buying.

Mr. David de Burgh Graham:

This applies to both of you. Do you have member institutions that do a poor job of living up to your standards? I know that in the case of Payments Canada membership is statutorily required for some organizations. Interac is probably the same thing. Do you have lagger organizations you're always chasing that are not keeping up with your standards? You don't have to identify them, but do they exist?

Mr. Martin Kyle:

I would say that all the organizations that participate with Payments Canada have high security standards, and they all meet a very rigorous bar for safety and security.

Ms. Terri O'Brien:

I would say absolutely the same. As the centre of the ecosystem, Interac spends a good amount of time with all of our participants—and we have many more participants—in giving them lead time and testing time when we're raising security standards, which we always are. We actively work with them to make sure they can make the new standards.

Mr. David de Burgh Graham:

Thank you.

The Chair:

Thank you, Mr. Graham.

Mr. Cannings, you have three minutes if you wish to use them.

Mr. Richard Cannings:

You caught me off guard here.

The Chair:

I can go back to somebody else.

Mr. Richard Cannings:

Okay. Sorry, normally in my committee I never get a second chance.

The Chair:

I'll go back to myself and ask about what I'm interested in.

I have my Visa card here with CIBC, and I have my debit card. On a security basis only, I would be given to understand from your testimony, Ms. O'Brien, that this is far safer than this.

Ms. Terri O'Brien:

Yes. I would agree with that statement.

The Chair:

Why? Is it because you have 300 organizations in this, and you are a closed loop? There are many more thousands of organizations in this.

What is the essential—

Mr. David de Burgh Graham:

John, be careful not to show the numbers; we’re televised.

The Chair:

I've already been hacked on this. This one can't be hacked.

Mr. Michel Picard:

He has no money anyway.

The Chair:

Yes, that's right.

What is it in the structure that makes the one safer than the other?

Ms. Terri O'Brien:

I think there are many factors. As I alluded to earlier, Interac has a very strong governance and operating regulations structure that is layered. It's not just about the security of a closed-loop network. It's about the participant's level of security, the issuers and acquirers, like the PIN pad level of security, as well as varying degrees of transaction types and limit structures, which is different from some of our credit card partners that we have in Canada, which may have a higher risk appetite.

They have different types of participants in their marketplaces, and different types of fraud monitoring, so I can't speak to the level of fraud monitoring, or their risk appetite. I just know that it's higher than ours in some regards, in their limits on certain different types of cards. As you may well know as a consumer, many cards have much higher limits. Those are more attractive targets for cybercrime than debit cards.

(1800)

The Chair:

So, it's not a function of how the system is set up or the security that's built into it; it's a function of how much risk we want to take in order to be able to do volumes of business.

Ms. Terri O'Brien:

I think it's a function of both. It's a layered approach. It's a function of the security of the participants, of the operating regulations, of the limit structure, of the fraud risk monitoring—for sure, that's pivotal and key in that ecosystem.

The Chair:

Thank you.

I have one other question, with respect to the sharing that's going on among the various institutions. Not all institutions will have the same degree of interest—that's not quite right. They're all interested, but they will have different agendas. Particularly, the government will have one agenda; the security people will have another agenda; the financial institutions will have another agenda and whoever else is in that.

Are you satisfied that, with the various agendas that are going on and your feeding in that data, security is actually enhanced at the end of the day?

Ms. Terri O'Brien:

I would say yes, absolutely. It is further enhanced with every amount of information sharing that we have.

Of course, we participate, as Justin and Martin said, in a lot of central forums, in information sharing through some committees, and the CCTX has been a great addition in recent years. But the actual event sharing in the moment of a particular theme or threat vector that is in the marketplace at any given time is really pivotal to detecting it and preventing that fraud. Then it benefits the entire ecosystem. We at Interac will speak with individual financial institutions on a daily basis, because those threat factors continuously change. It's been quite effective.

The Chair:

I'm assuming Payments Canada would adopt the same answer. Is that correct? Okay.

I have a final question for Payments Canada. I've never quite understood why, when I'm paying a bill online, the money clearly comes out of my bank account but is not credited to the vendor for a day or two or three. It puzzles me that it's not an instantaneous transaction. Do you have an answer to that?

Mr. Justin Ferrabee:

Yes. As an infrastructure layer, we don't interact with consumers at the bill payment level, but part of our modernization program includes the creation of a real-time payment rail, which would do exactly that—eliminate the lag in deposits, cheque holds, bill payments and the like. So, if you keep your fingers crossed, you'll see one coming soon.

The Chair:

Okay. Well, I'll lie awake at night waiting for that.

Some hon. members: Oh, oh!

The Chair: We have Mr. Cannings, and then Mr. Eglinski.

Mr. Richard Cannings:

I'm just going to follow up on what Mr. McKay was asking, about comparing the credit card and the Interac model.

I had Mastercard representatives in my office last week telling me about their system. As I recall, Mastercard and Visa are more of an intermediary between banks, vendors and individuals, whereas Interac has sort of a direct line into your bank account. I'm just wondering if that adds more risk to a transaction, having that direct line into your bank account, whereas the other ones seem to be having more layers where security could kick in. Maybe it's the other way around. I don't use Interac a lot, and it's not because of this, but I'm just curious as to this direct access to your bank account. What sort of security questions come into that?

Ms. Terri O'Brien:

I actually think it reduces the risk to have the closed-loop private network. For clarity, the direct connection is called an API, or an application programming interface that we have to the financial institution, through which all transactions flow. The sending institution—your bank, for example—would vet that you have the funds available and then send it in real time across our payment infrastructure to the receiving institution, and we would be able to facilitate those transfers. I do believe the direct connection reduces risk. We can monitor and manage the system appropriately.

(1805)

Mr. Richard Cannings:

Mr. McKay also mentioned bill payments, for instance. Is that similar? When I'm paying a bill, I don't think Interac is involved, but when I'm paying a bill through my bank, is it a similar process?

Ms. Terri O'Brien:

Interac does do some of those transactions, and we're looking at it. Certainly, e-transfers are easy to understand. If you're paying a service provider, a plumber in your home, you may choose to use Interac e-Transfer, and those are real-time payments today.

The bill payment interface that you may use with, say, Rogers, to pay your cable bill, for example.... Today those payments are held at the financial institutions and then remitted through a batch process. We're actively working with them on how to make those payments real-time, because we have real-time capabilities already, but today, those are batch-processed payments at each of the Canadian financial institutions. It's just a legacy thing.

The Chair:

Thank you, Mr. Cannings.

Now we have Mr. Eglinski.

Mr. Jim Eglinski (Yellowhead, CPC):

Thank you.

This is for Interac. Earlier, you stated that you kept all your stuff within Canadian servers and stuff like that, but you do provide international service to foreign cardholders. Is that correct?

Ms. Terri O'Brien:

We do have some international remittance on our Interac debit product. I think somebody had an example. If you were in the United States and you wanted to withdraw money through your Interac bank card, you could use a third party ATM. We do have an ability for you to withdraw funds when you're in another country.

Mr. Jim Eglinski:

Someone from a foreign country cannot use your system. Do you maintain a relationship with foreign banks in such a case?

Ms. Terri O'Brien:

No, we do not maintain foreign banking relationships.

If you, as a Canadian consumer with a Canadian bank account, choose to withdraw funds if you're visiting Texas, for example, you can withdraw funds in Texas through your Interac debit card. But no, we do not maintain foreign banking relationships.

Mr. Jim Eglinski:

I was wondering about security.

I'll turn it over to my friend, who had a question for you.

Ms. Terri O'Brien:

Sure. [Translation]

Mr. Pierre Paul-Hus:

Thank you, Mr. Eglinski.

I was away for a few minutes. I don't know whether the question has already been asked, but I don't think so.

How many direct attacks on systems do you experience each day or month?

Can you tell us where the attacks come from? Are the attacks carried out by individuals, by people in Canada or abroad? Are any attacks carried out by specific countries?

Both witnesses can respond. [English]

Mr. Martin Kyle:

As you can appreciate, we don't describe the details of our specific security capabilities or security incidents or events. Suffice it to say, the financial industry receives attacks all the time from everywhere. [Translation]

Mr. Pierre Paul-Hus:

Without providing the details of your organizations, can you tell us what type of attacks are carried out? Are the attacks carried out by isolated individuals or organizations? Can we have this type of information? [English]

Ms. Terri O'Brien:

It might be important for the committee to make a distinction between attempts and attacks.

I would say that all financial institutions, payment ecosystem providers and settlements providers are going to sustain attempts. At Interac, we have a managed detection and response, so that when there is an attempt to infiltrate our systems, we can see it. We're actively monitoring it and we're preventing it to make sure that it doesn't happen.

I'd say attacks are relatively few. What I do know of them, from some of our partners and through some of these forums where they're reported, is that in recent years they are sophisticated. I don't think we're seeing a lot of the one-off you described. They are more sophisticated attempts that are coming through. [Translation]

Mr. Pierre Paul-Hus:

Do you have an obligation to disclose to the banks? You're an intermediary between the different banks. When the threats are more significant, do you have a time frame, a number of hours in which you must inform the banks and the government?

When it comes to the government, I don't think that there's an obligation to disclose. However, in terms of your business partners, is there an obligation to disclose?

(1810)

[English]

Ms. Terri O'Brien:

We don't have an obligation to disclose among the various financial institutions. That's not a legislative requirement, but we do have trusted channels through which we do share some of that information for the betterment, safety and soundness of the ecosystem. We will share information on a very specific basis with the related FI. [Translation]

Mr. Pierre Paul-Hus:

You clearly referred to sophisticated operations, which require significant resources. Can you give us an idea of where the threats are coming from? [English]

Ms. Terri O'Brien:

I think the new cyber unit of the RCMP is probably best placed to pinpoint where in the world they're coming from. There are certainly various countries where we have seen attempts and attacks, but it does migrate around. It is global and it is sophisticated. [Translation]

The Chair:

Thank you, Mr. Paul-Hus.[English]

You have five minutes, Mr. Spengemann.

Mr. Sven Spengemann (Mississauga—Lakeshore, Lib.):

Thanks very much, Chair.

Thank you for being with us.

I want to pick up where my colleague Monsieur Paul-Hus left off. I also serve on the Standing Committee on National Defence. This is one of those areas where, when we talk about critical infrastructure, there is some overlap.

Without getting into the details, as you pointed out, or giving us information that should not be disclosed, how concerned are you, generally speaking, about a state-to-state attack, and how much do you consider yourselves to be part of our core infrastructure? I'll maybe add to that question. What if your service does go down for a prolonged period through an attack? What would be the implications for the country?

Mr. Martin Kyle:

First of all, as you've heard, we are safe. Security is our most important priority. We support our members, the financial institutions in Canada, in their security programs, and they support us in ours. Attacks and threats come from all sides. We must maintain a constant state of vigilance, and our members must do so as well. We rely on every Canadian citizen to be responsible for their own security. We also believe that together we can improve and increase the security of the country as a whole.

Mr. Sven Spengemann:

Are you in any capacity at all working with analysts or staff of the Department of National Defence in protecting yourselves? Is there a collaboration on such issues as AI, quantum, things that would affect other parts of our critical infrastructure as well if they came at us?

Mr. Martin Kyle:

Absolutely.

Mr. Sven Spengemann:

Are you able to elaborate in a bit more detail?

Mr. Martin Kyle:

No.

Mr. Sven Spengemann:

Okay.

Are sufficient funding levels in place, in your assessment, to do that kind of work? Are there trajectories where we need to invest more, be it talent, structural work or thinking about it differently, as we go into AI and those kinds of questions?

Mr. Justin Ferrabee:

We're very confident with what we have now. There is always opportunity and a need to continue to invest and improve. We are very confident and feel as though we have been responding well, as have our partners in government and elsewhere. There are also needs that emerge as we go, as you've heard. The bar is always rising, so the need to continue to invest, and potentially grow investment, is there.

Mr. Sven Spengemann:

Is the degree of centralization of the clearance system that we see in Canada typical of other developed democracies—the G7 and the Five Eyes—or is there an argument to decentralize the clearing system so that any given attack will be able to do less damage if successful?

Mr. Justin Ferrabee:

Our central clearing system is very similar to those of other G7 countries and other advanced financial infrastructures. We are always looking at opportunities to continue to strengthen the security. We are confident in the position we have right now, and we will always be looking. We've done a lot of research, which has been public, on distributed ledgers and their application. The low surface area and the high trust among parties are factors that diminish the need for a distributed ledger of some kind or some other new technology in that way, but we're always looking at it and investing in innovation.

(1815)

Mr. Sven Spengemann:

That's very helpful. Thanks very much.

The final question I have is strictly a personal interest question.

What percentage of consumer transactions in Canada, in your estimation, are done on a non-electronic, i.e., cash basis? What kinds of trend lines do we see? Is that data that you have?

Mr. Justin Ferrabee:

We publish a report every year called “Canadian Payment Methods and Trends”, which refers to that. You will see cash diminishing. We believe it will continue to decline, but it will never go away. It's below 50% now, and declining at a rate of somewhere between 5% and 7% a year.

Mr. Sven Spengemann:

Thank you very much, Mr. Chair.

The Chair:

Well, I must be in the declining minority, then.

We have Mr. Picard and Mr. Graham.

Mr. Michel Picard:

Can I withdraw money from an ATM machine in London or Paris?

Ms. Terri O'Brien:

I think in Europe there are some restrictions, but, yes, there are certainly ATMs that you could withdraw money from in Paris.

Mr. Michel Picard:

Can I withdraw money from St. Petersburg or Moscow?

Ms. Terri O'Brien:

No, that would violate sanctions rules.

Mr. Michel Picard:

There's nothing available on the Russian side, using my Interac card.

Ms. Terri O'Brien:

No. We would absolutely adhere to all sanctions rules in Canada.

Mr. Michel Picard:

Okay. I'm done.

The Chair:

That was quick.

Mr. Graham.

Mr. David de Burgh Graham:

I'm going to build on an earlier question from Ms. Dabrusin on cheques, and perhaps the obsolescence of the cheque as we know it.

Is it time to dump account numbers, addresses and signatures on our cheques and switch to...? I don't know if we can have a paper version of a token, but is there is any way of doing that?

Ms. Terri O'Brien:

Yes. Absolutely.

We're innovating new payment transmission technologies every day. The cheque continues, I would say, mostly in the small business space and a little bit in the retail consumer space, but not as much. There's really no need for a paper cheque anymore.

Mr. Justin Ferrabee:

We would say that we're seeing a rapid decline at the consumer level. There are still some people who rely on it, and there are some circumstances where that's the only method of payment that is going to work, for a host of reasons. Where we see the biggest need is in the small business area, and usually it's for managing information, because currently information doesn't flow cleanly across the system in terms of to, from and all the notations, and they get a copy of the cheque so they can see it.

Until we can rectify or remedy that, we see a strong hold on cheques. We're making a number of moves to improve the information that travels with payments by publishing standards. One of the most current global standards for information is the ISO 20022 standard, which includes vast amounts of information to travel with your payment, which would allow a small business person to see more, including invoice and all kinds of other information that goes with that.

Our expectation is that the decline of the cheque will come with the introduction of more robust information to travel with the payment.

Mr. David de Burgh Graham:

The cheques will continue to exist. Are you going to de-information that piece of paper?

Mr. Justin Ferrabee:

No. We're going to replace it.

Mr. David de Burgh Graham:

You're going to replace it completely. Okay.[Translation]

Mr. Picard, do you have anything to add? [English]

Mr. Michel Picard:

I'll go back to Russia.

Mr. David de Burgh Graham:

The Russians are coming.

Mr. Michel Picard:

Part of the transaction, I guess.... It might be a bit complicated to know every member of your group, but if I withdraw money in Europe, those banks are part of your network somehow. I don't know how it works. Do you know, or is it possible to know whether banks outside Russia, in Europe and elsewhere, which are maybe owned by Russian interests, are part of your network?

Ms. Terri O'Brien:

They're definitely not part of our network. I'd say the financial ecosystem in Canada has gotten quite mature and robust in our sanctions screening and in understanding transfer agencies and those types of things. We definitely secure the network.

We do very few transactions outside of Canada, so it's not a problem that we encounter or that we see.

Mr. Michel Picard:

Now I'm done.

The Chair:

Okay.

Mr. Eglinski, do you want to ask any further questions?

Mr. Jim Eglinski:

I think I'm good.

The Chair:

Mr. Paul-Hus. [Translation]

Mr. Pierre Paul-Hus:

Thank you.

We've met with Mastercard representatives. Mastercard has red teams, which are known as “ethical hackers” in French. I know that there have been discussions about the term, and I don't know how you translate it. These people work internally and really try to break and outsmart the system to see whether it has any flaws. Do you have any similar teams in your company?

(1820)

[English]

Ms. Terri O'Brien:

We do. We have a very robust IT security team, which uses a number of tools that allow us to proactively scan the system for vulnerabilities and manage detection and response capabilities as well. We actively scan our systems on a daily basis and keep quite current. [Translation]

Mr. Pierre Paul-Hus:

You have internal information technology teams. You carry out scans. However, you don't really hire hackers, who will try to find the flaws in your system. [English]

Ms. Terri O'Brien:

We have a very large IT security team. We don't call them “white hat hackers”. We call them IT security. We have a large IT security team that's constantly testing—we call it penetration testing—and scanning the system. I think it's fundamentally the same. “Red team” and “white hat hacker” are kind of buzzwords these days. [Translation]

Mr. Pierre Paul-Hus:

Thank you. [English]

Mr. Justin Ferrabee:

I can answer for Payments Canada. As you can appreciate, we don't speak specifics about the techniques we use, but we're well aware of those techniques, as well as other ones, and we employ those that are most suited for ensuring the safety and security of the system. [Translation]

Mr. Pierre Paul-Hus:

Lastly, the goal of our study is to look at the banking and financial system as a whole in terms of cybersecurity. As partners of the banking system, in your opinion, what are the main vulnerabilities with regard to cybersecurity? [English]

Ms. Terri O'Brien:

We see two vulnerabilities that I spoke to earlier in my remarks. One is a lack of ability of government, RCMP and law enforcement to openly share information. The criminal activity changes quickly. It is a real-time fraudulent environment, so the ability to access that information more quickly would enable us to have stronger defences than we already have today.

Two is public education, which you all seem quite aware of. Public education on what they should and should not do would go a long way to securing the system and the ecosystem. [Translation]

Mr. Pierre Paul-Hus:

Yes, we know. [English]

Mr. Justin Ferrabee:

It's an ecosystem, and there are many actors in it and varying degrees of capability and risk. We know we are stronger when we work together, and the answer to identifying vulnerabilities is to work together in identifying them and to each play our part in resolving and managing them. That's where we put our time and effort, and we believe our counterparts do as well. We support our members and anybody in the financial institutions in that coordination, and we're confident that's the best strategy. [Translation]

Mr. Pierre Paul-Hus:

Thank you. [English]

The Chair:

Mr. Spengemann and Mr. Graham are going to share five minutes.

Mr. Sven Spengemann:

Thank you, Mr. Chair.

Again, I fully appreciate the levels of confidentiality you need to preserve, but in the mind of this committee or the Canadian public, we sometimes get the perception that there's a qualitative difference between a state-led, state-directed or state-owned attack and what comes out of the private sector or the underground world. Is there qualitatively an appreciable difference in those attacks? Does a nation-state have greater capacity to do us harm, or is that misplaced, in the sense that if we are fighting effectively against attacks that come out of the “private sector”, we are as equipped to fight off a state-led attack or a series of coordinated attacks?

Mr. Martin Kyle:

Certainly, nation-states have more resources than most criminal organizations, but unfortunately we've seen that some exploits that have been leaked from nation-states have ended up in the hands of criminal actors, which creates a threat environment that's constantly evolving. While we monitor these things and focus on the safety of the national payment system, we recognize that continued investment and focus are required to address all these threats.

Mr. Sven Spengemann:

Both fronts are equal, and if you do it well, you're able to stave them off no matter where they come from.

Mr. Martin Kyle:

That's correct.

Mr. Sven Spengemann:

Okay, that's helpful. Thanks.

The Chair:

Mr. Graham.

Mr. David de Burgh Graham:

Just to build on that a little, the intent of a state actor in the financial system would not be to take the money. That's not their purpose. It's to see who is trading money with whom, to get the metadata, as we like to talk about, and be in a position to undermine the system when they push a button if they need to.

Would that be an accurate assessment of state actors in the system?

Mr. Martin Kyle:

There are a number of motivations for various state actors. We've seen in the past that some state actors use financial systems to get around sanctions. Some state actors are motivated for other reasons. There are a myriad reasons for any threat against the financial system, and we need to be aware of all those reasons and take proactive countermeasures against those threats.

(1825)

Mr. David de Burgh Graham:

If a foreign country wanted to undermine our financial structure, its intention would not be to take data; it would be to shut down our system. I assume we are doing our utmost to prevent that from happening as well.

Mr. Justin Ferrabee:

We would not be specific on any incident we are aware of. We assure you that we think about that and take action to prevent that, and that our colleagues in other organizations around us do the same. This is not an unknown for us, or something we're not aware of. We're very clearly focused on that.

Ms. Terri O'Brien:

Yes, and our respective resiliency programs.... I can speak only for Interac, but we're at 99.9% uptime. You can achieve that uptime only if you have a resiliency strategy that includes very robust infrastructure to deliver on that, even during times of degradation of service or any attack that may attempt to disrupt the service.

Mr. David de Burgh Graham:

On another topic, in the EMV technology, what does EMV stand for? I forget what the “E” is, but “M” is Mastercard and “V” is Visa. Is that correct?

Ms. Terri O'Brien:

You know, the acronym's been around for a decade or so now, so—

The Chair:

It's a music store.

Mr. David de Burgh Graham:

HMV, that's a different thing.

Is there a qualitative difference between the credit card and debit card systems in anything we're talking about? What are the differences between the two networks and systems? Not that you have a biased position, but does one have an advantage over the other?

Ms. Terri O'Brien:

I spoke to this a bit earlier. I can only speak to the closed-loop network that we have, but we really have a layered security strategy in fraud monitoring and a robust security and risk strategy. It's multiple different controls and security standards that we have on our network.

The Mastercard and Visa networks are largely based out of the U.S., and then operate on a global basis, so they have a different set of standards that they're going to meet, a differently layered security structure that they're required to meet and a different risk appetite. I can't speak as much to theirs. I can only speak to the safety and soundness that ours provides to Canadians.

The Chair:

Thank you, Mr. Graham.

Just before I let you go, Wayne Gretzky famously said that you don't talk about where the puck is; you talk about where the puck is going. Some of the big developments in your industry are Apple, Amazon and various others. Would either one of you allow Apple into your systems?

Ms. Terri O'Brien:

I can share from an Interac perspective that we were the first to market with Apple in putting the Interac debit card in the Apple wallet. That was the TSP technology that we spoke about earlier. We also have the same Interac debit card in the Google wallet, in the Samsung wallet. Canadians do want to be able to tap their phones in the same way they tap their cards. We have found the abstraction and tokenization of that data to be extremely secure and to be a really good security protocol. Leveraging the EMV technology has created a really secure product that has very little fraud associated with it.

The Chair:

Canadian consumers using any one of those lines can be as secure as with a direct use of a Canadian bank product, then.

Ms. Terri O'Brien:

It's akin to direct use of your Interac debit card.

The Chair:

Right.

Payments Canada, go ahead.

Mr. Justin Ferrabee:

We don't interact at the point of sale and would have no reason to interact with Apple as a payment provider. Our staff would likely use it, but it's not something that's in our systems or anything. It's not a point of interaction for us.

The Chair:

Okay.

Thank you for that, and again I want to thank you for your patience. We have stressed your patience, but it is what it is. Thank you for a very interesting and useful testimony.

Ms. Terri O'Brien:

Thank you for having us.

The Chair:

With that, we're adjourned.

Comité permanent de la sécurité publique et nationale

(1640)

[Traduction]

Le président (L'hon. John McKay (Scarborough—Guildwood, Lib.)):

Mesdames et messieurs, je constate que nous avons le quorum.

Mesdames et messieurs les témoins, je vous présente nos excuses pour les difficultés découlant des votes; cependant, nous n'y pouvons rien et nous sommes dans cette période de l'année.

Avant de commencer, il y a eu quelques discussions à propos de la motion proposée par M. Dubé. Je vais accorder la période généreuse d'une minute afin de voir si les membres souhaitent se pencher sur cette motion.

Ma première question... Je ne devrais même pas demander cela. Je devrais plutôt déclarer que nous discuterons de cette motion dans le cadre d'une séance publique, plutôt qu'à huis clos. Sinon, nous gaspillerons davantage de temps.

Monsieur Dubé, souhaitez-vous proposer votre motion? Nous verrons si nous pouvons régler cela en une minute.

M. Matthew Dubé (Beloeil—Chambly, NPD):

J'espère qu'il me faudra moins de temps que cela. Je l'ai déjà présentée et j'en ai expliqué les motifs. C'est déjà consigné dans le compte rendu, donc je suis heureux de demander de passer aux voix.

Le président:

Madame Sahota.

Mme Ruby Sahota (Brampton-Nord, Lib.):

Je souhaite souligner que j'appuie la motion; toutefois, selon moi, le délai n'est pas très serré. La date limite est le 21 juin. À mon sens, il y a une certaine urgence en la matière, parce qu'un grand nombre de personnes se sentent mal à l'aise en ce qui concerne la façon dont le rapport a été diffusé initialement en décembre. Je recommanderais vivement que le ministre comparaisse dans les plus brefs délais.

Il s'agit d'un amendement favorable, pour ne pas permettre un délai aussi long, et qu'il comparaisse plutôt dès que possible.

Le président:

Monsieur Dubé.

M. Matthew Dubé:

Merci. Je comprends. Vu que notre comité a un calendrier chargé, j'apporterais un amendement pour que la motion se lise « à comparaître dans les plus brefs délais, mais au plus tard », et que l'on conserve la date qui figure déjà dans la motion, pour que l'expression « dans les plus brefs délais » ne signifie pas le moment où certains d'entre nous reviendront à la Chambre.

Mme Ruby Sahota:

Oui, je crois que c'est un bon amendement.

Le président:

D'accord, avons-nous un consensus quant à l'amendement?

Pour respecter la procédure, je dois demander à Mme Sahota de proposer l'amendement, et ensuite nous pourrons le mettre aux voix. Souhaitez-vous proposer votre amendement?

Mme Ruby Sahota:

Oui, voici mon amendement: que la motion soit modifiée par adjonction, après les mots « à comparaître », de ce qui suit : « dans les plus brefs délais, mais ».

Le reste de la motion demeure inchangé.

Le président:

Très bien. L'amendement est mis aux voix.

(L'amendement est adopté. [Voir le Procès-verbal])

(La motion modifiée est adoptée. [Voir le Procès-verbal])

Le président: C'est parfait. Merci beaucoup.

Nous allons maintenant porter notre attention aux témoins. Remarquez l'extraordinaire collaboration entre les membres du Comité de la sécurité publique, qu'on ne peut malheureusement pas retrouver ailleurs.

Nous accueillons d'abord Mme Terri O'Brien, d'Interac Corporation, qui sera suivie de M. Ferrabee et de M. Kyle, de Paiements Canada. Je vous remercie de votre patience.

Je vais vous demander de présenter vos exposés.

Je souligne à mes collègues qu'il est prévu que nous votions de nouveau à 17 h 30. Je présume que c'est à ce moment-là que la sonnerie d'appel retentira.

Le greffier du comité (M. Naaman Sugrue):

Il se peut que la sonnerie retentisse à 17 heures.

Le président:

D'accord, donc commençons au moins par les exposés. Nous avons entamé la réunion. Dieu merci.

Les membres consentent-ils de façon unanime à poursuivre les travaux jusqu'à ce que nous devions nous arrêter?

Des députés: D'accord.

Le président:

Très bien. La séance sera peut-être prolongée d'environ 20 minutes.

Allez-y. Encore une fois, je vous prie de nous excuser des procédures, mais nous devons les respecter.

Madame O'Brien, allez-y.

Mme Terri O'Brien (agente principale de gestion des risques, Interac Corp.):

Bonjour à tous. Je vous remercie beaucoup de l'occasion de présenter un exposé au Comité.

Je m'appelle Terri O'Brien. Je suis agente principale de gestion des risques à Interac Corp.

Dans ma déclaration préliminaire d'aujourd'hui, j'ai comme objectif de fournir des informations et des recommandations concernant la cybersécurité émanant de notre situation particulière dans le domaine des services financiers. Nombre d'entre vous connaissent déjà le service Interac. Comme des millions de Canadiens le font chaque jour, vous utilisez nos produits et nos services pour retirer de l'argent, effectuer des paiements et virer des fonds en toute sécurité et de façon pratique.

Ce que vous ne savez peut-être pas, c'est que la propriété et l'exploitation d'Interac sont entièrement canadiennes. Ce qui nous distingue, c'est non seulement nos racines canadiennes, mais aussi la confiance que nous accordent les Canadiens, confiance que nous avons gagnée au cours de nos 35 années d'existence. L'an passé, les Canadiens ont effectué 6,6 milliards de transactions et ont déplacé plus de 415 milliards de dollars à l'aide de notre gamme de produits, y compris le service de paiement par débit Interac et le service de virement électronique Interac.

Notre entreprise offre depuis des décennies des produits pour faciliter les paiements en temps réel entre les Canadiens, y compris notre service de virement électronique Interac, qui est offert depuis 2002. Bien entendu, la prestation de ces services comprend la détection des fraudes en temps réel, 24 heures sur 24, 7 jours sur 7. Les paiements en temps réel s'accompagnent de la nécessité d'offrir des capacités en matière de sécurité, de prévention et de détection en temps réel, que nous avons bâties au fil du temps. Nos capacités en temps réel relatives à la cybersécurité et aux fraudes aident les Canadiens à effectuer des transactions numériques en toute confiance à l'aide d'une variété de dispositifs et de plateformes, y compris des appareils mobiles. Cependant, nous respectons nos valeurs fondamentales, qui sont au coeur de notre histoire, notamment la responsabilité, la sécurité et la solidité de l'entreprise.

La sécurité constitue un élément clé de toutes nos activités, qu'il s'agisse de lutter contre la fraude dans notre réseau ou de protéger les renseignements financiers personnels des Canadiens. En conséquence, la cybersécurité est quelque chose à laquelle nous réfléchissons beaucoup.

Alors que notre économie et notre société sont devenues de plus en plus numériques, ce n'est un secret pour personne que le rythme de la cybercriminalité s'est accéléré. Comme vous l'avez assurément entendu dans certains témoignages, et comme nous l'avons lu et vu dans des rapports, il n'a jamais été aussi facile pour les gens dans le monde entier d'avoir accès à des biens et des services issus de la cybercriminalité. Les sites Web où l'on offre des produits liés à des activités frauduleuses et au cybercrime vendent actuellement de tout, de numéros de cartes de crédit à des authentifiants de comptes de médias sociaux de même que des attaques par déni de service. Tout cela est accessible grâce à un simple clic et moyennant plusieurs centaines de dollars.

À cet égard, les responsables d'Interac sont très satisfaits de constater que le gouvernement a créé le Centre canadien pour la cybersécurité l'an passé et a affecté de nouveaux fonds au domaine de la cybersécurité dans le dernier budget. Nous appuyons aussi la création de l'unité centralisée de lutte contre la cybercriminalité de la GRC.

Interac occupe une position unique au centre du secteur des services financiers au Canada. Nous agissons à titre de centre d'échange de paiements et de renseignements numériques visant à faciliter l'interopérabilité des paiements et des renseignements apparentés entre les banques canadiennes, les coopératives de crédit, les caisses populaires, les entités qui traitent les paiements, les entreprises et les consommateurs canadiens. En conséquence, notre situation unique nous permet de détecter des activités de cybercriminalité, y compris la fraude et le blanchiment d'argent, quand les fonds circulent dans notre système et entre les institutions.

Ainsi, Interac joue un rôle unique au centre de l'écosystème. Alors que chaque institution financière peut détecter des activités de fraude et de blanchiment d'argent dans les comptes de ses clients seulement, Interac peut déceler des activités criminelles dans toutes les institutions.

Afin de cerner des schémas d'activité criminelle, nous avons recours à des outils sophistiqués qui utilisent l'apprentissage machine et la modélisation comportementale prédictive. Quand nos systèmes relèvent un risque élevé d'activités frauduleuses, ou des activités qui soulèvent des soupçons à cet égard, nous prenons immédiatement des mesures, y compris l'arrêt ou l'interdiction de transactions.

Nous communiquons aussi directement avec les institutions de l'ensemble du système financier. Nous collaborons et échangeons des renseignements pour renforcer notre résilience et notre sécurité collectives dans l'économie canadienne. Pour vous donner un exemple pratique, cela s'applique quand nous constatons que des criminels financiers utilisent de nombreux comptes différents pour cibler une banque, une coopérative de crédit ou une caisse populaire en particulier. Dans cette situation, nous alertons l'institution visée, tout en travaillant simultanément à bloquer l'activité et à éliminer les vulnérabilités dans les différentes institutions d'envoi.

Parce que la cybercriminalité peut frapper à toute heure, nous ne baissons jamais la garde. Nos systèmes de détection et de prévention fonctionnent 24 heures sur 24, 7 jours sur 7, et nous avons toujours du personnel en poste, ce qui nous permet de lutter contre la cybercriminalité en temps quasi réel.

Nous améliorons constamment notre approche pour assurer la sécurité des transactions effectuées par les Canadiens au moyen de nos réseaux. En 2018, nos pratiques en matière d'atténuation des risques liés à la fraude ont permis de prévenir plus de 100 millions de dollars en perte causée par des fraudes, et nous avons fait fermer plus de 4 300 sites Web malveillants.

Nous collaborons aussi maintenant avec la GRC et les forces policières locales pour les soutenir et leur fournir de l'aide dans le cadre d'enquêtes liées à la fraude et aux activités criminelles connexes. La protection des renseignements financiers des Canadiens dans l'environnement changeant des modes de paiement constitue la principale priorité d'Interac.

(1645)



Depuis la création des portefeuilles électroniques, les consommateurs effectuent maintenant des paiements à l'aide de téléphones intelligents et d'autres appareils, vu que les paiements mobiles sont de plus en plus populaires auprès des consommateurs canadiens et répandus dans les commerces.

Afin de sécuriser les transactions effectuées à l'aide du réseau de paiement par carte de débit sur appareils mobiles, Interac a été, à l'échelle internationale, parmi les premières entreprises offrant un réseau national de paiement par débit à devenir fournisseur de service de jeton, ou FSJ. La plateforme FSJ d'Interac fait en sorte que les renseignements personnels liés à l'identité, y compris les numéros de compte, sont remplacés par des informations randomisées, ou des jetons, qui ne peuvent être utilisées par des pirates informatiques ou par d'autres criminels.

Accroître l'utilisation des jetons constitue une façon pour nous d'améliorer la cybersécurité au bénéfice des Canadiens. La collaboration et la coordination entre les entités privées et publiques jouent aussi un rôle central pour combattre le grand nombre de cybermenaces qui existent de nos jours.

À nos yeux, il y a trois domaines d'intérêt particulier qui peuvent grandement profiter aux Canadiens. Le premier concerne l'échange de renseignements avec les responsables de la nouvelle unité de lutte contre la cybercriminalité de la GRC. Le deuxième porte sur une approche plus ciblée de la détection des cybercriminels. Le troisième tient à l'éducation et à la sensibilisation continues du public.

Les responsables d'Interac sont d'avis qu'il y a une occasion de réduire les obstacles qui existent actuellement afin d'accroître l'échange de renseignements concernant des cybermenaces entre Interac et le gouvernement par l'entremise de canaux sécurisés et fiables. Pour cela, il faudra apporter des modifications législatives, de même qu'ajouter des dispositions refuges, afin de créer des canaux de communication et de dissiper les préoccupations touchant les mesures d'application.

Par ailleurs, en ce qui concerne la détection de cybermenaces, nous sommes d'avis qu'il est avantageux d'utiliser une approche plus ciblée comme point clé. La façon dont les cybermenaces sont détectées aujourd'hui s'apparente à la pêche à la drague, en ce sens que toutes les transactions font l'objet d'un examen et d'une analyse de même envergure. Un modèle plus efficace consisterait à mettre l'accent sur les listes de cybercriminels et de cybermenaces connus, ainsi que sur les vecteurs et comportements, en utilisant des renseignements provenant du gouvernement et des services de police, des institutions financières et d'Interac.

Interac pourrait jouer un rôle central à cet égard, compte tenu de sa capacité à détecter les activités criminelles dans l'ensemble de son réseau et de ses liens avec plus de 300 institutions financières. Interac, qui est au coeur de l'écosystème actuel, pourrait constituer un partenaire fiable en matière d'échange de renseignements avec la GRC à l'avenir, pour permettre aux deux organisations d'appliquer une approche ciblée à la détection et à la prévention des crimes, au lieu de soumettre toutes les transactions à un examen. Nous sommes d'avis que le gouvernement peut, et devrait, adopter un rôle de leadership en établissant et en maintenant des processus et des chaînes de responsabilité clairs.

Pour terminer, les responsables d'Interac reconnaissent qu'il est nécessaire d'informer et de sensibiliser de façon continue les Canadiens aux cybermenaces et aux pratiques exemplaires en matière de sécurité pour qu'ils connaissent davantage les risques actuels et les moyens de protéger leur sécurité. Nous menons de façon régulière des campagnes proactives conçues pour éduquer et informer. Nous participons aussi à des forums, comme le groupe de travail sur l'éducation du public du Bureau de la concurrence, pour échanger nos idées et communiquer nos résultats. Nous collaborons aussi activement avec la GRC et les organismes locaux d'application de la loi.

Nous serons heureux de collaborer davantage avec le gouvernement à l'avenir en matière d'échange de renseignements, de détection ciblée et d'éducation du public.

Enfin, j'aimerais souligner l'engagement d'Interac à l'égard de la cybersécurité et notre volonté de collaborer avec le gouvernement, comme nous le faisons aujourd'hui. Nous appuyons les initiatives et les investissements récents du gouvernement fédéral, et nous croyons que des activités continues d'éducation et des discussions comme celle-ci peuvent faire progresser des solutions à l'échelle de l'industrie pour aider à protéger les Canadiens contre la cybercriminalité.

Merci beaucoup.

(1650)

Le président:

Merci beaucoup, madame O'Brien.

Monsieur Ferrabee, allez-y. [Français]

M. Justin Ferrabee (chef des opérations, Paiements Canada):

Bonjour.

Je suis Justin Ferrabee. Je suis le chef des opérations de Paiements Canada.[Traduction]

Merci d'avoir invité Paiements Canada à contribuer à l'étude.

Laissez-moi commencer par rassurer le Comité quant au fait qu'à Paiements Canada, la sécurité est notre plus grande priorité dans tout ce que nous faisons. Elle retient l'intérêt et exige des ressources et des investissements plus que tout autre besoin. Cela signifie que nous concevons, examinons, modifions, mettons à jour et exploitons nos systèmes pendant que nous surveillons les risques. Nous considérons la sécurité comme une condition préalable à l'innovation dans le milieu du paiement. Nous demeurons dans un état de vigilance constant et intervenons de façon décisive, au besoin, afin de nous assurer que nous gérons les risques adéquatement et que nous restons en sécurité.

Au cours des prochaines minutes, je vous expliquerai qui nous sommes et ce que nous faisons, je décrirai notre approche axée sur la collaboration en matière de cybersécurité, et je vous adresserai nos recommandations pour la réduction du risque dans le secteur financier.

Paiements Canada exploite les systèmes de compensation et de règlement nationaux du Canada. Même si l'organisme est peu connu de la plupart des Canadiens, il joue un rôle essentiel dans l'économie et dans les activités quotidiennes d'institutions financières et d'entreprises de partout au pays. Les systèmes de Paiements Canada permettent de s'assurer que les paiements entre institutions financières — l'ensemble des paiements effectués dans l'économie — sont effectués de façon sûre et sécurisée, chaque jour. La valeur des transferts est supérieure à 50 billions de dollars par année.

Nous sommes guidés par notre mandat et par les objectifs en matière de sécurité publique que sont la sûreté, la sécurité et l'efficience du système de compensation et de règlement canadien. En consultation avec les membres et les intervenants, nous maintenons également un cadre de règles et de normes qui atténuent les risques et facilitent l'échange de paiements et le déploiement de nouveaux produits et services de paiement.

Étant donné que les cybermenaces évoluent rapidement, Paiements Canada accroît continuellement ses défenses. Nous avons établi un plan d'action en matière de cybersécurité fondé sur des principes de conception sécurisés et sur les normes de l'industrie. Le plan garantit que nous surveillons constamment nos activités et que nous corrigeons les lacunes afin de maintenir leur résilience.

Paiements Canada fonctionne au sein d'un réseau d'institutions financières, d'organismes de réglementation et d'autres infrastructures des marchés financiers. Nous sommes tenus de respecter les normes de sécurité mondiales les plus élevées, y compris les consignes de la Banque des règlements internationaux intitulées Guidance on Cyber Resilience for Financial Market Infrastructures, le programme pour la sécurité de la clientèle de SWIFT et le Cadre de cybersécurité du NIST.

Nous travaillons également en étroite collaboration avec la Banque du Canada pour nous assurer que nous répondons aux exigences relatives à l'atténuation des cybermenaces au moyen d'évaluations internes et externes. En dehors de ces exigences, nous établissons des règles et des normes que nos membres doivent respecter relativement à la sécurité des effets de paiement et à la connectivité des systèmes.

D'un vaste point de vue industriel axé sur la collaboration, nous travaillons très étroitement avec des partenaires du secteur financier par l'entremise de groupes industriels du domaine de la cybersécurité, comme le Conseil canadien de gouvernance en matière de cybersécurité des services financiers, le groupe de spécialistes de la cybersécurité de l'Association des banquiers canadiens et du Financial Services Sharing and Analysis Center.

Par ailleurs, nous participons à des exercices pour la continuité des activités et la cyberrésilience au sein de l'industrie et dirigeons de tels exercices, et nous échangeons des renseignements avec des organismes et organisations partenaires dans le milieu de la cybersécurité. Il s'agit notamment du Centre canadien pour la cybersécurité, de la Direction générale de la protection des infrastructures essentielles de Sécurité publique Canada, de l'Équipe nationale des infrastructures essentielles de la GRC et de l'Échange canadien de menaces cybernétiques. En plus de ces collaborations, nous intervenons activement au sein du milieu international du cyberrisque avec nos partenaires de la Banque du Canada.

Dans le cadre de toutes ces activités, nous nous classons continuellement dans le premier percentile de l'industrie mondiale pour la sûreté et la sécurité et nous nous comparons constamment à nos homologues étrangers.

En étroite collaboration avec nos institutions financières membres, la Banque du Canada et le ministère des Finances, nous entreprenons actuellement un programme majeur visant à moderniser les systèmes de paiement du Canada afin de répondre à la demande croissante en produits de paiement nouveaux, sécuritaires et novateurs. La modernisation se soldera par l'établissement d'une nouvelle infrastructure de paiement conçue pour renforcer le système actuel.

Grâce à notre diligence et à notre progression vers des systèmes de paiement modernes, nous avons cerné des lacunes qui existent en dehors de notre domaine, sur lesquels l'étude pourrait avoir une incidence. La coordination entre les secteurs public et privé est manifestement nécessaire dans le cadre de la réaction aux attaques perpétrées contre l'infrastructure essentielle, de même qu'un point de contact unique et clair dans le secteur public. Ces améliorations nous aideront à mieux échanger de l'information, de façon protégée, ainsi qu'à gérer et à prévenir les futures attaques. La publication en 2018 de la Stratégie nationale de cybersécurité et les récentes avancées réalisées par le Centre canadien pour la cybersécurité seront utiles à ce chapitre.

En même temps, il faut rendre prioritaire la reprise des systèmes cybernétiques essentiels en cas de panne généralisée. Une politique qui étend les exigences en matière de cybersécurité jusqu'à la chaîne d'approvisionnement des systèmes essentiels contribuerait à l'amélioration de la résilience des composantes qui dépendent de l'infrastructure nationale et du système financier dans leur ensemble.

(1655)



Des investissements dans les politiques et dans la cybersécurité peuvent également favoriser l'atténuation du risque pour la chaîne d'approvisionnement numérique. La chaîne d'approvisionnement moderne comprend souvent des centaines, voire des milliers, de composants logiciels qui sont intégrés dans des systèmes essentiels provenant d'entreprises et de communautés de partout dans le monde. Il est important de faire le suivi et l'inventaire de tous les composants d'un système et de s'assurer qu'ils restent sécurisés.

Dans le milieu de la salubrité des aliments, des normes d'étiquetage obligent les entreprises à informer les clients au sujet des ingrédients des produits et de leur valeur nutritive, mais, dans le monde informatique, aucune norme de ce genre n'aide les clients à comprendre quels composants et risques pourraient être associés au logiciel. Une politique favorisant l'atténuation du risque pour la chaîne d'approvisionnement numérique est nécessaire, et l'étiquetage systémique des composants logiciels devrait être étudié du point de vue de ses avantages pour l'économie.

En outre, nous croyons fermement que l'on pourrait en faire plus pour remédier à la pénurie de main-d'oeuvre qualifiée en matière de cybersécurité. On manque déjà de gens aptes et, compte tenu de la gravité croissante des menaces, on a besoin de politiques et de stratégies permettant de former, d'attirer et de maintenir en poste des travailleurs qualifiés. On pourrait ainsi s'assurer que les entreprises canadiennes sont capables de croître et d'innover en toute sécurité à mesure qu'elles étendent leur utilisation des technologies numériques.

Enfin, nous considérons qu'il faut informer et sensibiliser les Canadiens au sujet de l'importance d'une bonne hygiène cybernétique afin de protéger leurs renseignements personnels et financiers en ligne. Par exemple, actuellement, des millions de Canadiens recherchent des applications technologiques et financières qui imitent les services des systèmes bancaires ouverts. En cherchant ces services, ils regroupent des informations relatives à leurs comptes sur de multiples plateformes et s'exposent ainsi à des cybermenaces.

Paiements Canada a été ravi de constater que plusieurs de ces problèmes — et des engagements à l'égard de les régler — ont été inclus dans le budget fédéral de 2019, mais nous savons que les cybermenaces ne disparaîtront pas. Elles évoluent tout aussi rapidement, voire plus vite, que la numérisation et la modernisation dans toutes les industries. Nous devons travailler ensemble afin de renforcer la résilience face à ces menaces d'une manière qui garantira que l'innovation ne sera pas ralentie.

Même si toutes les organisations ont la responsabilité de se protéger contre les attaques cybernétiques, il est beaucoup plus efficace de le faire de façon collective ou sous la forme d'un réseau. La cybersécurité est un enjeu qui touche l'économie canadienne et notre sécurité nationale dans leur ensemble. Paiements Canada est enthousiaste à l'idée de contribuer à l'établissement d'une stratégie de défense fondée sur un réseau et de la soutenir.

Merci.

(1700)

Le président:

Merci.

Chers collègues, il nous reste 12 minutes. Si nous continuons jusqu'à cinq minutes avant le vote, vous obtiendriez quatre minutes, puis il y aurait un autre tour de quatre minutes, et ce serait à peu près tout.

Je vous demanderais ce que vous pensez de la possibilité que nous puissions revenir passer une heure auprès de ces personnes, si elles sont disponibles. Pouvons-nous faire cela?

M. Glen Motz (Medicine Hat—Cardston—Warner, PCC):

Je ne serai pas là.

Le président:

D'accord, il n'y a pas de votes, pas de motions. C'est entendu. Nous reviendrons pour une heure. J'ai simplement l'impression que nous abusons du temps de ces personnes.

Nous serons de retour ici, probablement vers 17 h 30.

Sur ce, Mme Sahota dispose de quatre minutes, puis M. Paul-Hus aura le même temps de parole.

Mme Ruby Sahota:

Merci.

Madame O'Brien, vous avez parlé de sites Web malveillants. À quelle fréquence observez-vous la création de tels sites Web? Quelle part de vos capacités est utilisée pour leur traçage? Pourriez-vous nous expliquer un peu comment vous tentez de sensibiliser les consommateurs afin qu'ils ne soient pas dupés?

Mme Terri O'Brien:

L'an dernier, Interac a traité 4 300 de ces sites Web d'hameçonnage. Nous avons travaillé avec un chef de file de l'industrie, un de nos partenaires, afin de les retirer. C'est un partenaire semblable qui travaille auprès de nombreuses institutions financières. Les grandes institutions financières font l'expérience d'un bien plus grand nombre d'incidents d'hameçonnage ou de sites Web frauduleux qui sont créés.

Les sites Web sont conçus pour recueillir des renseignements personnels qui permettent d'identifier une personne — les justificatifs d'identité et autres renseignements du genre —, afin de pouvoir s'emparer de leurs comptes bancaires ou d'avoir accès à d'autres systèmes de traitement des paiements dans le but de vider les fonds. Voilà l'intention des gens qui créent ces sites Web. Nous constatons qu'ils se sont complexifiés au cours des dernières années. Je pense que les gens conviendraient du fait qu'ils s'améliorent pour ce qui est de voler les logos et les marques et d'avoir l'air de sites Web légitimes.

Nous participons activement à la sensibilisation du public à cet égard. Il est très important que vous sachiez que votre institution financière ne vous enverra pas de liens et de courriels afin que vous cliquiez et vous retrouviez sur ces sites Web malveillants. Nous avons des moyens de sensibiliser le public afin qu'il vérifie pour s'assurer qu'il se trouve bel et bien sur le site Web de sa propre institution financière ou sur le site Web d'Interac, pas sur un faux site.

Mme Ruby Sahota:

Vous avez également abordé un peu les portefeuilles mobiles, et cela fait maintenant un moment qu'Interac utilise un système sans contact. Cette situation a-t-elle entraîné une augmentation au chapitre des incidences de la fraude? Renonçons-nous à la sécurité par souci de commodité? Pourrez-vous nous éclairer un peu à ce sujet?

Mme Terri O'Brien:

En fait, je dirais que non. La technologie mobile est plus sécuritaire. Elle s'apparente à la technologie sans contact, alors elle utilise la technologie des cartes EMV. Cette technologie comprend un assez bon nombre de niveaux. J'ai également mentionné la création de jetons. Ce qui est stocké dans les téléphones, en réalité, c'est un jeton, pas le numéro de carte. On mise sur la technologie sans contact, qui est très sécuritaire. Nous avons presque éliminé la fraude par débit Interac. C'est en grande partie grâce aux cartes à puce et aux NIP. Ce qui reste, et le taux est vraiment bas — il ne pourrait pas être plus bas —, découle de codes malveillants exploitant une faille de sécurité aux États-Unis, où il existe encore des terminaux à bande magnétique, mais, effectivement, au Canada, cette technologie est extrêmement sécuritaire.

Mme Ruby Sahota:

Nous avons un peu entendu parler du fournisseur de service de jeton par les témoins de Mastercard quand ils ont comparu. Je n'en avais jamais entendu parler auparavant. On dirait que — et corrigez-moi si je me trompe — ce système n'est pas utilisé constamment. Pourquoi Interac n'adopte-t-il pas complètement le système de jetons afin que les renseignements personnels soient éliminés?

(1705)

Mme Terri O'Brien:

Interac a élaboré et déployé son propre fournisseur de service de jeton. Il est exact de dire que nous n'avons recours aux services d'aucun autre fournisseur, que ce soit Mastercard ou un autre. Nous possédons notre propre fournisseur de service de jeton. Nous déployons notre propre technologie parce qu'elle est très sécuritaire et que nous pouvons gérer et maintenir les mesures de sécurité qui s'y rattachent.

Le président:

Je vous remercie, madame Sahota. [Français]

Monsieur Paul-Hus, vous avez la parole pour quatre minutes, s'il vous plaît.

M. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, PCC):

Merci, monsieur le président.

Messieurs, je vous remercie de votre présence. Nous sommes désolés du chambardement dû aux votes à la Chambre.

Dans le cas d'Interac, si je fais un virement, le destinataire aura 30 jours pour accepter les fonds. À quel endroit l'argent qui sort de mon compte de banque virtuellement est-il gardé? Quel est le fonctionnement? [Traduction]

Mme Terri O'Brien:

C'est une très bonne question. Je pense qu'elle concerne notre produit Virement Interac, qui compte plusieurs options différentes. Le dépôt automatique est une transaction immédiate en temps réel. Celle que vous avez décrite, c'est notre service de transaction de type « question et réponse », où le destinataire doit répondre à une question de sécurité afin que l'argent soit déposé dans son compte. Dans ce cas, comme la personne ne consulte peut-être pas ses courriels tous les jours, elle dispose de 30 jours pour accepter le virement. Toutefois, ce qui arrive, dans le cas de la personne qui envoie la transaction, c'est que l'argent est retiré de son compte. Il s'agit d'un modèle de fonds immédiatement disponibles alors les fonds sont accessibles. Ils sont détenus par l'institution financière qui les envoie dans un compte en suspens, puis, une fois que le destinataire a répondu à la question de sécurité, ils sont libérés. Ils sont sécurisés en tout temps. [Français]

M. Pierre Paul-Hus:

Si j'ai bien compris, si je fais affaire avec la Banque Royale, l'argent ne s'en va pas chez Interac. L'argent va rester dans un compte de la Banque Royale.

En fait, souvent, il y a une inquiétude. Quand le transfert est effectué, on n'a plus de contact. On attend que le destinataire accepte les fonds. Par contre, si cette personne ne reçoit pas l'argent, on s'inquiète de savoir où est rendu l'argent. C'est donc la banque émettrice qui l'a.

J'essaie de comprendre le système technique. D'un point de vue virtuel, est-ce qu'une autre personne pourrait intercepter l'envoi? Est-ce possible qu'un pirate informatique intercepte un transfert? Dans un tel cas, qu'est-ce qui pourrait être fait? [Traduction]

Mme Terri O'Brien:

La réponse est non. Il s'agit d'un réseau privé en boucle infinie hautement sécurisé. Même si Interac exploite l'infrastructure, il a également établi la réglementation et la gouvernance des activités par lesquelles les fonds sont virés à partir de chaque institution financière. Ce que nous faisons, c'est fournir nos services aux institutions financières qui veulent offrir l'option du type « question et réponse ». Toutefois, la transaction ne pourrait à aucun moment être interceptée. L'argent est détenu en toute sécurité par l'institution financière, puis, une fois libéré, il est acheminé vers l'institution destinataire, de façon sécuritaire, par l'entremise de l'infrastructure d'Interac. [Français]

M. Pierre Paul-Hus:

Donc, vous dites que le chemin du transfert est parfaitement sécurisé. Il n'y a aucune possibilité d'intervenir. [Traduction]

Mme Terri O'Brien:

Exactement.

Nous disposons d'un réseau privé entièrement sécurisé et en circuit fermé parmi les quelque 300 institutions financières, coopératives de crédit et caisses populaires de tout le Canada. [Français]

M. Pierre Paul-Hus:

Vous avez parlé un peu du gouvernement. Quelles lois actuellement devraient être modifiées pour être plus efficaces pour vous? Il y a sûrement des mesures législatives qui ne sont pas efficaces, qui devraient être améliorées. [Traduction]

Mme Terri O'Brien:

C'est une excellente question.

Aujourd'hui, nous travaillons activement avec la GRC et les forces de l'ordre sur l'échange de certaines informations, même si cela nécessite souvent l'obtention d'une ordonnance de communication. Nous proposons que certaines mesures législatives relatives à la protection de la vie privée et d'autres dispositions refuges soient adoptées, ce qui permettrait d'avoir une approche beaucoup plus ciblée relativement aux canaux de confiance que nous avons aujourd'hui, ce qui nous permettrait de nous concentrer sur la cybercriminalité et de gérer cet enjeu de manière beaucoup plus ciblée.

Nous constatons que nos communications sont aujourd'hui assez efficaces, mais elles sont imprécises et limitées à bien des égards. Nous pensons que certaines dispositions législatives nous permettraient assurément d'accroître les échanges ouverts d'information, ce qui bénéficierait à...

Le président:

Merci, monsieur Paul-Hus.

Sur ce, je vais suspendre la séance, et nous poursuivrons dès que possible pendant une autre heure. Il n'y aura aucune motion ou autre.

Encore une fois, je vous remercie de votre patience.

(1705)

(1725)

Le président:

Nous reprenons. Je constate que nous avons le quorum.

Monsieur Motz, vous n'avez jamais été aussi populaire de toute votre vie.

Nous allons commencer par des séries de questions de quatre minutes, puis nous aurons des tours de quatre minutes, puis de cinq minutes. M. Dubé devrait normalement être le prochain, mais je ne le vois pas; je vais donc passer à M. Picard. Quand M. Dubé arrivera, nous reviendrons à lui.

Encore une fois, je vous remercie de votre patience.

Monsieur Picard, vous avez quatre minutes.

M. Michel Picard (Montarville, Lib.):

Merci.

Madame O'Brien, vous avez parlé de cybercriminalité et de fraude. Quelle est la nature de la fraude que vous avez détectée sur votre système et à laquelle vous avez réagi dans le passé?

Mme Terri O'Brien:

La fraude change constamment, et elle se propage également en fonction des vulnérabilités des différentes institutions financières. La fraude la plus courante que nous observons, c'est ce qu'on appelle la fraude impliquant la prise de contrôle de comptes. Dans l'exemple de tout à l'heure, nous avons parlé de certaines évaluations relatives à l'hameçonnage, aux justificatifs d'une personne ou aux renseignements personnels identifiables qui permettent aux criminels de prendre le contrôle des comptes bancaires de ces personnes. Ensuite, ils commencent une pratique systémique qui consiste à vider les comptes bancaires en question, pour parfois envoyer les fonds à différentes institutions de réception, et ainsi retirer l'argent du système financier.

À Interac, nous nous trouvons dans une position unique, car nous pouvons voir que la fraude s'étend d'une institution à une autre dans tout notre réseau et que l'argent est envoyé à différentes institutions financières. Nous avons élaboré un système de détection des fraudes qui reconnaît les tendances et qui peut détecter ce comportement. Ensuite, soit le système bloque les transactions, soit il les suspend pour qu'on puisse réaliser un examen approfondi.

M. Michel Picard:

Quand vous bloquez une transaction, cela signifie qu'une personne qui se trouve quelque part possède les informations du titulaire de la carte. La personne peut donc ensuite avoir accès au compte bancaire du titulaire de la carte, et commencer à chercher à avoir plus que de l'argent, à obtenir des renseignements personnels qui peuvent être utilisés pour le vol d'identité et ainsi de suite. Vous pouvez bloquer une transaction, mais une partie des dommages a déjà été causée, et nous n'avons encore aucun contrôle sur le type d'informations qui ont été volées à ce stade.

(1730)

Mme Terri O'Brien:

Pas toujours. Je ne vais pas décrire tous les modèles comportementaux, mais je dirais que — il est à noter que 99,9 % des transactions sont approuvées, et que c'est simplement un indicateur de notre volume —, quand une transaction est réellement bloquée, c'est qu'il s'agit d'une opération frauduleuse connue. Nous disposons de renseignements qui nous permettent de reconnaître certaines transactions comme étant frauduleuses, généralement grâce à l'échange d'informations auquel nous participons activement avec les institutions financières, dans le cadre duquel nous recevons et transmettons de l'information. Cela arrive parfois avec la GRC et les forces de l'ordre également. C'est cet échange de renseignements qui est réellement essentiel pour que nous puissions bloquer les transactions frauduleuses connues. Dans le cas des blocages, les clients ne sont pas touchés.

M. Michel Picard:

Nous sommes encore coincés avec les NIP à quatre chiffres, ce qui donne peut-être 10 000 combinaisons possibles. Est-ce suffisant de nos jours?

Mme Terri O'Brien:

Je dirais que oui. Les cartes à puce et le NIP, les technologies des cartes à puce avec les niveaux de sécurité EMV, combinées au NIP connu uniquement par l'utilisateur, ont été très efficaces. Nous avons presque éradiqué la fraude sur les transactions Interac. La fraude se situe bien en deçà du point de référence. Comme je l'ai mentionné tout à l'heure, il s'agit seulement des derniers terminaux à bande magnétique aux États-Unis.

Je pense que c'est également efficace grâce à la sensibilisation du public. Le public a été beaucoup sensibilisé sur le fait de ne pas communiquer son NIP. Même dans les médias populaires, dans les émissions télévisées, on parle du fait que parfois, même des conjoints ne communiquent pas leur NIP entre eux. Sensibiliser le public sur la protection du NIP et sur le fait de le garder secret a été très efficace.

M. Michel Picard:

Vous avez dit avoir un réseau privé dans les banques, mais quand j'achète quelque chose dans un magasin, ma transaction passe-t-elle par un réseau entièrement privé et fermé? Si ce n'est pas le cas, dois-je le faire sur Internet ou ailleurs pour que ce soit entièrement sécurisé?

Mme Terri O'Brien:

Vous êtes entièrement en sécurité. Les claviers d'identification proviennent tous des acquéreurs et des services de traitement des paiements, et ils font tous partie du réseau en circuit fermé. Chaque point du réseau est sécurisé.

M. Michel Picard:

Qu'en est-il du fait d'aller...

Le président:

Merci, monsieur Picard.

Mme Terri O'Brien:

Cela ne passe pas par un réseau Internet ouvert.

Le président:

Je sais que vous étiez sur une lancée.

M. Michel Picard:

Non, je sais. Merci.

Mme Terri O'Brien:

Ce sont de bonnes questions. Merci.

Le président:

Monsieur Cannings, bienvenue au Comité. Je vois que vous n'êtes pas M. Dubé.

M. Richard Cannings (Okanagan-Sud—Kootenay-Ouest, NPD):

Non, pas à ma connaissance.

Le président:

Nous avions réservé quatre minutes pour M. Dubé étant donné qu'il était le prochain intervenant, mais vous pouvez peut-être reprendre votre souffle, et nous reviendrons à vous.

M. Richard Cannings:

J'aimerais reprendre mon souffle et comprendre de quoi nous parlons exactement.

Le président:

Eh bien, nous essayons de comprendre la même chose.

Monsieur Motz, vous avez cinq minutes.

M. Glen Motz:

Merci, monsieur le président.

Tout d'abord, je remercie les deux organisations d'être ici aujourd'hui.

Je commencerai par vous, madame O'Brien. Les Canadiens se demandent — et je pense connaître la réponse, mais vous pouvez peut-être nous éclairer — si les virements électroniques Interac sont traçables.

Mme Terri O'Brien:

Pourriez-vous nous en dire plus sur la question? Que voulez-vous dire par traçables?

M. Glen Motz:

Nous parlons aujourd'hui de la cybersécurité, donc si nous avons un problème avec un virement électronique, cette transaction est-elle traçable, s'il s'agit d'une personne mal intentionnée?

Mme Terri O'Brien:

Une partie de mon témoignage aujourd'hui a porté sur le fait d'encourager la collaboration ouverte, d'augmenter l'échange d'information et d'adopter les dispositions refuges relativement à la GRC. Les transactions sont traçables. Toutefois, dans le contexte actuel, si la GRC est à la recherche d'une personne mal intentionnée, comme vous le dites, elle gardera secrètes certaines informations sur cette personne. Elle émettra parfois une ordonnance de communication, auquel cas nous communiquerons l'information que nous avons, comme l'exige la loi, et elle continuera son enquête sur cette personne.

Chez Interac, nous échangeons certaines informations avec les institutions financières et les forces de l'ordre. Nous pouvons donc disposer d'indicateurs qui guident nos modèles comportementaux, mais la GRC nous communique la façon dont elle retrace les personnes mal intentionnées dès qu'elle est en mesure de le faire.

(1735)

M. Glen Motz:

Merci.

Dans votre déclaration préliminaire, vous avez parlé d'un système d'échange proactif; du moins, je crois que c'est le terme que vous avez utilisé.

Pourriez-vous nous décrire, dans un monde idéal, quel serait le type d'échange entre votre organisation ou l'industrie de manière générale et les forces de l'ordre pour protéger les consommateurs? À quoi cela ressemblerait-il?

Mme Terri O'Brien:

Bien sûr. Je serai heureuse d'utiliser mon don de voyance et de proposer quelques bonnes idées. Nous adorerions certainement...L'unité de la cybercriminalité, en particulier au sein du gouvernement et de la GRC, ainsi que les forces de l'ordre surveilleront régulièrement certains sites de vente en ligne sur le Web indexé ou sur le Web invisible ou caché. Ces plateformes de vente en ligne ouvrent et ferment assez fréquemment, car ils tentent de cacher certains de leurs sites et certaines de leurs caractéristiques identifiables.

Dans un environnement d'échange ouvert, nous saurions cela très rapidement, et, par conséquent nous aurions la capacité — pour répondre à votre question de tout à l'heure — de tracer les personnes malveillantes qui apparaissent sur ces sites de vente en ligne en temps réel. Si cette information nous était ouvertement communiquée, nous pourrions en faire beaucoup plus pour bloquer ou surveiller les transactions potentiellement frauduleuses.

M. Glen Motz:

Les représentants de Paiements Canada, pourraient-ils intervenir sur cette question? Dans un monde idéal, quel véhicule ou quel moyen les institutions financières ou le secteur financier auraient-ils pour échanger des informations avec les forces de l'ordre, de façon à mieux protéger les consommateurs, par rapport à ce que nous faisons maintenant?

M. Justin Ferrabee:

Je vais laisser notre chef de la sécurité de l'information, Martin Kyle, répondre à cette question, car nous sommes actifs à cet égard.

M. Martin Kyle (chef de la sécurité de l'information, Paiements Canada):

Il existe beaucoup d'organisations et de groupes d'échange qui sont déjà mis en place. Dans nos commentaires, nous avons un peu parlé d'un groupe d'échange d'informations avec l'Association des banquiers canadiens, par exemple. Nous avons parlé d'échange d'informations avec une organisation sans but lucratif, l'Échange canadien de menaces cybernétiques, dont un représentant a témoigné devant le Comité, je crois. Nous échangeons des informations avec le Centre canadien pour la cybersécurité et avec la GRC. Tous ces différents groupes d'échange nous permettent d'avoir davantage d'information sur les menaces existantes et d'apprendre à détecter ces menaces dans nos systèmes, ce qui nous permettra ensuite de réagir à ces menaces.

M. Glen Motz:

Vous avez dit dans votre déclaration préliminaire que Paiements Canada transfère quotidiennement plus de 200 milliards de dollars par différents réseaux. Si c'est le cas, comment gardez-vous ces grosses sommes d'argent en sécurité pendant vos transferts? À quoi cela ressemble-t-il?

M. Martin Kyle:

Comme vous le savez, notre priorité est la sécurité de ces transferts. Nous assurons la sécurité de nos systèmes en réduisant la surface d'attaque, comme nous l'appelons dans le métier. Nous avons un groupe de membres très restreint à qui nous autorisons l'accès à ce réseau, lequel est très distinct des autres réseaux. Cette petite surface d'attaque nous permet de prêter une grande attention à ce qui s'y passe et d'identifier les menaces, de surveiller les activités et de réagir aux choses qui se produisent en temps réel.

Le président:

Merci, monsieur Motz.

Monsieur Cannings, avez-vous retrouvé votre souffle ou dois-je passer à Mme Dabrusin?

M. Richard Cannings:

J'improviserai.

Le président:

D'accord, vous avez quatre minutes.

M. Richard Cannings:

Merci.

Comme vous pouvez le comprendre, je suis un peu surpris d'être ici. Je viens de descendre de l'avion et j'ai voté, puis on m'a amené ici. Malheureusement, je n'ai pas pu entendre votre témoignage. Je n'ai aucune idée des questions qui ont déjà été abordées dans cette étude non plus.

Une question me vient à l'esprit au sujet des paiements avec les cartes à puce. Vous avez peut-être abordé la question, et je m'en excuse dans ce cas. Le Canada a été un utilisateur précoce, du moins par rapport aux États-Unis. Je m'interroge sur deux choses. Est-ce un problème si le Canada utilise largement les cartes à puce et pas les États-Unis? Je ne sais pas si cela est en train de changer. Y a-t-il un problème entre les deux pays au sujet de la sécurité de ces systèmes? La situation aux États-Unis est-elle plus préoccupante qu'ici, ou vice versa?

(1740)

Mme Terri O'Brien:

C'est une très bonne question. Nous avons pratiquement éradiqué la fraude au Canada liée aux cartes de débit avec la puce et le NIP. C'est une technologie très efficace contre la fraude, doublée d'une mesure de contrôle, et seul le détenteur de la carte connaît le NIP. Jusqu'à présent, la technologie des cartes EMV a été très efficace.

Le fait que les États-Unis n'aient pas adopté la technologie EMV présente des risques pour nous. Le secteur exerce de plus en plus de pressions sur le pays pour qu'il l'adopte. Là-bas, le nombre de terminaux de point de vente permettant l'utilisation de cette technologie augmente. Dans certains terminaux de point de vente, il est possible d'utiliser la carte à puce et la signature, mais les États-Unis ne sont pas complètement passés à un environnement permettant l'utilisation des cartes à puce et à NIP.

C'est un très bon exemple d'une situation où un consortium du secteur, en collaboration avec les entreprises de traitement des paiements qui sont au coeur de l'industrie et les partenaires de règlements, peuvent lutter contre la fraude lorsqu'ils s'unissent pour trouver des solutions.

Aux États-Unis, les Canadiens courent certainement moins de risques, mais la fraude liée aux cartes à bande magnétique est toujours d'actualité.

M. Richard Cannings:

Utiliser ma carte aux États-Unis pour acheter de l'essence présente un inconvénient, car on demande une carte à bande magnétique et un code postal. Bien entendu, les codes postaux canadiens ne fonctionnent pas là-bas.

M. David de Burgh Graham (Laurentides—Labelle, Lib.):

Je peux vous l'expliquer.

M. Richard Cannings:

Je ne sais pas. Au Texas, c'est un problème.

J'allais vous poser une question sur les copieurs de cartes et les puces. Cela ne présente-t-il pas un problème?

Mme Terri O'Brien:

C'est beaucoup moins problématique pour ce qui est des cartes à puce et à NIP. Les copieurs de cartes existent toujours, bien qu'ils doivent être dotés de caméras pour saisir le NIP, mais ce n'est pas une méthode de fraude très astucieuse, car une main pourrait gêner la saisie du NIP. Donc, les risques sont minimes au Canada. Les copieurs de cartes qui copient la bande magnétique continuent de présenter un risque aux États-Unis. La bande magnétique est facile à copier.

M. Richard Cannings:

Ce sera tout pour moi.

Merci.

Le président:

Si vous avez besoin d'aide concernant le piratage, M. Graham peut vous aider.

Madame Dabrusin, vous disposez de cinq minutes, s'il vous plaît.

Mme Julie Dabrusin (Toronto—Danforth, Lib.):

Merci.

Ma première question s'adresse probablement davantage aux représentants de Paiements Canada. Je lisais une lettre que j'avais reçue d'une personne qui habite dans ma collectivité. Nous sommes à un point tournant où une personne peut encore signer un chèque en papier, mais le destinataire peut aussi maintenant le déposer en le prenant en photo. Toutefois, ce chèque continue de circuler avec le destinataire, qui détient les renseignements personnels et la signature de l'émetteur du chèque. Ce dernier compte sur cette personne pour qu'elle protège ses renseignements, quoiqu'il puisse s'agir d'un particulier qui ne dispose d'aucun moyen de les utiliser.

Vous a-t-on déjà informé que cela posait problème? Si c'est le cas, avez-vous des conseils à donner aux personnes à ce sujet et sur ce qu'ils peuvent faire pour protéger leurs renseignements personnels?

M. Justin Ferrabee:

Je peux parler au nom de Paiements Canada. Nous sommes à l'échelon de l'infrastructure. Nous rédigeons les règles portant sur la manière dont cela fonctionne, et nous exploitons les systèmes qui produisent l'imagerie des chèques et permettent la production de l'image numérique. Mais le consommateur est protégé et reçoit tous les services par l'entremise de sa banque. Nous appuyons la banque, soutenons nos membres à cet égard, mais la banque doit avoir des politiques.

Mme Julie Dabrusin:

D'accord.

Mme Terri O'Brien:

Au cours des nombreuses années où j'ai travaillé dans le domaine bancaire, j'ai pu constater que la technologie a grandement évolué et que l'imagerie des chèques fonctionne très bien à l'heure actuelle. Bien entendu, on encourage les clients à détruire le chèque une fois qu'il est déposé. Cependant, la détection de doubles de chèques s'est également grandement améliorée. Si une personne tente de déposer deux fois un chèque, il ne sera pas possible de le faire.

Mme Julie Dabrusin:

Merci.

Je m'adresse aux représentants de Paiements Canada. Vous avez parlé de l'étiquetage dans les chaînes d'approvisionnement numériques et de la manière de créer un étiquetage adéquat. Y a-t-il quelqu'un au monde qui fait de l'étiquetage? Existe-t-il une norme à cet égard?

M. Martin Kyle:

Non. En fait, c'est pourquoi nous...

Mme Terri O'Brien:

J'en connais une.

Mme Julie Dabrusin:

Vraiment?

Mme Terri O'Brien: Oui.

M. Martin Kyle:

Allez-y, je vous prie.

Mme Terri O'Brien:

J'ai examiné le modèle. Il est plutôt bon. Les responsables de SWIFT ont adopté un modèle dans lequel ils publient les normes de sécurité de tous leurs homologues, comme ils les appellent, non pas du point de vue d'un créancier, mais seulement d'un homologue du système. C'est un bon modèle que nous aimons beaucoup.

Cela permet à chacun des participants de l'écosystème... Si une institution financière ou une caisse populaire voit le niveau de sécurité diminuer et que cela ne répond pas aux normes, elle pourra atténuer ou limiter les risques liés à un partenariat entre institutions financières. Des choses très intéressantes ont été mises en place au cours de la dernière année.

(1745)

Mme Julie Dabrusin:

Sachant qu'il y a une seule norme et qu'une personne s'en occupe, quel rôle le gouvernement joue-t-il à cet égard? Le gouvernement doit-il adopter un modèle d'étiquetage et l'imposer à nos institutions financières, ou s'agit-il d'un rôle qui revient à un autre secteur?

M. Martin Kyle:

Je peux répondre à cette question.

Le programme de certification dont a fait mention Terri a été mis sur pied par l'organisation SWIFT pour permettre aux homologues de publier leurs certifications à l'intention d'autres parties. Si les responsables d'une organisation ont l'impression que l'autre organisation avec laquelle ils font affaire présente trop de risques, ils peuvent, en tant que propriétaires d'entreprise et grâce à leur certification, réduire eux-mêmes les risques ou demander à ce que certaines exigences soient respectées avant de continuer à faire affaire avec cette organisation.

M. Justin Ferrabee:

J'aimerais revenir sur la question de l'étiquetage des composants. La certification est une version de cela, mais c'est une version préliminaire. Il n'existe aucun précédent permettant de définir tous les éléments de la chaîne de valeur et de les communiquer et les gérer. Cela comprend de nombreux aspects. À notre connaissance, cela ne se fait pas ailleurs.

Mme Julie Dabrusin:

Selon ce que nous avons entendu, je crois, en partie, que cela se fait de plus en plus de l'autre côté de la frontière. Cela n'est pas unique au Canada, pour ce qui est de la manière de s'y prendre. Je tente de savoir quelle entité, quelle organisation est la mieux placée pour permettre au gouvernement canadien de collaborer à cet égard. Nous pouvons encourager d'autres gouvernements internationaux à participer, mais à qui la responsabilité devrait-elle revenir?

Mme Terri O'Brien:

C'est une excellente question. SWIFT est une organisation mondiale qui a emprunté cette voie très tôt. Je proposerais certainement d'inclure aussi Interac. À l'heure actuelle, nous appliquons nos règlements opérationnels et nos normes minimales, qu'il s'agisse de normes de sécurité ou de normes relatives aux participants, à l'égard de toutes les institutions financières de notre écosystème.

Nous avons mis en place une politique de gouvernance très rigoureuse et des règlements opérationnels dans le marché d'aujourd'hui. Chaque jour, nous cherchons un moyen d'améliorer ces règlements au sein du marché. Les participants prennent part au marché avec enthousiasme et respectent ces règlements, car ils leur assurent la réciprocité des paiements et l'accès à l'écosystème.

Mme Julie Dabrusin:

Merci.

Le président:

Merci, madame Dabrusin.

Monsieur Motz, vous avez cinq minutes.

M. Glen Motz:

Merci, monsieur le président.

Je suis certain que vous avez entendu ou lu que le Canada doit décider si Huawei fera désormais partie de notre importante infrastructure. À l'approche de la technologie 5G, je me demande si les plateformes de vos deux organisations sont prêtes à utiliser des serveurs qui sont mis au point, en totalité ou en partie, par des entités étrangères susceptibles d'être assujetties à des directives extrajudiciaires provenant d'un gouvernement étranger.

Mme Terri O'Brien:

Je ne peux répondre qu'au nom d'Interac, mais je peux affirmer que ce n'est pas notre cas. Nous ne sommes pas disposés à permettre la sortie de données, compte tenu de la constitution canadienne et de nos racines. Notre société, qui a été constituée il y a environ un an, est solidement enracinée au Canada. Toutes nos données doivent demeurer au pays. Nous faisons également appel à des fournisseurs canadiens pour la prestation de tous nos services, mais nous concevons nos propres technologies. Pour répondre à votre question sur les fournisseurs de services étrangers, je dirais que nos racines sont profondément canadiennes.

M. Glen Motz:

Avant d'entendre la réponse des représentants de Paiements Canada à la question que j'ai posée précédemment, j'aimerais faire suite à votre commentaire. Si un serveur ne provient pas d'une entité étrangère, que se passe-t-il si l'infrastructure avec laquelle on transfère des données peut être dotée de commutateurs qui peuvent être piratés par une entité étrangère? Comment cela a-t-il une incidence sur vos programmes de sécurité?

Mme Terri O'Brien:

Toutes nos infrastructures et nos données demeurent au Canada et sont détenues et exploitées par Interac.

Pour répondre à votre question sur un pirate informatique étranger, je vous dirais, selon notre expérience, que la plupart des pirates informatiques sont étrangers. Nous n'avons vu que très peu de pirates informatiques canadiens.

(1750)

M. Glen Motz:

Ils accèdent à l'information par la porte dérobée; ils ne piratent pas le système. Il s'agit de certains intervenants étrangers qui, en raison de la technologie en place, pourraient intercepter des communications qui sont transmises au quotidien, sans même que nous le sachions.

Mme Terri O'Brien:

Nous effectuons des analyses de vulnérabilité ainsi que des analyses rigoureuses de la sécurité. Nous utilisons uniquement des réseaux canadiens, faisons appel à des fournisseurs de services de télécommunications canadiens et disposons de centres de données canadiens dans différentes provinces. Nous effectuons nos transactions uniquement par l'entremise de nos centres de données canadiens. Donc, je ne m'attends pas à cela.

M. Glen Motz:

D'accord. Merci.

Je m'adresse aux représentants de Paiements Canada. Quelle est votre réponse à la première question?

M. Justin Ferrabee:

Comme vous pouvez le constater, nous ne parlons pas en détail de nos moyens ou de nos principes ni de la manière dont nous gérons notre infrastructure.

Vous soulevez un enjeu très grave dont nous sommes conscients et qui nous préoccupe. L'une des raisons pour lesquelles il faut assurer le suivi des composants de la chaîne d'approvisionnement, c'est que nous savons que, si un fournisseur de services offre une technologie dont il ne connaît peut-être pas la provenance, nous n'aurions aucun moyen de savoir.

Nous devons supposer que cela n'est ni sûr ni sécuritaire, et nous devons nous préparer à cela — et c'est ce que nous faisons. Nous sommes conscients de ces risques, mais sans ce genre d'information, même s'ils affirment que c'est vrai, ce n'est peut-être pas le cas. Nous ne pouvons nous permettre de courir ces risques. Nous effectuons donc notre planification comme si ce n'était pas le cas et tentons d'y arriver.

Le président:

Vous disposez d'un peu plus d'une minute.

M. Glen Motz:

Il y a quelque temps, une personne est venue témoigner devant le Comité — et j'ai posé cette question l'autre semaine — et a dit que les Canadiens sont innocents, qualification qui, selon moi, était une manière très polie de dire que nous ne connaissons rien de notre propre cybersécurité.

Selon vos points de vue respectifs, que faut-il changer au Canada pour que les clients comprennent la nécessité de faire preuve de plus de vigilance à l'égard de la cybersécurité et donc de protéger leurs renseignements confidentiels? Que pouvons-nous faire en tant que législateurs pour les inciter à prendre des mesures?

Mme Terri O'Brien:

Je ne connais pas le contexte de ce commentaire du témoin, mais il semble porter davantage sur les connaissances de la population en général.

M. Glen Motz:

Oui.

Mme Terri O'Brien:

La capacité d'adaptation du Canada, en particulier à l'égard des institutions financières, est très solide à l'échelle mondiale.

Quant à votre question sur les clients canadiens, je suis d'accord. Je crois que l'éducation du public a une très grande importance. Il est certain qu'en cette période de l'année, compte tenu du nombre de fraudes liées à l'ARC qui se produisent, par l'intermédiaire d'appels téléphoniques et d'envois de courriels — et je suis convaincue que vous êtes tous au courant de la situation —, des Canadiens se font avoir par ces arnaques. Ils ne sont pas suffisamment informés pour savoir qu'ils doivent raccrocher le téléphone ou supprimer le courriel, et qu'ils doivent aussi renforcer le système de sécurité de leur ordinateur à domicile, car c'est une mesure importante à prendre.

Le président:

Je vous remercie, monsieur Motz.

Monsieur Graham, vous avez cinq minutes.

M. David de Burgh Graham:

Je vous remercie. J'espère que ce sera suffisant.

Monsieur Cannings, je vais vous dire comment fonctionnent les choses dont nous avons parlé plus tôt. Le code postal de votre bureau de circonscription est le V2A 5B7. Si vous essayez d'utiliser votre code postal, vous devrez utiliser les numéros suivants: deux, cinq et sept, et ajouter zéro, zéro.

Aux États-Unis, votre code postal pour utiliser votre carte est le 25700. Maintenant, vous savez comment cela fonctionne.

M. Richard Cannings:

D'accord. La prochaine fois que je serai au Texas, je m'en souviendrai.

M. David de Burgh Graham:

Faites bon voyage et n'oubliez pas que votre code postal est du domaine public. Tout le monde sait comment cela fonctionne à présent, alors voilà.

Le président:

C'est peut-être de la fraude, mais c'est une autre question.

Des députés: Ha, ha!

M. David de Burgh Graham:

Pour en revenir à la question qui nous occupe, il s'agit d'appareils fabriqués à l'étranger. Il y a une chose qui m'intrigue, et cela s'applique aux deux organisations. Lorsque des tiers vous fournissent un logiciel, ou encore du matériel, obtenez-vous toujours le code source, et procédez-vous vous-mêmes à la vérification et à la compilation?

M. Martin Kyle:

Nous faisons des évaluations des risques pour tous les logiciels et les projets que nous déployons. Ces évaluations comprennent un inventaire des bibliothèques qui sont incluses dans les applications que nous élaborons, ainsi que les défauts associés à ces bibliothèques.

La chaîne d'approvisionnement numérique provient de partout dans le monde. Ce microphone provient probablement de nombreux différents pays, de sorte qu'il faut évaluer les risques que représentent les composants utilisés dans la fabrication de l'équipement. On doit évaluer les risques afin de déceler les vulnérabilités qui pourraient permettre à des groupes rivaux de s'infiltrer dans cet équipement ou dans un logiciel.

Lorsque nous déployons quelque chose, nous nous assurons qu'il est soumis à un processus rigoureux d'évaluation des risques dans le cadre duquel nous évaluons tout ce qu'il est possible d'évaluer.

(1755)

M. David de Burgh Graham:

La question centrale est de savoir si vous avez accès au code source de ce que vous utilisez, ou si vous vous dites ce qui suit lorsque vient le temps d'évaluer les risques: « Nous n'en avons pas besoin en l'occurrence, parce que nous faisons confiance à cette entreprise. »

M. Martin Kyle:

Nous nous assurons d'effectuer des vérifications auprès des organisations qui nous fournissent le code source. Nous avons certainement accès à une partie du code source. Nous créons du code source. Lorsque nous n'y avons pas accès, nous suivons un processus rigoureux d'évaluation des risques auprès de l'entreprise qui nous le fournit.

M. David de Burgh Graham:

Terri, est-ce pareil pour vous?

Mme Terri O'Brien:

Pas vraiment. Tous nos systèmes à risque élevé et nos systèmes transactionnels s'appuient sur des codes propriétaires. Le code propriétaire signifie que nous avons une grande équipe de développement qui crée elle-même le code. Nous l'avons soumis à des normes de sécurité assez rigoureuses et à des analyses de vulnérabilité. Nous disposons d'un système de détection et de réponses géré, de protocoles de sécurité hiérarchisés assez robustes et d'un réseau privé en circuit fermé.

Nous avons, bien sûr, le code source, parce que nous avons une équipe qui l'écrit et nous avons des couches de sécurité très robustes. Nous revoyons constamment notre position en matière de sécurité.

M. David de Burgh Graham:

Qu'est-ce qu'Interac sait au sujet d'une transaction? Si je vais au magasin et que j'achète quelque chose, que savez-vous à l'égard de la transaction?

Mme Terri O'Brien:

Je peux dire au Comité que toutes les données satisfont aux normes minimales requises pour traiter la transaction et que tous les renseignements personnels permettant de vous identifier qui sont nécessaires pour faire la transaction dans votre compte bancaire et non dans celui d'une autre personne sont entièrement protégés.

M. David de Burgh Graham:

Qu'en est-il de la raison de la transaction?

Mme Terri O'Brien:

Parlez-vous du but et de l'utilisation prévue de l'objet de la transaction en ce qui concerne le commerçant chez qui celle-ci a été effectuée?

M. David de Burgh Graham:

Si vous allez à la station-service et achetez de l'essence et une tablette de chocolat, Interac sait-il que vous avez acheté ces choses ou que vous êtes allé à la station-service?

Mme Terri O'Brien:

Je ne peux pas communiquer tous les éléments de données qui sont recueillies, mais je crois que la transaction concerne le mouvement d'argent en soi. Cela ne concerne pas les biens et les services que vous achetez.

M. Richard Cannings:

Faites attention à ce que vous achetez.

M. David de Burgh Graham:

Cela s'applique à vous deux. Avez-vous des institutions membres qui ne respectent pas vos normes? Je sais que, dans le cas de Paiments Canada, l'adhésion est requise par la loi pour certaines organisations. C'est probablement la même chose pour Interac. Avez-vous des organisations trainardes après qui vous devez toujours courir et qui ne répondent pas à vos normes? Vous n'avez pas besoin de les nommer, mais y en a-t-il?

M. Martin Kyle:

Je dirais que toutes les organisations qui participent à Paiements Canada ont des normes de sécurité élevées et qu'elles satisfont toutes à des normes très rigoureuses en matière de sûreté et de sécurité.

Mme Terri O'Brien:

Je dirais tout à fait la même chose. En tant que centre de l'écosystème, Interac passe beaucoup de temps avec tous ses participants — et nous avons beaucoup plus de participants — afin de leur donner du temps pour la préparation et les essais lorsque nous rehaussons les normes de sécurité, ce que nous faisons constamment. Nous travaillons activement avec eux pour nous assurer qu'ils sont en mesure de respecter les nouvelles normes.

M. David de Burgh Graham:

Je vous remercie.

Le président:

Merci, monsieur Graham.

Monsieur Cannings, vous avez trois minutes si vous souhaitez les utiliser.

M. Richard Cannings:

Vous me prenez par surprise.

Le président:

Je peux revenir à quelqu'un d'autre.

M. Richard Cannings:

D'accord. Je suis désolé, habituellement, dans mon comité, je n'ai jamais de deuxième chance.

Le président:

Je vais revenir à moi-même et parler de ce qui m'intéresse.

J'ai ici ma carte Visa de la Banque CIBC et j'ai ma carte de débit. Pour des raisons de sécurité, je crois comprendre, d'après votre témoignage, madame O'Brien, que celle-ci est beaucoup plus sécuritaire que celle-là.

Mme Terri O'Brien:

C'est exact. Je souscris à cette affirmation.

Le président:

Pourquoi? Est-ce parce que vous avez 300 organisations pour celle-ci et que vous êtes en circuit fermé? Il y a des milliers d'organisations de plus pour celle-là.

Essentiellement...

M. David de Burgh Graham:

John, faites attention de ne pas montrer les chiffres; la séance est télévisée.

Le président:

Celle-ci a déjà été piratée. Celle-là ne peut pas être piratée.

M. Michel Picard:

Il n'a pas d'argent de toute façon.

Le président:

En effet, c'est exact.

Qu'y a-t-il dans la structure qui rend l'une plus sûre que l'autre?

Mme Terri O'Brien:

Je pense qu'il y a de nombreux facteurs. Comme je l'ai mentionné plus tôt, Interac possède une structure de gouvernance et de réglementation opérationnelle très solide et hiérarchisée. Il ne s'agit pas seulement de la sécurité d'un réseau en circuit fermé. Il s'agit du niveau de sécurité des participants, des émetteurs et des acquéreurs, comme le niveau de sécurité du clavier NIP, ainsi que de divers degrés de types d'opérations et de structures de limites, ce qui est différent de certains de nos partenaires dans le secteur des cartes de crédit au Canada, qui peuvent avoir un goût du risque plus grand.

Ils ont différents types de participants dans leurs marchés et différents types de méthodes de surveillance de la fraude, de sorte que je ne peux pas parler du degré de surveillance de la fraude ni de leur goût du risque. Je sais simplement qu'il est plus grand que le nôtre à certains égards, en ce qui concerne les limites de certains types de cartes. Comme vous le savez peut-être bien en tant que consommateur, de nombreuses cartes ont des limites beaucoup plus élevées. Ce sont là des cibles beaucoup plus attrayantes pour la cybercriminalité que les cartes de débit.

(1800)

Le président:

Donc, cela ne dépend pas de la façon dont le système est mis en place ou de la sécurité qui y est intégrée; cela dépend du niveau de risque que nous voulons prendre pour être en mesure de faire un grand nombre de transactions.

Mme Terri O'Brien:

Je pense que cela dépend des deux. C'est une approche multidimensionnelle. Cela repose sur la sécurité des participants, les règles de fonctionnement, la structure des limites, la surveillance des risques de fraude — c'est sans aucun doute un élément essentiel déterminant dans cet écosystème.

Le président:

Je vous remercie.

J'ai une autre question au sujet du partage qui se fait entre les diverses institutions. Toutes les institutions n'auront pas le même degré d'intérêt — ce n'est pas tout à fait exact. Elles ont toutes un intérêt, mais elles auront des programmes différents. Plus particulièrement, le gouvernement aura un programme, les responsables de la sécurité auront un autre programme, les institutions financières en auront un autre, et il en va de même pour toutes les parties concernées.

Êtes-vous convaincue que, compte tenu des divers programmes en cours et des données que vous fournissez, la sécurité s'en trouve renforcée au bout du compte?

Mme Terri O'Brien:

Je répondrais que oui, tout à fait. Elle est davantage améliorée grâce au nombre de partages de renseignements qu'il y a.

Bien sûr, nous participons, comme Justin et Martin l'ont dit, à de nombreux forums centraux, à la communication de renseignements dans certains comités, et l'ECMC a été un excellent ajout ces dernières années. Toutefois, la communication d'un événement en temps réel concernant un thème particulier ou un vecteur de menace qui se trouve sur le marché à un moment donné est vraiment essentielle pour détecter et prévenir la fraude. Cela profite ensuite à l'ensemble de l'écosystème. Chez Interac, nous communiquerons quotidiennement avec chaque institution financière, car ces facteurs de menace changent constamment. Cela s'est avéré très efficace.

Le président:

Je suppose que Paiements Canada répondrait la même chose. N'est-ce pas? D'accord.

J'ai une dernière question pour Paiements Canada. Je n'ai jamais vraiment compris pourquoi, lorsque je paie une facture en ligne, l'argent sort manifestement de mon compte bancaire, mais il n'est pas crédité au vendeur avant un, deux ou trois jours. Je ne comprends pas pourquoi il ne s'agit pas d'une transaction instantanée. Avez-vous une réponse à cela?

M. Justin Ferrabee:

Oui. En tant que couche d'infrastructure, nous n'interagissons pas avec les consommateurs au moment du paiement des factures; toutefois, une partie de notre programme de modernisation comprend la création d'une voie de paiement en temps réel, qui permettrait de faire exactement cela — éliminer le retard dans les dépôts, les retenues de chèques, les paiements de factures, etc. Donc, en croisant les doigts, vous verrez cela bientôt.

Le président:

D'accord. Eh bien, j'attendrai cela jour et nuit.

Des députés: Ha, ha!

Le président: Nous passons à M. Cannings, puis à M. Eglinski.

M. Richard Cannings:

Je vais simplement revenir sur ce que M. McKay demandait au sujet de la comparaison entre les cartes de crédit et le modèle Interac.

La semaine dernière, des représentants de MasterCard sont venus dans mon bureau me parler de leur système. Si je me souviens bien, MasterCard et Visa sont plutôt des intermédiaires entre les banques, les fournisseurs et les particuliers, alors qu'Interac dispose d'une sorte d'accès direct à votre compte bancaire. Je me demande simplement si cet accès direct au compte bancaire rend une transaction plus risquée, alors que les autres semblent avoir plus de couches où des mesures de sécurité pourraient être appliquées. C'est peut-être l'inverse. Je n'utilise pas beaucoup Interac, et ce n'est pas à cause de cela, mais je suis simplement curieux concernant cet accès direct aux comptes bancaires. Quel genre de questions de sécurité entrent en ligne de compte?

Mme Terri O'Brien:

Je pense en réalité que le fait d'avoir un réseau privé en circuit fermé réduit le risque. Pour plus de précision, la connexion directe s'appelle une API, ou une interface de programmation d'applications que nous avons avec l'institution financière, par laquelle toutes les transactions passent. L'institution expéditrice — votre banque, par exemple — vérifierait que les fonds sont disponibles et les enverrait ensuite en temps réel à l'institution destinataire par l'intermédiaire de notre infrastructure de paiement, et nous serions en mesure de faciliter ces transferts. Je crois que le lien direct réduit les risques. Nous pouvons surveiller et gérer le système de façon appropriée.

(1805)

M. Richard Cannings:

M. McKay a également mentionné les paiements de factures, par exemple. Est-ce la même chose? Lorsque je paie une facture, je ne pense pas qu'Interac intervient, mais quand je le fais à ma banque, est-ce le même processus?

Mme Terri O'Brien:

Interac effectue certaines de ces transactions, et nous examinons cela. Certainement, il est facile de comprendre les virements électroniques. Si vous payez un fournisseur de services, par exemple, un plombier pour une réparation chez vous, vous pouvez choisir d'utiliser le service Virement Interac, et ce sont des paiements en temps réel aujourd'hui.

L'interface de paiement de factures que vous pourriez utiliser, disons avec Rogers, pour payer votre facture de câblodistribution, par exemple... À l'heure actuelle, ces paiements sont retenus à l'institution financière et ensuite versés par lots. Nous travaillons activement avec les institutions financières afin que l'on puisse faire ces paiements en temps réel parce que nous sommes déjà en mesure de le faire, mais, aujourd'hui, ces paiements sont versés par lots par chaque institution financière canadienne. C'est ainsi que l'on a toujours procédé.

Le président:

Merci, monsieur Cannings.

Nous avons maintenant M. Eglinski.

M. Jim Eglinski (Yellowhead, PCC):

Merci.

La question porte sur Interac. Plus tôt, vous avez indiqué que vous gardiez tout sur des serveurs canadiens, mais vous offrez un service international aux titulaires de cartes étrangers, n'est-ce pas?

Mme Terri O'Brien:

Notre produit débit Interac permet d'effectuer des transferts internationaux de fonds. Je pense que quelqu'un en a donné un exemple. Si on se trouve aux États-Unis et qu'on veut retirer de l'argent avec la carte Interac de sa banque, on pourrait utiliser le guichet automatique d'une autre banque. Nous offrons la possibilité de retirer des fonds lorsqu'on est dans un autre pays.

M. Jim Eglinski:

Un étranger ne peut pas utiliser votre système. Entretenez-vous une relation avec des banques étrangères dans un tel cas?

Mme Terri O'Brien:

Non, nous n'avons pas de relations avec des banques étrangères.

Si vous, à titre de consommateur canadien détenteur d'un compte bancaire canadien, choisissez de retirer des fonds au Texas, par exemple, vous pouvez le faire grâce à votre carte de débit Interac. Mais non, nous n'entretenons pas de relations avec des banques étrangères.

M. Jim Eglinski:

Je pensais à la sécurité.

Je vais laisser la parole à mon collègue, qui a une question pour vous.

Mme Terri O'Brien:

Certainement. [Français]

M. Pierre Paul-Hus:

Merci, monsieur Eglinski.

J'ai été absent quelques minutes. Je ne sais pas si la question a déjà été posée, mais je ne crois pas.

Combien d'attaques directes sur les systèmes subissez-vous, par jour ou par mois?

Par ailleurs, êtes-vous en mesure de nous dire d'où viennent les attaques? Sont-elles l'oeuvre d'individus, de gens au Canada ou à l'étranger? Des attaques sont-elles commises par des pays en particulier?

Les deux témoins peuvent répondre. [Traduction]

M. Martin Kyle:

Comme vous pouvez le comprendre, nous ne décrivons pas en détail nos capacités précises en matière de sécurité ou les incidents ou les événements liés à la sécurité. Je dirai simplement que l'industrie financière fait l'objet d'attaques en tout temps et de partout. [Français]

M. Pierre Paul-Hus:

Sans donner le détail de vos organisations, pouvez-vous dire de quels genres d'attaques il s'agit? Proviennent-elles plus d'individus isolés ou d'organisations? Pouvons-nous avoir ce type d'information? [Traduction]

Mme Terri O'Brien:

Il pourrait être important pour le Comité de faire la différence entre les tentatives d'attaque et les attaques elles-mêmes.

Je dirais que toutes les institutions financières, tous les fournisseurs d'écosystème de paiement et tous les fournisseurs de services de règlement vont subir des tentatives d'attaque. À Interac, nous gérons la détection et la réponse, alors lorsqu'on tente d'infiltrer notre système, nous pouvons le voir. Nous surveillons activement ces tentatives et nous les bloquons afin qu'elles ne se concrétisent pas.

Selon moi, relativement peu d'attaques sont lancées. Ce que je sais, par l'entremise de nos partenaires et de forums où on les signale, c'est que, au cours des dernières années, il s'est agi d'attaques sophistiquées. À mon avis, il y a très peu d'attaques isolées comme celles vous avez décrites. Ce sont plutôt des tentatives d'attaques sophistiquées. [Français]

M. Pierre Paul-Hus:

Avez-vous une obligation de divulgation auprès des banques? Vous êtes un intermédiaire entre les différentes banques. Lorsqu'il y a des menaces qui sont plus importantes, avez-vous un délai, un nombre d'heures où vous devez informer les banques et le gouvernement?

En ce qui concerne le gouvernement, je crois qu'il n'y a pas d'obligation de divulgation, mais, pour vos partenaires d'affaires, y a-t-il une obligation de divulgation?

(1810)

[Traduction]

Mme Terri O'Brien:

Nous n'avons pas d'obligation de divulgation auprès des diverses institutions financières. Ce n'est pas une exigence législative, mais nous avons des voies sécurisées par lesquelles nous pouvons communiquer une partie de cette information afin d'améliorer la sécurité et la solidité de l'écosystème. Nous allons communiquer l'information à l'institution financière concernée de façon très spécifique. [Français]

M. Pierre Paul-Hus:

Vous avez clairement parlé d'opérations sophistiquées, donc qui demandent des moyens énormes. Pouvez-vous nous donner une idée d'où viennent les menaces? [Traduction]

Mme Terri O'Brien:

Je pense que la nouvelle unité de cybersécurité de la GRC est probablement mieux placée pour dire d'où viennent les tentatives d'attaque dans le monde. Divers pays subissent certainement des tentatives d'attaque et des attaques, mais celles-ci changent d'endroit. C'est un problème mondial d'attaques sophistiquées. [Français]

Le président:

Merci, monsieur Paul-Hus.[Traduction]

Vous avez cinq minutes, monsieur Spengemann.

M. Sven Spengemann (Mississauga—Lakeshore, Lib.):

Merci beaucoup, monsieur le président.

Merci d'être avec nous.

J'aimerais donner suite aux questions de mon collègue M. Paul-Hus. Je siège également au Comité permanent de la défense nationale. Les infrastructures essentielles sont un des secteurs où il y a un certain chevauchement.

Sans entrer dans les détails, comme vous l'avez souligné, ou sans nous donner des renseignements qui ne devraient pas être divulgués, dans quelle mesure êtes-vous préoccupé, de façon générale, par une attaque de la part d'un autre pays, et à quel point considérez-vous faire partie de notre infrastructure de base? Je vais poser deux autres questions. Que se passera-t-il si votre service tombe en panne pendant une période prolongée en raison d'une attaque? Quelles seraient les répercussions pour le pays?

M. Martin Kyle:

Tout d'abord, comme vous l'avez entendu, nous sommes en sécurité. La sécurité est notre principale priorité. Nous appuyons nos membres, les institutions financières au Canada, dans leurs programmes de sécurité, et ils nous appuient dans les nôtres. Les attaques et les menaces viennent de tous les côtés. Nous devons demeurer vigilants en tout temps, et nos membres doivent faire la même chose. Chaque citoyen canadien doit être responsable de sa propre sécurité. Nous croyons également que, ensemble, nous pouvons améliorer et renforcer la sécurité du pays tout entier.

M. Sven Spengemann:

Travaillez-vous d'une quelconque façon avec des analystes ou du personnel du ministère de la Défense nationale pour vous protéger? Y a-t-il une collaboration sur des questions comme l'IA, la quantique et des choses qui toucheraient d'autres parties de nos infrastructures essentielles si on nous attaquait?

M. Martin Kyle:

Absolument.

M. Sven Spengemann:

Pouvez-vous nous en parler un peu plus en détail?

M. Martin Kyle:

Non.

M. Sven Spengemann:

D'accord.

Le financement est-il suffisant, selon votre évaluation, pour faire ce genre de travail? Y a-t-il d'autres aspects dans lesquels nous devrions investir davantage, que ce soit le talent, le travail structurel ou une façon différente de voir les choses, à mesure que nous passons à l'IA et à ces types d'enjeux?

M. Justin Ferrabee:

Nous avons pleine confiance dans ce que nous avons à l'heure actuelle. Il y a toujours des possibilités et un besoin de continuer à réaliser des investissements et à améliorer les systèmes. Nous sommes certains d'avoir bien réagi, tout comme nos partenaires au gouvernement et ailleurs. Des besoins émergent également à mesure que nous progressons, comme vous l'avez entendu. C'est toujours de plus en plus exigeant, alors il faut poursuivre les investissements et possiblement les augmenter.

M. Sven Spengemann:

Le degré de centralisation du système d'autorisation que nous avons au Canada est-il typique de celui d'autres démocraties développées — le G7 et le Groupe des cinq — ou serait-il justifié de décentraliser le système d'autorisation afin que toute attaque cause moins de dommages si elle réussit?

M. Justin Ferrabee:

Notre système d'autorisation central est très similaire à celui d'autres pays du G7 et d'autres infrastructures financières de pointe. Nous cherchons toujours des possibilités de poursuivre le renforcement de la sécurité. Nous nous sentons en confiance relativement à la position dans laquelle nous nous trouvons actuellement et nous continuerons toujours d'être à l'affût. Nous avons effectué beaucoup de recherches, qui ont été publiées, sur les registres distribués et leur application. Le secteur moins vulnérable et le degré élevé de confiance entre les parties sont des facteurs qui diminuent le besoin d'avoir une sorte de registre distribué ou une nouvelle technologie à cet égard, mais nous examinons toujours la situation et investissons dans l'innovation.

(1815)

M. Sven Spengemann:

C'est très utile. Merci beaucoup.

Ma dernière question porte strictement sur un intérêt personnel.

Quel pourcentage des transactions de consommateurs au Canada, selon vous, sont effectuées de manière non électronique, c'est-à-dire avec de l'argent comptant? Quels types de tendances observez-vous? Avez-vous ces données?

M. Justin Ferrabee:

Chaque année, nous publions un rapport intitulé « Les modes de paiement et les tendances des paiements au Canada », qui porte sur ce sujet. L'utilisation de l'argent comptant diminue. Nous pensons que l'argent comptant continuera à connaître un déclin, mais il ne disparaîtra jamais. C'est moins de 50 % maintenant, et il diminue à un taux d'environ 5 à 7 % par année.

M. Sven Spengemann:

Merci beaucoup, monsieur le président.

Le président:

Eh bien, je dois alors faire partie de la minorité en déclin.

C'est au tour de M. Picard et de M. Graham.

M. Michel Picard:

Puis-je retirer de l'argent d'un guichet automatique à Londres ou à Paris?

Mme Terri O'Brien:

Je crois que, en Europe, il y a certaines restrictions, mais, oui, vous pourriez certainement retirer de l'argent de certains guichets automatiques à Paris.

M. Michel Picard:

Puis-je retirer de l'argent à Saint-Pétersbourg ou à Moscou?

Mme Terri O'Brien:

Non, cela violerait les règles associées aux sanctions.

M. Michel Picard:

Je ne peux pas du tout utiliser ma carte Interac en Russie.

Mme Terri O'Brien:

Non. Nous respectons absolument toutes les règles associées aux sanctions du Canada.

M. Michel Picard:

D'accord. J'ai terminé.

Le président:

C'était rapide.

Monsieur Graham.

M. David de Burgh Graham:

Je vais donner suite à une question qu'a posée plus tôt Mme Dabrusin sur la possible désuétude du chèque papier tel que nous le connaissons.

Est-il temps de laisser tomber les numéros de banque, les adresses et les signatures sur nos chèques et de passer à...? Je ne sais pas si nous pouvons avoir une version papier d'un jeton, mais existe-t-il une façon de faire cela?

Mme Terri O'Brien:

Oui. Absolument.

Nous innovons tous les jours dans le domaine des nouvelles technologies de transmission de paiements. Je dirais que ce sont surtout les petites entreprises ainsi que les acheteurs au détail qui utilisent encore le chèque, mais dans une moindre mesure. On n'a plus vraiment besoin du chèque papier.

M. Justin Ferrabee:

Nous constatons un déclin rapide chez les consommateurs. Des gens s'en servent encore, et, dans certaines circonstances, c'est la seule méthode de paiement qui va fonctionner, pour toutes sortes de raisons. Le plus grand besoin, c'est dans le secteur des petites entreprises, et on s'en sert habituellement pour gérer l'information parce que, à l'heure actuelle, elle ne circule pas de manière fluide dans l'ensemble du système pour ce qui est de toutes les notations; les petites entreprises reçoivent une copie du chèque et peuvent le voir.

Tant qu'on n'aura pas réglé ce problème, les chèques continueront d'être utilisés. Nous prenons un certain nombre de mesures en publiant des normes afin d'améliorer l'information qui voyage avec les paiements. Une des normes mondiales les plus récentes pour l'information est la norme ISO 20022, qui inclut d'énormes quantités d'information voyageant avec le paiement, ce qui permettrait à un propriétaire d'une petite entreprise de recevoir plus de renseignements, y compris une facture et toutes sortes d'informations qui l'accompagnent.

Nous pensons que, avec l'introduction d'un meilleur système d'information avec le paiement, le chèque connaîtra un déclin.

M. David de Burgh Graham:

Le chèque continuera d'exister. Allez-vous retirer l'information du chèque papier?

M. Justin Ferrabee:

Non. Nous allons la remplacer.

M. David de Burgh Graham:

Vous allez complètement la remplacer. D'accord.[Français]

Monsieur Picard, avez-vous autre chose à ajouter? [Traduction]

M. Michel Picard:

Je vais revenir à la Russie.

M. David de Burgh Graham:

Les Russes s'en viennent.

M. Michel Picard:

Une partie de la transaction, j'imagine... il peut s'avérer un peu compliqué de connaître chaque membre de votre groupe, mais si je retire de l'argent en Europe, les banques qui s'y trouvent font en quelque sorte partie de votre réseau. Je ne sais pas comment il fonctionne. Savez-vous, ou est-il possible de savoir, si les banques à l'extérieur de la Russie, en Europe et ailleurs, qui appartiennent à des intérêts russes, font partie de votre réseau?

Mme Terri O'Brien:

Elles ne font certainement pas partie de notre réseau. Je dirais que l'écosystème financier au Canada est maintenant très mature et très solide pour ce qui est d'appliquer les sanctions et comprendre les agences de transfert et ces types de choses. Nous sécurisons assurément le réseau.

Nous effectuons très peu de transactions à l'extérieur du Canada, alors ce n'est pas un problème auquel nous nous heurtons ou que nous constatons.

M. Michel Picard:

Maintenant j'ai terminé.

Le président:

D'accord.

Monsieur Eglinski, voulez-vous poser d'autres questions?

M. Jim Eglinski:

Je ne pense pas.

Le président:

Monsieur Paul-Hus. [Français]

M. Pierre Paul-Hus:

Merci.

Nous avons rencontré des représentants de Mastercard. Chez Mastercard, il y a des red teams, qu'on appelle en français des « pirates éthiques ». Je sais qu'il y a des discussions sur le terme, et je ne sais pas comment vous le traduisez. Ce sont des gens qui travaillent à l'interne et qui vont vraiment essayer de briser, de déjouer le système pour voir s'il comporte des failles. Est-ce que vous avez des équipes semblables chez vous?

(1820)

[Traduction]

Mme Terri O'Brien:

Nous en avons. Nous avons une équipe solide chargée de la sécurité des TI, qui utilise un certain nombre d'outils pour nous permettre de balayer le système de façon proactive à la recherche de vulnérabilités et de gérer la capacité de détection et de réponse également. Nous balayons activement nos systèmes quotidiennement et nous nous tenons à jour. [Français]

M. Pierre Paul-Hus:

Vous avez des équipes internes en technologies de l'information. Vous faites des balayages de vérification, mais vous n'engagez pas véritablement de pirates informatiques, qui vont essayer de trouver les failles de votre système. [Traduction]

Mme Terri O'Brien:

Nous avons une très grosse équipe chargée de la sécurité des TI. Nous ne l'appelons pas une équipe de « pirates éthiques ». Nous l'appelons une équipe de « sécurité des TI ». C'est une grosse équipe qui effectue constamment de la vérification — nous appelons cela des tests de pénétration — et qui balaie le système. J'estime que c'est essentiellement la même chose. « Pirate éthique » et « agent de cybersécurité » sont des mots à la mode ces derniers temps. [Français]

M. Pierre Paul-Hus:

Je vous remercie. [Traduction]

M. Justin Ferrabee:

Je peux répondre pour Paiements Canada. Comme vous pouvez le constater, nous ne divulguons pas de détails par rapport aux techniques que nous utilisons, mais nous connaissons très bien ces techniques, en plus des autres, et nous utilisons celles qui sont les plus appropriées pour garantir la sécurité et la protection du système. [Français]

M. Pierre Paul-Hus:

Pour terminer, notre étude vise à voir le système bancaire et financier dans sa globalité sur le plan de la cybersécurité. Selon vous, en tant que partenaires du système bancaire, où serait la principale brèche de la cybersécurité? [Traduction]

Mme Terri O'Brien:

Nous constatons deux vulnérabilités, dont j'ai parlé plus tôt dans ma déclaration préliminaire. La première concerne l'incapacité du gouvernement, de la GRC et des forces de l'ordre d'échanger librement des renseignements. L'activité criminelle évolue rapidement. Il s'agit d'un environnement frauduleux en temps réel, la capacité à avoir accès à ces renseignements plus rapidement nous permettrait donc d'avoir des moyens de défense plus robustes que ceux que nous avons présentement.

La deuxième concerne l'éducation du public, comme vous le savez tous. L'éducation du public par rapport à ce qui devrait être fait et ce qui ne devrait pas être fait contribuerait grandement à sécuriser le système et l'écosystème. [Français]

M. Pierre Paul-Hus:

Oui, nous le savons. [Traduction]

M. Justin Ferrabee:

C'est un écosystème auquel bon nombre d'intervenants participent, et dans lequel le degré de capacité et le risque varient. Nous savons que nous sommes plus forts lorsque nous travaillons ensemble, et la réponse au repérage des vulnérabilités est de travailler ensemble pour les cerner et de faire chacun sa part pour les résoudre et les gérer. Voilà ce à quoi nous consacrons notre temps et nos efforts, et nous croyons que nos homologues font de même. Nous soutenons nos membres et tous ceux qui travaillent dans les institutions financières à cet égard, et nous sommes convaincus qu'il s'agit de la meilleure stratégie. [Français]

M. Pierre Paul-Hus:

Je vous remercie. [Traduction]

Le président:

M. Spengemann et M. Graham vont partager cinq minutes.

M. Sven Spengemann:

Merci, monsieur le président.

Encore une fois, je comprends parfaitement que vous devez maintenir une certaine confidentialité, mais, aux yeux de ce comité ou de la population canadienne, nous avons parfois l'impression qu'il y a une différence qualitative entre une attaque commise ou organisée par un État et ce qui vient du secteur privé ou du monde clandestin. Y a-t-il une différence qualitative notable entre ces attaques? Est-ce qu'un État-nation a une plus grande capacité à nous causer du tort, ou est-ce injustifié, dans la mesure où, si nous luttons efficacement contre les attaques qui proviennent du « secteur privé », nous sommes bien équipés pour faire face à une attaque dirigée par un État ou à une série d'attaques coordonnées?

M. Martin Kyle:

Certainement, les États-nations ont plus de ressources que la plupart des organisations criminelles, mais malheureusement, nous avons vu que quelques exploits qui ont été divulgués par des États-nations ont abouti entre les mains de criminels, ce qui crée un environnement de menace qui est en constante évolution. Bien que nous surveillons ces choses et que nous nous concentrons sur la sécurité du système national de paiement, nous reconnaissons qu'il faut continuer d'investir et de déployer des efforts pour remédier à toutes ces menaces.

M. Sven Spengemann:

Les deux fronts s'équivalent, et si vous procédez de la bonne façon, vous pouvez les éviter, peu importe leur origine.

M. Martin Kyle:

C'est exact.

M. Sven Spengemann:

D'accord, voilà qui est utile. Merci.

Le président:

Monsieur Graham.

M. David de Burgh Graham:

Pour poursuivre un peu sur cette voie, l'intention d'un acteur étatique dans le système financier ne serait pas de prendre l'argent. Ce n'est pas son objectif. Il veut voir qui effectue des transactions avec qui, obtenir les métadonnées, comme nous aimons le dire, et être en position de miner le système s'il doit appuyer sur le bouton.

Est-ce que cela serait une évaluation exacte des acteurs étatiques au sein du système?

M. Martin Kyle:

Il y a un certain nombre de choses qui motivent les différents acteurs étatiques. Nous avons vu par le passé que certains d'entre eux utilisent des systèmes financiers pour contourner les sanctions. D'autres ont des motivations différentes. Il y a une multitude de raisons possibles pour toute menace contre le système financier, et nous devons être au courant de toutes ces raisons et prendre des contre-mesures proactives contre ces menaces.

(1825)

M. David de Burgh Graham:

Si un pays étranger souhaitait miner notre structure financière, son intention ne serait pas de prendre des données, ce serait de paralyser le système. J'imagine que nous faisons tout notre possible pour empêcher que cela arrive également.

M. Justin Ferrabee:

Nous ne pourrions pas donner de précision sur tout incident dont nous sommes au courant. Nous vous assurons que nous y réfléchissons et que nous prenons des mesures pour prévenir cela, et que nos collègues dans d'autres organisations autour de nous le font aussi. Il ne s'agit pas de quelque chose qui nous est inconnu ou dont nous ne sommes pas conscients. Nous nous concentrons clairement là-dessus.

Mme Terri O'Brien:

Oui, et nos programmes respectifs en matière de résilience... Je ne peux parler qu'au nom d'Interac, mais nous avons un temps de fonctionnement de 99,9 %. Vous pouvez l'atteindre seulement si vous avez une stratégie en matière de résilience qui inclut une infrastructure très robuste pour réaliser cela, même en cas de détérioration du service ou de toute attaque qui pourrait tenter de perturber le service.

M. David de Burgh Graham:

Dans un autre ordre d'idées, en ce qui a trait à la technologie EMV, que signifie EMV? Je ne me rappelle plus ce que signifie le « E », mais « M » signifie Mastercard et « V », Visa. Est-ce exact?

Mme Terri O'Brien:

Vous savez, l'acronyme existe depuis une dizaine d'années environ, donc...

Le président:

C'est un magasin de musique.

M. David de Burgh Graham:

HMV, c'est autre chose.

Y a-t-il une différence qualitative entre les systèmes relatifs aux cartes de crédit et aux cartes de débit concernant tout ce dont nous venons de parler? Quelles sont les différences entre les deux réseaux et les deux systèmes? Non pas que votre position est biaisée, mais est-ce que l'un d'entre eux a un avantage par rapport à l'autre?

Mme Terri O'Brien:

J'ai parlé de cela un peu plus tôt. Je ne peux parler que de notre réseau en circuit fermé, mais nous avons réellement une stratégie de sécurité multidimensionnelle relative à la surveillance des fraudes et une stratégie robuste en matière de sécurité et de risque. Il s'agit d'une multitude de normes de sécurité et de mesures de contrôle qui font partie de notre réseau.

Les réseaux Mastercard et Visa sont en grande partie établis à l'extérieur des États-Unis, et fonctionnent à l'échelle internationale; ils doivent donc répondre à un ensemble de normes différentes, respecter des structures de sécurité composées différemment et composer avec un goût du risque différent. Je ne peux pas vraiment parler de leurs réseaux. Je ne peux parler que de la protection et de la stabilité que le nôtre offre aux Canadiens.

Le président:

Merci, monsieur Graham.

Juste avant que l'on termine, Wayne Gretzky a prononcé une phrase célèbre: on ne parle pas de l'endroit où se trouve la rondelle, on parle de l'endroit où elle se dirige. Quelques-uns des grands projets de votre industrie sont Apple, Amazon et bien d'autres. Est-ce que l'un d'entre vous laisserait entrer Apple dans ses systèmes?

Mme Terri O'Brien:

Je peux vous dire, du point de vue d'Interac, que nous avons été les premiers à faire affaire avec Apple en insérant la carte de débit Interac dans l'application Apple Wallet. Il s'agissait de la technologie de fournisseur de services de jetons dont nous avons parlé plus tôt. Nous avons également la même carte de débit Interac dans Google Wallet, et également dans Samsung Wallet. Les Canadiens veulent pouvoir utiliser leur téléphone de la même façon qu'ils utilisent leur carte. Nous avons constaté que l'abstraction et la transformation en jetons sont extrêmement sécuritaires et constituent un très bon protocole de sécurité. En tirant profit de la technologie EMV, on a créé un produit très sécuritaire qui a fait l'objet de peu de fraudes.

Le président:

Les consommateurs canadiens qui utilisent l'une de ces méthodes sont donc autant en sécurité que s'ils utilisaient directement un produit bancaire canadien.

Mme Terri O'Brien:

C'est semblable à l'utilisation directe de votre carte de débit Interac.

Le président:

D'accord.

Paiements Canada, c'est à vous.

M. Justin Ferrabee:

Nous n'interagissons pas au point de vente et n'aurions aucune raison de faire affaire avec Apple en tant que fournisseur de services de paiement. Nos employés l'utiliseraient probablement, mais ce n'est pas quelque chose qui se trouve dans nos systèmes. Il ne s'agit pas d'un point d'interaction pour nous.

Le président:

D'accord.

Merci de votre présence, et encore une fois, je tiens à vous remercier de votre patience. Nous l'avons mise à l'épreuve, mais les choses sont ce qu'elles sont. Merci de vos témoignages intéressants et utiles.

Mme Terri O'Brien:

Je vous remercie de nous avoir reçus.

Le président:

Sur ce, la séance est levée.

Hansard Hansard

committee hansard secu 29048 words - whole entry and permanent link. Posted at 22:44 on April 08, 2019

2019-04-03 SECU 155

Standing Committee on Public Safety and National Security

(1610)

[English]

The Chair (Hon. John McKay (Scarborough—Guildwood, Lib.)):

I see quorum.

I also see that it's 4:10, and we have a vote at 5:45, I believe, in which case we will likely have to be done by 5:30, or a little bit later than that, but not much later.

We have, from the Privacy Commissioner's office, Mr. Smolynec—

Dr. Gregory Smolynec (Deputy Commissioner, Policy and Promotion Sector, Office of the Privacy Commissioner of Canada):

That's correct.

The Chair:

—and Ms. Fournier-Dupelle.

I'm going to invite them to make their opening statement. The TD witness who is about to arrive is a little concerned that what TD has to say is a little different from what the Office of the Privacy Commissioner has to say.

I'm going to play it by ear a little bit as to whether we merge the two witnesses, or go back and forth.

With that, we'll ask you to make your opening statement. [Translation]

Dr. Gregory Smolynec:

Good afternoon, Mr. Chair and members of the committee.

Thank you for the invitation to speak to you today. I'm grateful for the opportunity given your study touches on issues with which Canadians and the Office of the Privacy Commissioner, or OPC, are seized.

I will reiterate the concerns I voiced when I appeared before the Standing Senate Committee on Banking, Trade and Commerce on its study of open banking: the financial sector must be built upon a foundation that includes respect for privacy and other fundamental rights at its core. Banks and other financial institutions must have robust standards for both cybersecurity and privacy.

It is important to clarify the difference between a privacy breach and a security breach as the two terms are often used interchangeably.

A security breach is any incident that results in unauthorized access of data, applications, services, networks and/or devices by bypassing their underlying security mechanisms. A privacy breach is the loss of, unauthorized access to, or disclosure of, personal information, regardless of the means. A privacy breach is broader and can occur without any compromise of security systems.

And this is the challenge: cybersecurity and privacy have some overlap in that the former can help protect the latter, but in some cases, cybersecurity can create risks for privacy. For example, it is vital to ensure that cybersecurity strategies and activities do not lead to the development of massive surveillance regimes for unlimited and unending monitoring and analysis of the personal information of individuals.

Both the public and private sectors have obligations to report breaches. Under the public sector Privacy Act, that obligation resides in Treasury Board policy, which requires that OPC officials be notified of material privacy breaches. A breach is “material” if it involves sensitive personal information, could reasonably be expected to cause harm or involves a large number of individuals.

On the private sector side, the Personal Information Protection and Electronic Documents Act, or PIPEDA, requires organizations to report breaches of security safeguards involving personal information that pose a real risk of significant harm to individuals. Organizations must notify affected individuals about those breaches and keep records of all breaches.

(1615)

[English]

An example of a high-profile privacy breach is the World Anti-Doping Agency—otherwise known as WADA—case. As a result of a phishing attack in 2016, WADA's database containing extremely sensitive personal information of athletes was compromised by Russian military intelligence operators, who subsequently released some of this data into the public domain, with the threat of releasing more.

ln the OPC's WADA investigation, we concluded that cybersecurity measures should be proportionate both to the sensitivity of the personal information being protected and to the attractiveness of the information to malign actors. This reasoning also applies to cybersecurity in the financial sector. The Supreme Court of Canada has ruled that financial information is indeed sensitive. Other major breaches in recent memory have been those concerning Equifax, Ashley Madison and the Phoenix pay system.

Privacy breach reporting in the private sector has been mandatory since November 1, 2018. Since then, we have seen an approximately fourfold increase in breach reports from the private sector. With six months of private sector data breach reporting under our belt, and considerably more experience on the public sector side of the house, we have made a number of observations. These include that institutions are not always aware of the personal information they hold, where it goes or who has access to it. Oftentimes in the rush to protect against hackers, the internal threat is overlooked, yet privacy breaches involve not only loss of personal information to external forces, but also inappropriate access by internal actors. Mandatory breach reporting requirements can be a tool to enable institutions to confront the adequacy, or lack thereof, of cybersecurity plans and preparations. Furthermore, the OPC uses this information to inform our guidance to organizations.

The challenge for our office and for Canadians is to keep pace with technology. Understanding how personal data will be used, by whom and for what purpose, is equally difficult. While it's the case that privacy policies are seldom read, we may be approaching a time where how data is used is equally ill-understood. The office has done work in the area of examining notions of consent in this space, and has recently launched guidelines for organizations subject to PIPEDA on how best to obtain meaningful consent for the use of personal information.

As others have indicated before this committee, we believe that these issues are best addressed with a collaborative approach. To that end, we work together with other data protection and privacy offices on joint investigations. We participate in Global Privacy Enforcement Network sweeps, and have found that this enables sharing of best practices. The OPC also participates in the cyber security analysts network group, chaired by Public Safety, with the participation of other federal government departments. Our government advisory directorate also provides advice to federal government stakeholders in this area. Other solutions involve education and outreach for companies, particularly small and medium-sized enterprises, which are often hard pressed to ensure their information, including personal information, is adequately safeguarded.

ln conclusion, privacy regulators and advocates have a role to play to ensure that cybersecurity strategies, principles, action plans and implementation activities promote privacy protection both as a guiding principle and an enduring standard. We also need to reform our privacy legislation to make it fit for purpose to ensure that the privacy of Canadians is protected as technologies and economies change, including those in the financial sector.

I welcome your questions.

(1620)

The Chair:

Thank you, Mr. Smolynec.

Just to update colleagues before I ask Mr. de Burgh Graham for his seven minutes of questions, TD does have a concern about sitting at the same table with a regulator. I think we should respect that concern, so I'm therefore going to have to divide the time in half, in which case members are not going to get the same amount of time for questions of the Office of the Privacy Commissioner, which I think is quite regrettable.

Mr. David de Burgh Graham (Laurentides—Labelle, Lib.):

Chair, I have a quick question.

I've never seen a precedent where the witnesses asked to be separated that way. We often have contradictory witnesses in same panel. I don't see why this is necessary, given the time we have.

The Chair:

It's not so much about having contradictory witnesses, and on that I generally agree with your point, but about having a financial institution with one of its regulators sitting side by each on a panel. That's a concern that's been raised by the financial institution. There is an issue of appearance, if not a reality issue.

That does make it difficult to allocate time for some questions here—

Mr. Glen Motz (Medicine Hat—Cardston—Warner, CPC):

When do we have to be done, Mr. Chair?

The Chair:

I'm just calculating that. We have to be done by 5:30. That will pretty well be a hard stop, because you have a vote at 5:45. We might press that—

Mr. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, CPC):

The vote is at 6 o'clock. The bell is at 5:30.

The Chair:

Well, if colleagues will grant the chair the opportunity to extend the hearings....

An hon. member: [Inaudible—Editor]

The Chair: All right. Thanks very much.

Let's start with six-minute rounds, because, regardless, it's going to be cut back—

Mr. Glen Motz:

By 4:55 they have to be done and the next group has to be on.

The Chair:

Yes, it will somewhere in there.

Mr. Glen Motz: Yes.

The Chair: Let's start with six-minute rounds. Then we'll go to four-minute rounds and see how far we get with that.

Mr. de Burgh Graham.

Mr. David de Burgh Graham:

Thank you.

To start, you talked about the number of reported incidents increasing massively. I'm more curious about the unreported incidents. Do we have any way of gauging how many there are? And how can we ensure that unreported incidents cease to happen and they all become reported?

Dr. Gregory Smolynec:

Offhand, I do not know of how we can gauge unreported incidents that would be more than big estimates. We have a comparison of what was voluntarily reported before November 1. We now have some indication of what's been reported since November 1.

Have we studied this issue...?

Ms. Leslie Fournier-Dupelle (Strategic Policy and Research Analyst, Office of the Privacy Commissioner of Canada):

I think on the public sector side of the house, sometimes what happens is that there are institutions that are holders of personal information and that, according to the sense we have from other reporting, may have under-reported. In that case, we can reach out to them and suggest that perhaps breach training is required. Sometimes the breaches are published in the media as “security incidents”, and they are in fact privacy breaches, or there's a privacy element in there as well. We can reach out to institutions or to companies. So there is some sense, but as to how to measure what we don't know, we don't know yet. Perhaps when we have more reporting, we'll be able to track some trends more carefully.

Mr. David de Burgh Graham:

Understood.

In our last meeting, we had an extensive discussion with Mastercard about their systems. One question that Mr. Dubé and I brought up a lot was about the fact that the data is processed in the United States, which from a technological point of view is very logical but from a privacy standpoint raises some obvious concerns, especially with the U.S. PATRIOT Act. I wonder if you have any thoughts or input on how to deal with that aspect and data transiting foreign countries.

Dr. Gregory Smolynec:

We're currently taking a serious look at our transborder data flow guidance. We intend in the not-too-distant future to consult widely on this guidance. It's a live issue for our office. We're thinking deeply about it and trying to solicit input from various stakeholders.

Mr. David de Burgh Graham:

So we don't have any clear answers at the moment, but there should be some coming.

Dr. Gregory Smolynec:

Yes.

Mr. David de Burgh Graham:

Whether in this Parliament or the next, when you have answers could you send them to this committee?

Dr. Gregory Smolynec:

Of course.

Mr. David de Burgh Graham:

I would appreciate that. Thank you.

I have one last question. In the interest of time, I'll then share what time I have left with Mr. Picard.

Is there any privacy without security?

(1625)

Dr. Gregory Smolynec:

My initial response would be, yes, I can imagine circumstances where security concerns are not paramount, let's say, and a person wants to maintain some aspect of their identity or their personal information private. I suppose you could characterize something as a security issue, but it might be more of a privacy incident. Let's say it's an issue of privacy where an individual who might have access to a space legally, one where security clearances aren't a factor, really shouldn't be snooping—in a workplace, in a domestic setting, in a neighbourhood.

Mr. David de Burgh Graham:

So not really. There are theoretical edge cases where you have privacy without security for it. At the core, if there's no security to protect privacy, the privacy is more or less meaningless in technology.

Dr. Gregory Smolynec:

I wouldn't say so. I think you could have instances where people could be prying into the personal information of others without crossing any kind of physical or other barriers or security impediments, and where it's still a privacy violation that's taking place, but it doesn't necessarily indicate a breach of security.

Mr. David de Burgh Graham:

Thank you. [Translation]

Mr. Michel Picard (Montarville, Lib.):

Good afternoon.

Here's a scenario for you.

In the age of cloud computing and platforms such as iCloud, information on Canadians is stored on servers that belong to Canadian companies based abroad or on servers that belong to foreign companies. In either case, the information is on servers outside Canada; it's just the owner that's different.

To what extent can Canada regulate (a) data stored abroad and (b) third parties holding the information when they are not necessarily Canadian? Where does Canada's legislative authority end? What would you recommend on that front?

Dr. Gregory Smolynec:

First of all, if the personal information of Canadians is at stake, any foreign company holding the information is subject to Canadian law. Canadian statutes applicable to the private sector stipulate that Canadians must provide express consent before their data can be transferred to a foreign jurisdiction.

Second of all, there are limits. Of course, technological advancements and business models operate on a large scale, so it's complicated, but the laws still apply.

The Chair:

Thank you, Mr. Picard.

Mr. Paul-Hus, you may go ahead for six minutes.

Mr. Pierre Paul-Hus:

Thank you, Mr. Chair.

I missed the last question, so I may ask a similar one.

Foreign companies have a hand in our telecommunications networks and infrastructure. When companies with infrastructure in Canada are controlled by countries whose rules are different from ours, it gives rise to privacy protection concerns. Do you share those concerns?

Dr. Gregory Smolynec:

It depends on each case.

Mr. Pierre Paul-Hus:

Here's a real-life example. Chinese company Huawei and its 5G infrastructure are top of mind these days and people are concerned. China could decide to deploy its Huawei infrastructure in Canada. Has your office discussed the issue with the government?

Dr. Gregory Smolynec:

Yes. Since 5G networks are used to share personal information, privacy protection issues or concerns certainly come into play. That is clear.

It is therefore important to make sure the networks are secure and provide adequate protection against a variety of threats including, of course, known threats. As for other countries' companies, we don't have the authority to conduct that kind of analysis.

(1630)

Mr. Pierre Paul-Hus:

I referred to Chinese company Huawei, but I can put the question in more general terms. Does your mandate to protect the personal information of Canadians include monitoring all the infrastructure in place in Canada?

Dr. Gregory Smolynec:

Yes.

Mr. Pierre Paul-Hus:

You have a duty to inform the government of various risks, so do you?

Dr. Gregory Smolynec:

Yes.

Mr. Pierre Paul-Hus:

Very well.

Now I'd like to turn to mobile devices. My iPhone has a facial recognition feature. Apple says my privacy isn't at risk and that the information stays on my phone. I have a hard time believing that. Do you pay attention to issues related to mobile devices such as visual and retinal recognition and the potential transfer of data to companies?

Dr. Gregory Smolynec:

Yes, of course.

We perform technical analyses through our technology analysis directorate.

Mr. Pierre Paul-Hus:

Can you tell us whether we are protected or at risk?

Dr. Gregory Smolynec:

It depends on the specific device.

Mr. Pierre Paul-Hus:

I see.

You can't say whether some companies pose a greater risk than others?

Dr. Gregory Smolynec:

Right now, I can't, no. Not here.

Mr. Pierre Paul-Hus:

Very well.

That is nevertheless the kind of information that is available and in the government's hands.

Dr. Gregory Smolynec:

We have limited capacity. We currently have six people working at the technology analysis directorate, so we don't have the resources to examine every device, network and so forth.

Mr. Pierre Paul-Hus:

Do you have information indicating that, right now, for instance, the facial data captured by my phone has been transferred to some database? Does that happen, in your view?

Dr. Gregory Smolynec:

No, not as far as your personal cell phone goes. Other investigations, however, are concerned with data obtained through visual recognition.

Mr. Pierre Paul-Hus:

You're referring to devices located near doors and other systems.

Dr. Gregory Smolynec:

Yes.

Mr. Pierre Paul-Hus:

I see.

Are Canada's current laws robust enough to deal with organizations or individuals that misuse people's personal information?

Dr. Gregory Smolynec:

As Mr. Therrien, the commissioner, has already said, reforms are needed to bring Canada's privacy laws up to date in both the public and private sectors. It's definitely time for reforms.

Mr. Pierre Paul-Hus:

You mentioned in your opening statement how quickly technology is changing right now. Do you think our laws and your office are keeping pace with all of that change or are we behind?

Dr. Gregory Smolynec:

Legislatively speaking, we are definitely behind. The priority, in our view, is bringing our laws up to date and adopting measures to ensure privacy protection is at the heart of our laws.

Mr. Pierre Paul-Hus:

Thank you. [English]

The Chair:

You can give your 20 seconds to Mr. Motz in the next round.

Mr. Dubé, please, for six minutes. [Translation]

Mr. Matthew Dubé (Beloeil—Chambly, NDP):

Thank you, Mr. Chair.

I'd like to thank all the witnesses for being here today.[English]

To our witnesses, with respect, just quickly before I get to my questions, I did have an opportunity to send my colleagues a notice of motion. I understand that I'm not within the 48-hour delay, but I did want to take an opportunity with my time to read the motion and explain in 30 seconds or less its rationale. It reads: That, pursuant to Standing Order 108(2), the Committee invite the Minister of Public Safety and Emergency Preparedness to appear, no later than Friday, June 21, 2019, to respond to and take questions on the 2018 Public Report on the Terrorism Threat to Canada tabled in Parliament on Tuesday, December 11, 2018.

Quickly, for the benefit of colleagues, the rationale is that we've heard from communities named in this report that there is a concern about what impact that can have. I think that when we see some of the terrorist activities being committed here and abroad against faith groups and other communities, it's become pretty clear that there needs to be a rethinking of how these groups are identified in these reports and a better understanding of the thought process behind them.

I understand that it's based on information from our national security services, but at the same time, the government is the one responsible for tabling it in the House. We're looking to have a dialogue with the minister on that issue given the concerns that have been raised. Among others, they include the Sikh community. At the appropriate time, I will move the motion forward for debate and, hopefully, for approval.

(1635)

[Translation]

That said, thank you for indulging me. I was just taking advantage of the opportunity.

I have a few questions for you.

We often hear about the Internet of things. You mentioned that, oftentimes, businesses aren't aware of all the data they hold or that, conversely, they are aware but keep it anyway even when the data aren't pertinent.

My question ties in with some of the questions that were asked earlier.

When people download apps on their phone and give their consent, rarely do they realize how much access to the data on their phones they are agreeing to share in exchange for the app. In terms of repercussions, how does that tie in with the issue we are studying? When people use banking applications or fingerprint identification to access their account from their phone, for example, what is the impact of using their phone in that way?

Dr. Gregory Smolynec:

You raise a very relevant point. It ties in with public education. Even for people who are familiar with information technology, all sorts of details are not apparent or clear. Our office and the government, as a whole, should conduct public awareness campaigns to educate people about the potential loss of their personal information in different circumstances.

Mr. Matthew Dubé:

A public education scenario we often hear about involves government regulatory requirements related to vehicles. For example, if a particular model is under recall because of a safety defect, manufacturers go to great lengths to inform customers, advertising in the media, making phone calls, sending emails and even using snail mail.

Do you think manufacturers should be required to do more to inform customers about cell phone operating system updates? Unless they pay attention to the right websites or subscribe to sites like Gizmodo, customers rarely know the reason for an iOS update on their cell phone, for instance.

Dr. Gregory Smolynec:

It has to do with consent. If an individual is abreast of changes, new software, new techniques and such, and a major change is made, the company in question absolutely has to obtain the individual's express consent again. Whenever changes are made to the technology, the company must contact consumers to notify them of the change and its effects.

Mr. Matthew Dubé:

Thank you.

I have two more questions for you.

If a data breach occurs or information is disclosed, are the mechanisms in place under the current requirements adequate, for instance, in terms of fines?

My next question follows up on what you said earlier. Should more resources be allocated to the Office of the Privacy Commissioner so that it can keep pace with technological changes? Perhaps that's something we could take into account in our study.

Dr. Gregory Smolynec:

Yes, definitely.

The commissioner and the commissioner's office do not have sufficient authority to deal with the challenges emerging as far as business and society in general are concerned. Not only are legislative improvements needed, but also, the commissioner needs to be empowered to impose penalties and fines, for example.

(1640)

[English]

The Chair:

Thank you, Mr. Dubé.

Mr. Picard, you have six minutes.

Mr. Michel Picard:

I will give my time to Ms. Dabrusin.

The Chair:

Ms. Dabrusin, go ahead for six minutes.

Ms. Julie Dabrusin (Toronto—Danforth, Lib.):

Thank you.

My first question is about moneylenders, because we've been talking about financial institutions and banks. I am hoping you can clarify whether there are differences in the rules applying to moneylending institutions. I know, for example, that OSFI covers banks but not moneylending institutions. Are there differences, and does that give you any cause for concern, from a privacy perspective, when we're looking at cybersecurity as an issue?

Dr. Gregory Smolynec:

Our office does have a mandate to look at federally regulated institutions like our banks. The office does have an oversight role with respect to banks, as well, and the protection of privacy in banks.

I would add that the banking world is changing. We have the potential for open banking internationally, and coming to Canada, too, which will change business models and the way personal information and data flow among financial institutions. This is also extraordinarily consequential with lots of implications.

The bottom line is that the standards, regulations and laws have to be adapted for this evolution, which is both technological and also in business models. They have to be in place before major changes take place.

Ms. Julie Dabrusin:

Fair enough about the open banking, but I'm talking about the places that are on corners. I don't want to give any names specifically, to be picking on any names, but I'm talking about the places used by people who don't really have bank accounts and who are bringing in a cheque and getting their money back at whatever the interest rate is. These are not banks, then, so they fall outside of those regulations. I'm wondering if you have any comment on that with regard to privacy issues.

Dr. Gregory Smolynec:

The general context is that these businesses are covered by our private sector law, or provincial laws that are substantially similar. They are subject to the law, but I have nothing to offer to the committee specifically about these particular institutions.

Ms. Julie Dabrusin:

They don't fall within your purview. Do you review them, as well?

Dr. Gregory Smolynec:

Yes, we do in those instances where the provincial laws are not substantially similar.

Ms. Julie Dabrusin:

We talked a little while back with HackerOne, who suggested that maybe we would want to consider legislation that would allow what they termed “white hat hackers”—I wish I could think of a better term for it and say “good person hackers”—who would help to poke at systems and find out where the problems might be.

From a privacy perspective, what would your thoughts be? If we were going to create that kind of legislation, what kind of protections would we need to be thinking about to enable people out there who are not part of, say, the public sector to start hacking into our systems?

Dr. Gregory Smolynec:

In part of my statement, I referred to cybersecurity reinforcing privacy and that they could be mutually reinforcing, but you also have occasions where perhaps excessive or inappropriate cybersecurity could have implications for privacy.

How good is the white hat hacker at protecting someone's privacy? They should not have access to some individual's personal information, if they are doing this hacking in the interest of cybersecurity. It would still not be good from a privacy perspective if individuals who are doing something for the benefit of enhancing cybersecurity are violating privacy.

Ms. Julie Dabrusin:

I see that. I'm just trying to see what kind of protections we might be able to build in to enable that kind of a system, if we were going to do what had been asked of us by the HackerOne people. I can't remember what they suggested, but money would be offered to white hat hackers if they could find weaknesses in a system, as a way of getting people who are creatively hacking in.

The problem is, I guess, is that once they do that, they do have access to private information, potentially. Is there anything you can think of that we should think about as far as building in protections is concerned?

(1645)

Dr. Gregory Smolynec:

There might be some ways of doing things in an experimental environment that do not put real people's private information at risk. In the military and other organizations, as well as in some cases...in the privacy world too you can war-game cyber operations in a protected space. That might be an area to explore. In the privacy world there's even some war gaming of privacy protection as well.

Ms. Julie Dabrusin:

I see that I have half a minute. I'm going to give that....

The Chair:

You're going to give it to Mr. Motz. Mr. Motz loves this.

Ms. Julie Dabrusin:

I was giving it to the collective pool of extra time. I could just talk it out for the next 20 seconds.

The Chair:

There's a plus and a minus here, Mr. Motz.

You have four minutes, please.

Mr. Glen Motz:

Thank you, Mr. Chair.

Thank you, witnesses.

I just want to continue the line of questioning by Ms. Dabrusin.

Would Canada be better off having a vulnerability disclosure agreement with what I'll call “ethical actors”, so they are protected when they find faults in a company's system, so that it can be fixed before it is exploited. I think what you're trying to get at is that it would be beneficial to all Canadians.

Dr. Gregory Smolynec:

I haven't considered, nor has our office considered, the implications of ethical or white hat hacking for us to be able to give a detailed response. We could undertake to consider this space and come back to the committee with a more considered answer.

Mr. Glen Motz:

At my age, I know that sometimes I forget some of the witnesses' testimony, but we did have specific individuals here—and HackerOne was one of them—who do great work ethically to protect the consumer.

If this or the next government is looking at protecting against an adverse economic impact on Canadians by improving our cybersecurity, I would think we should have some understanding around some protections for those individuals. What are your thoughts on that?

Dr. Gregory Smolynec:

Our interest would be ensuring that people's privacy is protected, regardless of what the.... There may be a balance of interests here to consider, but in this context, I would say that citizens' privacy needs to be protected in their own right.

Mr. Glen Motz:

Yes, I agree with that. I suppose it's like national security to some degree. There's a balance between privacy and the need to protect national security. I think in the same way, if we have an ethical hacker who is able to protect the.... If there's some structure around how they operate, some protections for them as well as protecting the data of consumers, it's something that I would think that we should maybe consider pursuing.

I'll move on to a different line of questions.

You made a number of recommendations when you were at the Senate banking committee. One of them was that your office be granted enforcement authorities, including the right to independently verify compliance without grounds to ensure that an organization is in fact accountable for protecting personal information. Have you had any push-back from the private sector since you made that recommendation at the Senate?

Dr. Gregory Smolynec:

No, nothing.

Mr. Glen Motz:

How do you envision those enforcement authorities working for the Privacy Commissioner's office?

Dr. Gregory Smolynec:

Pardon me?

Mr. Glen Motz:

How would you see those authorities working for the Privacy Commissioner's office?

Dr. Gregory Smolynec:

This is something that exists in the United Kingdom, and we're actively looking at the United Kingdom in this particular area of enforcement activity to understand what the British experience has been on inspection without grounds.

Mr. Glen Motz:

I have one last question.

We had a witness, I believe it was on Monday, who called Canadians innocent when it comes to our own cybersecurity. What needs to change in Canada, from your perspective, sir, so that citizens are more vigilant about cybersecurity, and thus, their own privacy? You mentioned something to Mr. Dubé about that, but is there something more specific from your side that we can do from a legislative perspective or whatever?

(1650)

Dr. Gregory Smolynec:

I'd say the number one objective, the number one priority, would be privacy law reform, rights-based privacy law reform.

The Chair:

Explain that very briefly.

Dr. Gregory Smolynec:

Currently, I would say that our private sector law is principles based and, in a sense, very broad. In passing, it refers to the privacy rights of Canadians, but a rights basis would recognize, as Canada does, that privacy is an internationally recognized human right and, in the context of a human right, that there are also procedural rights associated with it. It would also recognize that this would be applied broadly across both public and private sectors. Canadians should be informed of their rights and how to exercise those rights. It's both a legislative challenge and an associated public education challenge.

Mr. Glen Motz:

With rights and responsibility?

The Chair:

Thank you, Mr. Motz.

I think you've used up Mr. Paul-Hus' extra time and Ms. Dabrusin's extra time.

Mr. Glen Motz:

Thank you, I appreciate your indulgence.

The Chair:

Mr. Graham, you have the final four minutes, please.

Mr. David de Burgh Graham:

Thank you.

It's not directly related to you, but I want to use this opportunity to clear up some questions that keep coming up.

Black hat hackers and white hat hackers are long-held terms in the technology community. I just want to put that out there since there's confusion about it. There are also grey hats, and we can get into a whole discussion about that.

Another point I want to make sure everyone is aware of is cracking versus hacking. If you put duct tape on a bottle of WD-40 to make it go to space, that's a hack. If you use that to break into a bank, that's a crack. I want to make sure we have that distinction very clear out there.

The Chair:

I'm going to buy a can of WD-40 much differently from now on.

Mr. David de Burgh Graham:

Yes, I hope you do.

I want to come back to you for a second. You said you had a technical research division of six people. What kind of expertise do they have? Are they looking at servers, networks and routers and taking phones apart? What kind of people are they and what kind of things are they doing?

Dr. Gregory Smolynec:

We have a small group of technologists, scientists and engineers. They look at things, from particular devices to larger systems such as the Internet of things. They participate in the development of guidance, for instance, on biometrics, on de-identification, on the Internet of things itself and on the risks and vulnerabilities to privacy associated with new technologies. They support our investigations with forensic analysis, and we're developing a capability for the custodianship of evidence, etc. It's part of our investigative program.

It's a wide range of activities and tasks that absolutely exceed the capacity of the small team, which is very capable in its own right, but there are only six people with a small lab.

Mr. David de Burgh Graham:

Okay. It's a full lab, but just not a very big one.

Dr. Gregory Smolynec:

We have a small lab to conduct experiments offline to protect our networks and government networks.

Mr. David de Burgh Graham:

If these experts take apart a phone, for example, and find a significant privacy vulnerability in it, what would be the course of action?

Dr. Gregory Smolynec:

It depends on the context in which it is happening. If it's in the context of an investigation, which is often the case, as we do a lot of support for investigations, that information—evidence, so to speak—would become part of the report of findings of our investigation.

Mr. David de Burgh Graham:

You work with outside organizations such as the Electronic Frontier Foundation, which is one of my favourite examples. They are constantly doing this type of work, putting that work out there, validating it and vice-versa.

Dr. Gregory Smolynec:

Yes, we have networks of external partners, not the least of which are our international data protection authority partners, our provincial data protection authority partners, as well as privacy commissioners across Canada and around the world.

Mr. David de Burgh Graham:

We've heard a lot in the past in this committee and other committees about anonymization of data. At the industry committee, there was a very brief discussion of a StatsCan study on banking data, for example. It's very possible to anonymize this type of data. Is it possible to “de-anonymize” this type of data?

Dr. Gregory Smolynec:

Yes. One of the things we're looking at is standards. In fact, as we speak, the acting director of our technology analysis directorate is in Israel for a meeting of the International Standards Organization on de-identification. The problem, however, is that data sets can be combined to reidentify individuals. So it's a very complex area.

(1655)

Mr. David de Burgh Graham:

Thank you.

The Chair:

With that, we'll have to close this session. I want to thank both of you on behalf of the committee for your testimony. We are now suspended.

(1655)

(1655)

The Chair:

Colleagues, we're back on. Mr. Foster has been very generous and waited patiently for us. Can I get some guidance from you as to how much time we can have with this panel? If we end at 5:30, that will be 35 minutes.

Mr. David de Burgh Graham:

A reduced quorum...?

The Chair:

Is the vote at 5:45 or is it six o'clock?

Mr. Matthew Dubé:

It's at six o'clock. They are half-hour bells—

The Chair:

Half-hour bells, so the bells are going to start ringing at 5:30. Do I have a general consensus that we push it past 5:30 . for at least 10 minutes?

Mr. Pierre Paul-Hus:

So that's 5:40.

The Chair:

Is that good? Is everybody fine with 5:40?

Some hon. members: Agreed.

The Chair: I'm assuming that you can stay past 5:30.

Mr. Glenn Foster (Chief Information Security Officer, Toronto Dominion Bank):

I can stay. No problem.

The Chair:

Thanks, Mr. Foster.

As you know, you generally have a 10-minute opening statement. The committee would not be upset if that were less than 10 minutes. So with that—

Mr. Glenn Foster:

I'll do my best.

The Chair:

It's an opportunity. Please, go ahead.

Mr. Glenn Foster:

Thank you.

My name is Glenn Foster. I'm the senior vice-president and chief information security officer of TD Bank Group. I'm responsible for TD's cybersecurity program across all of TD's activities globally.

TD is the sixth-largest bank in North America by branches and serves more than 25 million customers. We rank among the world's leading online financial services firms.

I'm here to talk to you about cybersecurity and its impact on financial services, Canadian consumers and national security. Traditional banking services have continued to become more digital. A recent CBA poll found that 76% of Canadians are using digital channels, both online and mobile, to conduct most of their banking transactions.

More than half of those polled say this is their most common banking method. This is true for TD customers as well. We have more than 12.5 million active digital customers and 7.5 million total active mobile customers. We complete 1.1 billion digital transactions per year in North America, and we have the highest digital penetration of any bank in Canada, the U.S., the U.K., and other parts of Europe.

Meanwhile, cyber-threats continue to become more sophisticated, driven by the commoditization of crime in the underground economy; the loss of top secret nation state intelligence technologies, when made available to bad actors; innovative technologies that spur advances in automation; geopolitical tensions and increased activity against global financial service participants and payment systems.

Recent economic sanctions have further increased tensions and have motivated retaliatory actions, cyberespionage campaigns, and attacks on financial services and critical infrastructure globally by nation state actors.

The proliferation of data breaches has significantly exposed consumer data and places pressure on banks' ability to authenticate customers.

This exposure of consumer data has also led to new automated attacks in which criminals leverage stolen account credentials and test them against online banking sites at a significant rate, an attack that's known as credential stuffing.

At TD, we have invested heavily in cybersecurity as one of our top priorities to ensure that we can protect our customers and live up to the high expectations of trust they place in us. We have a strong history of information sharing and collaboration with other Canadian banks through the Canadian Bankers Association, and across sectors of the Canadian economy through the newly formed Canadian Cyber Threat Exchange. We understand how critical it is to share intelligence on threat actors, and we consider it a best practice to combine our defences, as our ability to prevent, detect and contain cyber-attacks increases significantly when we work together as opposed to individually.

The effectiveness of our information sharing is limited based on current privacy laws and legal barriers. Legislative reforms allowing for safe harbour provisions for proactive protection could benefit our efforts. We support the government's creation of the Canadian Centre for Cyber Security under the Communications Security Establishment. We've been a long-time proponent of centralized authority for collaboration with the private sector.

Working with the Canadian Cyber Threat Exchange, we have established a solid structure for public-private partnerships and sharing. The critical part of the centre's mission should be not only information sharing and intelligence but also developing and implementing national strategies for cyber resiliency, preparedness and response.

The centre should be effectively resourced to engage with the private sector in establishing and measuring minimum security baselines for critical infrastructure sectors. The public and private sector would also benefit from coordinated resiliency tests and response capabilities verus systemic cyber events for critical infrastructure, which will prepare the centre to be the central point of coordination with the private sector in response to a national security threat.

It is important to note that cyber protection and safety are the responsibilities of not only financial institutions and government but also Canadian consumers.

Security practices fail when individuals do not understand their personal accountabilities and do not practise due care in their digital lives. Therefore the new national strategy is focused on educating Canadian citizens on cyber safe practices, which is vitally important to increasing their literacy with regard to risks and expectations.

The ever-increasing cybersecurity demands require a robust and highly skilled workforce. Various external benchmarks suggest an unmet demand of over one million open positions for cyber talent in North America alone.

At TD, a premier employer in Canada, our focus on talent is a top strategic pillar of our cyber program. We face increasing competition for cyber talent in Canada, and we are collaborating with academic institutions to create strategic partnerships such as the one mentioned in our announcement last year of our partnership with the cybersecurity institute of the University of New Brunswick.

We have also expanded our geographic footprint to the United States and Israel to meet talent demands. We are committed to growing the next generation of cyber talent here in Canada and encourage the federal government to accelerate the development of robust educational programs at Canadian universities to provide for the cyber workforce of tomorrow.

(1700)



I am pleased to be here to discuss Canada's approach to cybersecurity, and I look forward to our discussion.

The Chair:

Thank you, Mr. Foster.

Mr. Picard, we will go with the six-minute rounds again.

Mr. Michel Picard:

Welcome, Mr. Foster.

In how many countries can we find TD bank offices or branches?

Mr. Glenn Foster:

I don't know the exact number. I would have to get back to the clerk.

We're primarily a North American bank with other securities investments firms overseas.

Mr. Michel Picard:

Is the network that you use for your transactions in Canada a private network, or is it the Internet—the web in general? How is the security managed when you have access to your bank from outside Canada through your branches or offices?

Mr. Glenn Foster:

We have various connection methods based on the products or the stores or branches themselves, but the majority of our transactional traffic is through our online and our mobile applications, which will be coming in over the Internet.

Those connections are based on both browsers and our proprietary mobile applications that customers very commonly put on their smart phones, and they use standard PKI-based encryption to protect those transmissions from end point to end point.

Mr. Michel Picard:

Is the information related to Canadians only for personal identification or information all in your server in Canada, or can some of that information be found or copied elsewhere in your branches in foreign countries?

(1705)

Mr. Glenn Foster:

All of TD's data centres reside within Canada.

Mr. Michel Picard:

So outsiders, i.e., TD bank outside of Canada, or any other third party talking to your server, then enters into your server in Canada in order to have access, if possible, to the information that you have.

Mr. Glenn Foster:

Yes.

For our core banking systems, there would be direct connectivity to us within our data centres in Canada. Now, TD does have external third party service providers for various banking services and customer services. Those services may reside within other countries, such as the United States.

Mr. Michel Picard:

We cannot compare your system with other companies', of course, because it's private, but we are talking more and more about open banking. What is your take on that?

Mr. Glenn Foster:

As a security professional for a number of years, my opinion is that the integrity of any security scheme is reliant on a closed loop between the consumer of services and the service provider of the banking services. Any intermediary that's in between inherently weakens the security scheme.

Mr. Michel Picard:

With the concept of open banking, do I understand it correctly when you say that if there will be a third party, that's a vulnerability to the system?

Mr. Glenn Foster:

Yes.

Mr. Michel Picard:

Do you need a unique system then?

Mr. Glenn Foster:

When it comes to authentication of credentials, a third party would inherently have to have access to those credentials for online banking. Of course, there are various models. There's the U.S. model, which is very much market driven, which allows us, as banks, to contract with these third parties and provide certain assurances over their security. The U.K. model is very much open; therefore, anyone could consume those services.

Mr. Michel Picard:

If or when you are a victim of a hacking or an attack, do you declare this to an authority, and how long do you do it after the fact?

Mr. Glenn Foster:

I'm sorry. Could you repeat the question?

Mr. Michel Picard:

When you are a victim of a hacking aggression, do you declare that to an authority somewhere—to the government—and how long after the fact do you declare that?

Mr. Glenn Foster:

Our primary regulator, which is OSFI, provides very prescriptive guidance on reporting requirements. The requirement is 72 hours, based on a described severity scale.

Mr. Michel Picard:

Thank you.

I had six minutes.

The Chair:

You have a couple of minutes left.

Mr. Michel Picard:

I have plenty of time. Do you want a coffee or something?

Some hon. members: Oh, oh!

Mr. Michael Picard: Should we regulate the announcing of an attack not only in terms of time, to make it as fast as possible, but also use this information and spread it all over the market to inform everyone, protecting the information of the person or the company, but doing it in a way where this information may be helpful somehow?

Mr. Glenn Foster:

As for privacy information and the protection of the consumer PII, I believe the privacy laws and reporting time frames are adequate. As a bank or large institution, we go through various security scans, looking for malicious activity on a daily basis. The question really comes down to finding the threshold of abusive activity, whether some activity is actually a problem. My view would be that the reporting we do at our primary regulator is adequate.

The typical things we see at TD Bank relate to attempts at customer-based criminal activities against our online banking systems. One of the things I mentioned in my opening remarks was credential stuffing. If you look at all of the data breaches that exist now from Marriott, Yahoo, etc., we have millions, in some cases billions, of credentials. Yahoo reported 3.5 billion sets of credentials. Criminals are scripting attacks against various banks, looking for consumers who reuse their user names and passwords throughout the institution. The volume of that traffic is significant, and it forces banks and corporate defenders to invest in leading technologies to remediate that traffic. That becomes business as usual for us, no different from fraud losses within a period of time.

The Chair:

Thank you, Mr. Picard.[Translation]

Mr. Paul-Hus, you may go ahead for six minutes.

Mr. Pierre Paul-Hus:

My colleague asked you a question about data storage. As you pointed out, TD Bank generally stores its data in Canada but may also store some data in the U.S.

On Monday, we heard from Mr. Green, the head of cybersecurity at MasterCard, and he told us that banks were the ones keeping the data on file.

You work with Visa. Do you store the data related to TD Visa cards here, in Canada, or in the U.S.?

(1710)

[English]

Mr. Glenn Foster:

The core processing is outsourced and that data actually resides in the United States. [Translation]

Mr. Pierre Paul-Hus:

I see.

I'd like to come back to the oft-mentioned ethical hackers.

What you do call them again?

Mr. David de Burgh Graham:

The term is white hat hackers.

Mr. Pierre Paul-Hus:

Very good.

In 2017, TD created the red team, a group of ethical or white hat hackers that work for the bank and spend 24 hours a day looking for holes in the system.

What kind of service contract do you have with those individuals? [English]

Mr. Glenn Foster:

Good question. Even prior to the development of the red team, we had our own internal ethical hacking team as well. The purpose of that team was to support our system development activities and make sure a credit system was secure before we placed our trusted data in it, or exposed it to customers. The red team, specifically to your point, is made up of ethical hackers who test our production systems on a daily basis. Those are internal employees. We augment those resources with experts in the field. We do that not just for capacity, but also for shared expertise, because the way to strengthen this industry is by constantly bringing in new skills, new talents, and continuously testing our systems. [Translation]

Mr. Pierre Paul-Hus:

I'd like to talk about the trust relationship between the bank and the group. At their core, they are people who enjoy hacking. What they do is slightly criminal, but you hire them to work as the good guys, if you will, helping the bank and supporting its system.

How do you make sure you can always trust them? [English]

Mr. Glenn Foster:

Obviously, these employees go through our pre-employment screening. We do background checks, etc. They are part of our insider risk program, and they're aware that because of the sensitive position they hold in are testing production systems where customer data may reside, they will be continually monitored beyond the level that average employees are subject to. They will go through a periodic screening on an ongoing basis. [Translation]

Mr. Pierre Paul-Hus:

You said that TD had a cybersecurity office in Israel. We heard from two witnesses who cited Israel as their preferred location.

Why is Israel so important from a cybersecurity standpoint? [English]

Mr. Glenn Foster:

Israel has a unique ecosystem in regard to their mandatory military service. They were very early adopters and had early recognition of the importance of cybersecurity. The availability of talent and high skills in that location are very desirable. That said, we are very selective about the positions we place over there. We look at security innovations, security intelligence, and monitoring for potential risks to TD Bank or our customers. In some cases, we run proofs of concept for rapid development of cyber-tools and products. [Translation]

Mr. Pierre Paul-Hus:

You mentioned Israel's ecosystem with respect to military service. Ultimately, Israeli culture offers a certain way of looking at the world. Security is a huge issue for them. We've heard a lot about Israel. How can Canada follow in Israel's footsteps to make sure young Canadians are better equipped for the challenges or take an interest in the issue?

You brought up the military. I served in the armed forces. It may be beneficial to look to Canada's military as well. Cybersecurity plays a big role in military operations, but it's done in a bubble. Is there a way to work with the military in that regard? [English]

Mr. Glenn Foster:

Their mandatory military service gives them an advantage, not just from the mindset they have but the networks they create. What's unique of their small ecosystem is that they leverage those military networks throughout their careers. Somebody could be working for Intel or somebody could be working for IBM, and they're working on a unique problem. It spurs very interesting collaborations. In some cases, it spurs a lot of the start-up nation mentality that you hear.

(1715)

[Translation]

Mr. Pierre Paul-Hus:

Thank you. [English]

The Chair:

Mr. Dubé, you have six minutes, please. [Translation]

Mr. Matthew Dubé:

Thank you, Mr. Chair.[English]

Mr. Foster, thank you for being here.

I want to talk about artificial intelligence. It has been raised a few times. In particular, it's being used by bad actors to learn how to attack weaknesses in systems. My understanding is that more and more we're seeing it being used also as a protective measure, learning how to protect.

I think TD acquired an AI start-up last year. I'll start with the security perspective and I'll get to other aspects of it.

From a security perspective, for both defending and your perception of those who are attacking, what's your sense of the current state of affairs?

Mr. Glenn Foster:

I'll start with the attackers.

Although we're highly concerned about adversaries leveraging artificial intelligence to attack us, we haven't seen many examples of that in practice. Given that it's an evolving space, it's one that our threat intelligence team monitors very closely.

On the defence side, it's a significant asset and tool for us. Traditional security products were very good at a period of time where attacks were very repeatable. You could define signatures; you could block them.

Current attacks are very sophisticated. They're evolving on an almost daily basis. From the time of zero day out in the public to the time the commercial vendor can patch, to the time that large institutions can patch those vulnerabilities, the window, although getting so much shorter, is still significantly greater than the speed at which adversaries can develop scripting and start scanning everyone on the Internet. Part of that automation, in some cases using AI to be more rapid in how it identifies these vulnerabilities, is becoming a much more significant problem for us.

How we detect the more sophisticated actors in some of those regards, where they know how to get around our traditional security equipment, is through AI and machine learning and big data.

Mr. Matthew Dubé:

Thank you for that. That's the security side.

From a business or marketing side, AI can also be used to advance the needs of a business, to identify customer needs, and so forth. Layer 6, which you acquired, actually even says in their mission statement that they use machine learning technologies to help businesses better anticipate their customers' needs, which is a laudable goal. Those of us who use banking apps see these things being incorporated, where they're trying to predict spending trends or things such as that.

How does that get used? I know it's a broad question, but I want to understand. If data is being collected inevitably, how does your organization, your business or your bank, go about culling that information and making sure you're not gleaning things that maybe shouldn't be gleaned or that haven't been consented to, at least not explicitly?

Mr. Glenn Foster:

In regard to data protection, not just for Layer 6 but for any technology system within TD Bank, we go through a very robust accreditation process that we call our “secure SDLC” program. That really starts in understanding basic requirements, risk assessments and privacy impact assessments, and then providing prescriptive measures on how that data is supposed to be protected. We have a very robust data classification standard. Then we leverage various schemes to protect that data.

The first strategy, of course, is if you don't actually have an explicit need, you don't get the data. Then there are various techniques, from tokenization obfuscation to encryption, to protect that data.

Mr. Matthew Dubé:

I appreciate that.

The other aspect I wanted to go to is with regard to apps. Earlier, I was asking the Office of the Privacy Commissioner about this notion that when you install an app on your phone you're sort of giving broad permission. Some of the time it's explicit and other times it's less so in terms of such-and-such app wanting to access your microphone, your camera, and this, that and the other thing.

When your organization is developing the app, I'm wondering how you reconcile what's going on within the application for the banking activity of the client and the fact that there might be a variety of flaws that exist within, whether it's the firmware or other flaws that are being exploited within the mobile device itself. How does that work? What do you see as recommendations going forward?

(1720)

Mr. Glenn Foster:

All I can tell you is how we approach the security with the TD Bank for our applications.

You're right. Our application has to live in an ecosystem. No different from your computer, it's dependent upon the underlying operating system and the firmware. We build those applications with a couple of principles in mind. One is least privilege. Of the data that's in there, we try not to persist any data on the device itself. That way, if there are any inherent weaknesses, there's no data there for it to actually access.

We make sure the application is hardened. I mentioned the ethical hacking team that we have, in addition to the red team. Their role within the bank is that prior to the launch of any of these products, they perform very robust security testing, to make sure the application adequately insulates the application from the other things that are going on within the device itself.

Mr. Matthew Dubé:

Thank you.

The Chair:

Mr. Graham, please, for six minutes.

Mr. David de Burgh Graham:

Thank you. I'm going to follow up a bit on Mr. Dubé.

How secure is an app on a jailbroken phone?

Mr. Glenn Foster:

How secure is an application on a jailbroken phone?

Mr. David de Burgh Graham: Yes.

Mr. Glenn Foster: It's not very secure at all, which is why we have jailbreak detection in our applications. We will actually suspend services for that application if it is jailbroken.

The issue, obviously, is that malicious code could end up very easily on that phone. Also, we've talked about encryption from point to point. Data could potentially be exfiltrated as a result of malicious code running on the device.

Mr. David de Burgh Graham:

Right, because you said before—

The Chair:

Mr. Graham, I'm sure there is somebody else on this committee who doesn't know what “jailbreak” means. Could you explain that?

Mr. David de Burgh Graham:

I can explain it to you if you don't count it against my time.

The Chair:

I'm not counting your time. I'm sure this is all for greater edification.

Voices: Oh, oh!

Mr. David de Burgh Graham:

How do I explain this in 10 seconds?

Do you want to explain what a change of jail is and what a jailbreak is?

Mr. Glenn Foster:

The simplest way to explain jailbreaking is that when you get your phone from your provider, you can only load applications through their approved app store. Jailbreaking is essentially a hack that you can find on the Internet to allow you to sideload applications around what was already approved by your service provider.

Mr. David de Burgh Graham:

It allows you to use your phone as a computer. It's much more usable, but much less secure, so it's a trade-off.

The Chair:

Okay. I see. Thank you for that.

Mr. David de Burgh Graham:

The reason I wanted to get to jailbreaking a little is that you talked earlier about PKI: public encryption, public key systems. If you have a jailbroken phone, your private key can be compromised, and therefore everything you are doing is very easily compromised. Is that a fair assessment?

Mr. Glenn Foster:

It's not quite as easy as that. There is a risk there. The risk to that device actually increases, and then obviously we want to know if that phone is jailbroken so we can make risk-based decisions on that user or any transactions they're trying to perform.

Mr. David de Burgh Graham:

Okay.

I have a financial institution-specific question, fortunately, for you. Last fall, my wife lost her credit card, and of course it got used quite a bit. There was nothing we could do about it because they used the tap function, and there's absolutely—

Mr. Jim Eglinski (Yellowhead, CPC):

I'm older—

Voices: Oh, oh!

Mr. David de Burgh Graham:

It took her two days to notice that she'd lost it, but anyhow.... We don't have to put that in our Hansard.

The point is that there is no security on these tap cards that I can see. What is the method to secure PayPass and payWave, the RFID technology that we're using now? Is there anything we can do to actually make it secure?

Mr. Glenn Foster:

EMV payments are using fairly advanced cryptography. I wouldn't say they're insecure.

Mr. David de Burgh Graham:

They're secure so long as you have them, but if you lose them, there's nothing to authenticate that the person using it is the person who's supposed to be using it, which there is with PINs and, to a certain extent, with the numbers on the back of card. There's none whatsoever for tap.

Mr. Glenn Foster:

All I can say is that within the banks we have various fraud strategies and limits on EMV payments as a result of that. I'm sorry to hear about your wife's experience.

Mr. David de Burgh Graham:

They didn't refund it because we hadn't reported it missing. We didn't know it was gone until we got about $200 in charges in that time. My point is only that this can happen and there's no practical system to stop it.

It depends on your goodwill as a bank to refund it, but it isn't ultimately your fault. I'm wondering if there's any way around that, but there doesn't seem to be.

Mr. Glenn Foster:

Again, I'm the technical security person for data and systems. I'd have to follow up with our product folks and product people.

Mr. David de Burgh Graham:

Fair enough.

When I travel around the world, for example, and I use my credit card or my debit card in different places, does TD track where and what I'm doing with it for any purpose other than [Inaudible-Editor] the transaction?

Mr. Glenn Foster:

No, only for fraud purposes.

Mr. David de Burgh Graham:

Fraud purposes. There are no marketing purposes whatsoever at any stage of that?

(1725)

Mr. Glenn Foster:

Your transaction data and the point of sale transaction is what ends up within the systems within TD. Is that your question?

Mr. David de Burgh Graham:

Let's say I go to the bank across the street here, and then I go to Saskatoon and then I go to Taipei. You now know that I'm travelling and you know roughly what I'm buying. Is that data used for anything other than security tracking?

Mr. Glenn Foster:

Again, I'd have to defer to the product folks who do that type of target marketing.

Mr. David de Burgh Graham:

Are passwords obsolete?

Mr. Glenn Foster:

In my professional opinion they still have some value—that's “something you know”—but the value of that credential is dramatically decreasing year over year.

Mr. David de Burgh Graham:

What is the alternative?

Mr. Glenn Foster:

The alternative is various forms of biometrics. You still want some form of something you know, or something you have, along with the biometrics themselves. That's really the “something you are” in the scheme they refer to as “multifactor authentication”.

I think if you look at the thumbprint readers today and at some of the facial recognition technologies in the marketplace, they're becoming far more robust. In most cases they're a more powerful authenticator than a customer's username and password.

Mr. David de Burgh Graham:

That's fair. If your biometrics are compromised, is there anything you can do?

Mr. Glenn Foster:

We bind a biometric to a user, so we can then suspend that and re-enrol the user. We don't retain your entire.... With a thumbprint, for example, none of these devices actually retain your entire thumbprint. They all have their own proprietary algorithm of points that they take, and they actually retain that data only. Schemes vary from device to device.

Mr. David de Burgh Graham:

I have a....

Mr. Glenn Foster:

Your thumb is safe.

Mr. David de Burgh Graham:

The thumb has to have temperature to it, too. It has to have blood flowing, so that's another whole issue.

Mr. Jim Eglinski:

You just hold it in your hand for a while.

Mr. Matthew Dubé:

You've thought about this.

Mr. Jim Eglinski:

Put it in the microwave.

Some hon. members: Oh, oh!

Mr. David de Burgh Graham:

On a slightly lighter note, in Monday's meeting the topic of Y2K came up briefly—I don't remember why—and I didn't have a chance to come back to it. Is TD Y2K38-ready?

Mr. Glenn Foster:

Is TD Y2K38-ready?

Mr. David de Burgh Graham:

If we have the Y2K38 bug.

Mr. Glenn Foster:

We haven't performed a robust assessment on that yet.

Mr. David de Burgh Graham:

Do you have anything left with 32-bit?

Mr. Glenn Foster:

No.

Mr. David de Burgh Graham:

Okay, then you're fine.

Thanks.

The Chair:

Mr. Motz, did you know, as an ex-police officer, that there was something else to jailbreaks than what you thought?

Mr. Glen Motz:

Yes, as a matter of fact, I was aware of that particular—

The Chair:

You were aware? I'm very impressed.

Mr. Glen Motz:

We used to hack into phones all the time.

The Chair:

I see.

Mr. Glen Motz:

Anyway....

The Chair:

Four minutes, Mr. Motz.

Mr. Glen Motz:

Legally.

Mr. Michel Picard:

Of course.

Mr. Glen Motz:

Under judicial authorization, Mr. Chair.

I want to get back to a conversation we started on Monday with some of the other groups that were here. We heard there are some longstanding issues around legacy systems, specifically in the banking industry, for example software that's no longer supported. I'm led to believe that some of our ATMs still use and operate under the Windows XP platform, which is no longer supported.

As a financial institution, are you facing these challenges right now? What are you doing to ensure that your systems are secure and that old data is being transferred or made more secure?

Mr. Glenn Foster:

Like all large enterprises, we have currency issues. We spend a significant amount of our budget on upgrading those systems, including the ATM fleet. Likewise, we operate within a system of layered controls to make sure those networks are a closed loop, that we have adequate encryption from a device back to our systems themselves, and then we have layers of detection to identify any potential misuse to maintain that we're balancing risk along the way.

Mr. Glen Motz:

Okay.

We've been talking at this committee and in the House—and nationally, really—about whether or not to accept Huawei, for example, into our critical infrastructure moving forward. With 5G now on the horizon, is your bank prepared to use servers that are built in whole or in part by foreign entities that are controlled sometimes by foreign governments? How are you navigating that process?

(1730)

Mr. Glenn Foster:

We're currently undergoing an assessment on that, so we haven't arrived at a conclusion, nor have we published a policy on it.

Mr. Glen Motz:

How do you vet your software and hardware now, then?

Mr. Glenn Foster:

On the hardware side, we have an acquisition process that is likewise a security accreditation process, prescribed for any internally built or deployed software. On software acquisition, where you commonly reproduce commercial off-the-shelf software, we also go through an evaluation prior to its acceptable use.

Mr. Glen Motz:

You make sure that it doesn't have any backdoor bugs in it.

Mr. Glenn Foster:

That is correct.

Mr. Glen Motz:

All institutions are subject to cyber-attacks. The banking industry certainly isn't immune. In your experience with TD, where do most of your attacks originate and what kind of information is being targeted?

Mr. Glenn Foster:

The majority of the attacks we see are commonly disguised to look like they're coming from within Canada or within North America more broadly. Where we can trace the original traffic, they're mostly coming from Eastern Europe, Russia or, in some cases, China or North Korea.

Mr. Glen Motz:

What are they targeting, and are you guys using any proactive measures to protect your own infrastructure?

Mr. Glenn Foster:

Yes, we have a dedicated threat intelligence team that monitors the dark web. We collect threat intelligence and indicators of compromise from multiple source providers. We have a very robust sharing capability through the CBA, and more globally with the FS-ISAC and the U.S., where we get significant intelligence on what the community is seeing. We then use that data to look at actual traffic that is coming in and out of our network.

We proactively block known malicious destinations, so that if anything were to get into our enterprise, it would essentially be quarantined right away. We have layers of control and detections throughout our network and our infrastructure, where we can both identify potential bad-actor activity and quarantine devices in real time.

The Chair:

Thank you, Mr. Motz.

Ms. Dabrusin.

Ms. Julie Dabrusin:

When you made your initial presentation, you talked about personal accountability being an issue. Our systems were described earlier as being like armoured cars going between two cardboard boxes. That really stands out as an issue.

To what extent does the bank, for example, create pop-ups when people are putting in their passwords or logging in to advise them, “Hey, if you've used this password somewhere else, you've compromised your security?” Do you have anything where you're informing people about the need to come up with new passwords?

Mr. Glenn Foster:

As an industry, we don't present pop-ups within the log-in transaction. We all provide guidance on our online banking websites about what strong passwords are. We do proactively disable accounts if we suspect there's nefarious activity, or we've identified these credentials on the dark web or what have you. That would force a customer to go through their password reset flow and reauthenticate themselves through other means that they are legitimately who they say they are. Then we reinstate their accounts.

Ms. Julie Dabrusin:

I'm just trying to think about my sense, and what other people have said, and it doesn't strike me as being untrue that people might use a certain number of go-to passwords. That is one of the biggest compromises of their personal cybersecurity.

Mr. Glenn Foster:

[Inaudible--Editor] usually gets passwords or password reuse. It's commonly obtained through various breaches at less sophisticated companies.

Ms. Julie Dabrusin:

I know that when you sign on to different sites, they all say, “You need stronger passwords.” You've used a capital letter and thrown in some type of symbol, a number sign or something, and a certain number of characters, but there's nothing I can picture that says, “Hey, have you used this password before?” Is that not a simple way to at least jog people's memory? Sure, you're doing this because it's convenient, but you're reducing your security. Is there not something you could put in there, as part of those eight symbols or letters, or whatever thing you prompt people on?

Mr. Glenn Foster:

We obviously can look at additional ways to educate customers and consumers along the way.

Ms. Julie Dabrusin:

Thank you.

You talked about the need to have more programs to train people. What hasn't been clear for me is what training is required. It seems there are different types of standards and that some places might hire without a person's having a specific cybersecurity degree, and some places might not. What do you need as training for your workforce? What are you looking for, as training?

(1735)

Mr. Glenn Foster:

It would be to have more academic institutions offering cyber-related programs, and that goes to your point on different depths. Some are on basic security operations, as offered by local colleges, or basics of cybersecurity and networking. You could talk about the ethical hackers or the white hats that we talked about before. Moreover, there's the far more technical level of security that we commonly refer to as “application security”. That would be beneficial.

If you look at the number of schools that offer these types of programs, you see that although we have some leading programs within Canada, they're not as broad as they need to be, and the number of students going in there is not what we need it to be.

I see talent, over the next decade, as probably being the number one crisis within large institutions in how we're going to meet the growing cyber-threat.

The Chair:

We have about four minutes left, and I'm sure Mr. Spengemann would appreciate the generosity of Mr. Eglinski to split that four minutes.

Mr. Sven Spengemann (Mississauga—Lakeshore, Lib.):

Sure.

The Chair:

You can have one question each.

Mr. Jim Eglinski:

I have three questions, but I guess I'm going to have to work really quickly.

You talked about Israel and how collaboration works very well there because a lot of these people came through back-door military training and such.

Do you have a collaboration among the other major lending institutions in Canada? Do you work together and feed information back and forth, for example on what's a bad thing, a good thing, etc.?

Mr. Glenn Foster:

Yes, we do.

Mr. Jim Eglinski:

And in your system, do you have the capability of finding out if someone is hacking the customer's system at home? Can you let your customers know through your ability to check them?

Mr. Glenn Foster:

On the first part of that question of whether we share information with each other, yes, there is a threat-intelligence working group under the CBA cybersecurity specialty group, which all the banks and CSE attend and provide updates to as well, which we find very helpful.

We share indicators of compromise. These are technical indicators on the types of threats and bad actors that we see and how to identify them. We find there's a great strength in doing that. We know that adversaries, criminals, share very broadly in the dark web and in other chatter about vulnerabilities they find in institutions and banks. I think likewise, we should take advantage of that.

On your second question of whether we see vulnerabilities that occur in the customer's home, no, we do not. Typically all we see is the transaction as it comes into our servers.

Mr. Jim Eglinski:

Did that sound like two minutes?

The Chair:

Almost, but Mr. Spengemann is going to appreciate your generosity. He might even send you a birthday card.

Mr. Jim Eglinski:

Thank you. That's very nice of you, Mr. Chair.

Mr. Glen Motz:

I'll send candles.

Mr. Sven Spengemann:

Thank you, Chair, and thank you, Mr. Eglinski.

Thanks very much, Mr. Foster. As a former employee of TD, it's a pleasure to welcome you.

I'll roll my questions into one. We have the privilege of having you here as the chief information security officer of a major bank. Can you give us some insights into how your role is structured, what your responsibilities are and how you intersect with other major parts of the bank?

In the same breath, can you give us an appreciation of how much room there is for a major bank to be creative to develop its own security platforms? To what extent are you really constrained by the realities of the use of digital technology in limiting, first of all, the percentage of expense on security, but also the options that exist in terms of what you do to protect daily operations?

Mr. Glenn Foster:

Where I sit organizationally, I report to the head of enterprise operational excellence, who reports to our group head, who reports directly to our CEO. My group has a head of innovation technology and shared services at TD Bank.

We felt that for strong governance, it was important to separate the CISO role from the technology organization, both for objectivity and as a reflection that cyber is really a business risk, not a technology risk.

We find that business engagement, in terms of process and products and how we engage our customers, is paramount to the success of our cybersecurity program.

As far as your other question is concerned, I had a bit of difficulty understanding whether you were talking about a percentage of spending or caps on spending.

(1740)

Mr. Sven Spengemann:

It was on the cost of providing security. In other words, are your options effectively prescribed or constrained by the current marketplace, or are there creative options and even differences among the major banks in terms of how much they spend on security as a percentage of total operating costs?

Mr. Glenn Foster:

I think there is variability among banks, partly because we're not necessarily all organized exactly the same way. If you look at any information security organizations, it's the 80-20 rule: 80% of us have the same things in our organization, and 20% may be federated or decentralized in other areas. It's very difficult to track apples to oranges.

At TD bank, cyber is the top risk. Getting budgets is not a problem for me. We have top executive support, we have board support, for the program. Any constraint I face would probably be in the form of two things.

First is the amount of change the organization can go through in a given year. This is a fast evolving space. My spend has been growing at a compound annual growth rate of about 35% to 40% year over year. That's a lot of change to try to push into the organization.

Second is the availability of commercial products. The explosion, as I would call it, of security products within the industry is a lot to weed through to decide what's more hype than legitimate protection. I would find that for the most advanced organizations—we talked about big data and AI—the most uplift in the coming years would be in investments in our own skills and our people with data science and to be able to solve the problems of our bespoke applications as opposed to the general use vendors.

The Chair:

Thank you, Mr. Spengemann.

Unfortunately, we have to bring our time with Mr. Foster to a close.

I want to thank you for your patience with us.

With that, the meeting is adjourned.

Comité permanent de la sécurité publique et nationale

(1610)

[Traduction]

Le président (L'hon. John McKay (Scarborough—Guildwood, Lib.)):

Je constate qu’il y a quorum.

Je vois aussi qu’il est 16 h 10 et que nous devons voter à 17 h 45. Cela étant, nous devrions probablement avoir terminé à 17 h 30, ou un peu plus tard, mais guère plus.

Nous accueillons M. Smolynec, du Commissariat à la protection de la vie privée...

M. Gregory Smolynec (sous-commissaire, Secteur des politiques et de la promotion, Commissariat à la protection de la vie privée du Canada):

C’est exact.

Le président:

... et Mme Fournier-Dupelle.

Je vais les inviter à faire leur déclaration liminaire. Le témoin de la TD qui est sur le point d’arriver craint que la déclaration de la TD ne soit un peu différente de ce que le Commissariat à la protection de la vie privée a à dire.

Je vais y aller à l'inspiration et voir si nous allons regrouper ces deux témoins ou les entendre l'un après l'autre.

Sur ce, je vous invite à faire votre déclaration préliminaire. [Français]

M. Gregory Smolynec:

Bonjour, monsieur le président et membres du Comité.

Je vous remercie de l'invitation à comparaître devant vous aujourd'hui. Je suis reconnaissant de l'occasion qui m'est offerte, étant donné que votre étude porte sur des questions qui concernent les Canadiens et le Commissariat.

Je tiens à réitérer les préoccupations que j'ai exprimées lorsque j'ai comparu devant le Comité sénatorial permanent des banques et du commerce dans le cadre de son étude sur le système bancaire ouvert, à savoir que le secteur financier doit être édifié sur des assises qui comprennent le respect de la vie privée et d'autres droits fondamentaux. Les banques et les autres institutions financières doivent être dotées de normes rigoureuses en matière de cybersécurité et de protection de la vie privée.

Il est important d'expliquer la distinction entre une atteinte à la vie privée et une atteinte à la sécurité, car les deux termes sont souvent utilisés de façon interchangeable.

Une atteinte à la sécurité est un incident qui donne lieu à un accès non autorisé à des données, des applications, des services, des réseaux ou des dispositifs par le contournement des mécanismes de sécurité sous-jacents. Une atteinte à la vie privée se définit comme la perte ou la communication non autorisée de renseignements personnels, ou l'accès non autorisé à ceux-ci, peu importe les moyens utilisés. Une atteinte à la vie privée est plus vaste et peut se produire sans compromettre les systèmes de sécurité.

C'est bien là le défi. La cybersécurité et la protection de la vie privée se chevauchent dans une certaine mesure, parce que la première peut aider à protéger la seconde, mais, dans certains cas, la cybersécurité peut créer des risques pour la protection de la vie privée. Par exemple, il faudra veiller de près à ce que les stratégies et activités de cybersécurité ne conduisent pas à la mise en œuvre de régimes de surveillance massive visant un monitorage ou une analyse illimités et ininterrompus des renseignements personnels des individus.

Les secteurs privé et public ont l'obligation de signaler des atteintes à la sécurité et à la vie privée. En vertu de la Loi sur la protection des renseignements personnels dans le secteur public, cette obligation est prévue dans la politique du Conseil du Trésor, qui exige que le Commissariat soit avisé des atteintes substantielles à la vie privée. Une atteinte est dite « substantielle » si elle concerne des renseignements personnels de nature délicate, si elle peut vraisemblablement causer un préjudice ou mettre en cause un grand nombre de personnes.

Du côté du secteur privé, la Loi sur la protection des renseignements personnels et les documents électroniques exige que les organisations signalent les attaques aux mesures de sécurité concernant les renseignements personnels qui présentent un risque réel de préjudice grave pour les personnes. Les organisations doivent aviser les personnes touchées de ces atteintes et tenir un registre de tous ces incidents.

(1615)

[Traduction]

L'affaire de l'Agence mondiale antidopage — aussi connue sous l’acronyme AMA — est un exemple d'atteinte très médiatisée à la vie privée. À la suite d'une attaque par hameçonnage en 2016, la base de données de l'AMA contenant des renseignements personnels de nature extrêmement délicate sur les athlètes a été compromise par des agents du renseignement militaire russe qui ont, par la suite, transféré certaines de ces données dans le domaine public, menaçant d'en publier d'autres.

Dans le cadre de notre enquête sur l'AMA, nous avons conclu que les mesures de cybersécurité devraient être proportionnelles à la fois à la sensibilité des renseignements personnels protégés et à l'intérêt de ces renseignements pour les acteurs malveillants. Ce raisonnement s'applique également à la cybersécurité dans le secteur financier. La Cour suprême du Canada a statué que les renseignements financiers sont effectivement de nature délicate. D'autres atteintes importantes dont les gens se rappellent concernent Equifax, Ashley Madison et le système de paie Phénix.

Depuis que la déclaration des atteintes à la vie privée dans le secteur privé est obligatoire, le 1er novembre 2018, nous avons constaté que le nombre de signalements provenant du secteur privé a été multiplié par près de quatre. Nous pouvons maintenant compter sur un historique représentant plus de six mois de déclarations d'atteintes à la sécurité des données dans le secteur privé, et beaucoup plus longtemps dans le secteur public, ce qui nous a permis d'émettre un certain nombre d'observations. Cela englobe les institutions qui ne sont pas toujours au courant des renseignements personnels qu'elles détiennent, de l'endroit où ils sont acheminés et des personnes qui y ont accès. Souvent, dans la course à la protection contre les pirates informatiques, la menace interne est négligée; pourtant, les atteintes à la vie privée impliquent non seulement la perte de renseignements personnels au profit de forces externes, mais aussi un accès inapproprié par des acteurs internes. Les exigences de déclaration obligatoire des atteintes peuvent permettre aux institutions de répondre au caractère adéquat — ou à son absence — des plans et des préparatifs en matière de cybersécurité. De plus, les fonctionnaires travaillant pour le Commissariat utilisent ces connaissances pour fournir des orientations aux organisations.

Pour le Commissariat et les Canadiens, le défi consiste à suivre le rythme de l'évolution de la technologie. II est tout aussi difficile de comprendre comment les données personnelles seront utilisées, par qui, et à quelle fin. Même s'il est vrai que les politiques de confidentialité sont rarement lues, nous arrivons peut-être à une époque où la façon dont les données sont utilisées est tout aussi mal comprise. Le Commissariat a examiné les notions de consentement dans ce domaine et a récemment émis des lignes directrices à l'intention des organisations assujetties à la LPRPDE sur la meilleure façon d'obtenir un consentement valable pour l'utilisation des renseignements personnels.

Comme d'autres l'ont indiqué devant le Comité, nous croyons préférable d'aborder ces questions en collaboration. À cette fin, nous collaborons à des enquêtes conjointes avec d'autres bureaux de protection de la vie privée et des données. Nous participons aux ratissages du « Global Privacy Enforcement Network », et nous avons constaté que cela permet l'échange de pratiques exemplaires. Le Commissariat est aussi membre du groupe du réseau des analystes en cybersécurité, présidé par Sécurité publique Canada, et auquel participent d'autres ministères fédéraux. Notre Direction des services-conseils au gouvernement fournit également des conseils aux intervenants du gouvernement fédéral dans ce domaine. D'autres solutions comprennent l’éducation et la sensibilisation auprès des entreprises, en particulier les petites et moyennes entreprises, qui ont souvent du mal à s'assurer que leurs renseignements, y compris leurs renseignements personnels, soient adéquatement protégés.

En conclusion, les organismes de réglementation et les défenseurs de la protection de la vie privée ont un rôle à jouer pour veiller à ce que les stratégies, les principes, les plans d'action et les activités de mise en oeuvre en matière de cybersécurité favorisent la protection de la vie privée en tant que principe directeur et norme durable. Nous devons réformer notre législation sur la protection des renseignements personnels afin de l'adapter à notre objectif, qui est d'assurer la protection de la vie privée des Canadiens à mesure que les technologies et l'économie évoluent.

Je serai heureux de répondre à vos questions.

(1620)

Le président:

Merci, monsieur Smolynec.

Avant de céder la parole à M. de Burgh Graham pour ses sept minutes de questions, j’aimerais faire une mise au point pour mes collègues. La TD craint de devoir s’asseoir à la même table qu'un organisme de réglementation. Je pense que nous devrions respecter cette façon de voir et je vais donc devoir diviser le temps en deux. Cela étant dit, les membres du Comité n’auront pas autant de temps pour poser des questions au Commissariat à la protection de la vie privée, ce que je trouve regrettable.

M. David de Burgh Graham (Laurentides—Labelle, Lib.):

Monsieur le président, j’ai une brève question.

Je n’ai jamais vu de précédent où des témoins ont demandé à être séparés ainsi. Nous recevons souvent des témoins d'avis contraires dans un même groupe. Je ne vois pas pourquoi il faudrait agir ainsi, compte tenu du temps dont nous disposons.

Le président:

Ce n'est pas tant que les témoins s'opposeraient, et sur ce point, je serai plutôt d’accord avec vous, mais il s'agit d'une institution financière qui se trouverait au côté d’un de ses organismes de réglementation à la table des témoins. C’est une préoccupation qui a été soulevée par l’institution financière. C'est un problème de perception, pour ne pas dire un vrai problème.

Il est donc difficile de prévoir du temps pour certaines questions...

M. Glen Motz (Medicine Hat—Cardston—Warner, PCC):

À quelle heure devons-nous terminer, monsieur le président?

Le président:

Je ne fais que calculer. Nous devons avoir terminé à 17 h 30. Ce sera assez difficile, parce qu’il y aura un vote à 17 h 45. Nous pourrions forcer le train...

M. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, PCC):

Le vote aura lieu à 18 heures. La sonnerie retentira à 17 h 30.

Le président:

Eh bien, si mes collègues donnent au président la possibilité de prolonger les audiences...

Un député:[Inaudible]

Le président: Très bien. Merci beaucoup.

Commençons par des tours de six minutes, parce que, dans tous les cas, nous allons devoir réduire...

M. Glen Motz:

Il faut avoir terminé à 16 h 55, et les témoins suivants devront être là.

Le président:

Oui, c'est à peu près cela.

M. Glen Motz: Oui.

Le président: Commençons par des questions de six minutes. Nous passerons ensuite à un tour de quatre minutes chacun, et nous verrons où ça nous amène.

Monsieur de Burgh Graham.

M. David de Burgh Graham:

Merci.

Pour commencer, vous avez parlé de l’augmentation massive du nombre d’incidents signalés. Je m’intéresse davantage aux incidents non signalés. Avons-nous un moyen d’évaluer combien il y en a? Et comment pouvons-nous faire en sorte qu'il n'y ait plus d'incidents non signalés, que tous le soient?

M. Gregory Smolynec:

Je ne vois pas, a priori, comment mesurer les incidents non signalés. Ce seraient des estimations plus qu’approximatives. Nous avons une comparaison fondée sur ce qui a été déclaré volontairement avant le 1er novembre. Nous avons maintenant quelques indications sur ce qui a été signalé depuis cette date.

Avons-nous étudié cette question...

Mme Leslie Fournier-Dupelle (analyste stratégique des politiques et de la recherche, Commissariat à la protection de la vie privée du Canada):

Dans le secteur public, nous avons constaté que des institutions détenant des renseignements personnels font parfois des sous-déclarations, d'après des impressions tirées à la lecture d’autres rapports. Le cas échéant, nous communiquons alors avec elles pour leur suggérer une formation sur les infractions. Parfois, les infractions sont publiées dans les médias comme étant des « incidents touchant à la sécurité », tandis qu'il s’agit en fait d’atteintes à la vie privée ou qu'il en va de la protection des renseignements personnels. Nous communiquons avec les institutions ou les entreprises. Nous avons donc des impressions, mais nous ne pouvons mesurer ce que nous ignorons. Quand nous aurons plus de rapports, nous serons peut-être en mesure de suivre plus attentivement les tendances.

M. David de Burgh Graham:

D'accord.

Lors de notre dernière réunion, nous avons eu une discussion approfondie avec les gens de Mastercard au sujet des systèmes de la compagnie. M. Dubé et moi-même avons beaucoup parlé du fait que les données sont traitées aux États-Unis, ce qui, du point de vue technologique, est très logique, mais qui soulève des préoccupations évidentes du point de vue de la protection des renseignements personnels, surtout au regard du U.S. PATRIOT Act. Comment, selon vous, devrions-nous traiter cette question et les données qui transitent par des pays étrangers.

M. Gregory Smolynec:

Nous sommes en train d’examiner de près nos directives sur la circulation transfrontalière des données. Nous avons l’intention, dans un proche avenir, de mener de vastes consultations sur ces directives. C’est un problème réel pour notre bureau. Nous y réfléchissons en profondeur et essayons de solliciter l’avis de divers intervenants.

M. David de Burgh Graham:

Nous n’avons donc pas de réponses claires pour l’instant, mais plus tard peut-être.

M. Gregory Smolynec:

Oui.

M. David de Burgh Graham:

Que ce soit sous l'actuelle législature ou la prochaine, quand vous aurez des réponses, pourriez-vous les faire parvenir au Comité?

M. Gregory Smolynec:

Bien sûr.

M. David de Burgh Graham:

Je vous en serais reconnaissant. Merci.

J’ai une dernière question. Pour gagner du temps, je partagerai ensuite le temps qu’il me reste avec M. Picard.

Peut-on protéger les renseignements personnels sans sécurité?

(1625)

M. Gregory Smolynec:

Je dirais oui, a priori, car j'imagine des circonstances où la sécurité des données n'est pas primordiale pour celle ou celui qui veut préserver tel ou tel aspect de son identité ou de ses renseignements personnels. On pourrait alors qualifier les dérapages d'incident de sécurité, mais il s'agirait davantage d’un incident lié à la protection de la vie privée. Il pourrait s’agir d’une question de protection de la vie privée quand une personne a, par exemple, accès légalement à un espace sans que les habilitations de sécurité soient un facteur pas plus dans un lieu de travail, dans un foyer que dans un quartier.

M. David de Burgh Graham:

Pas vraiment. Il y a des cas limites où, en théorie, la vie privée n’est pas protégée. À la base, s’il n’y a pas de sécurité pour protéger la vie privée, la notion de vie privée est plus ou moins vide de sens en technologie.

M. Gregory Smolynec:

Je ne dirais pas cela. Il pourrait y avoir des cas où des gens fouillent dans les renseignements personnels d’autres personnes sans pour autant franchir de barrières physiques ou d'autres obstacles à la sécurité. Il s'agirait malgré tout de violations de la vie privée, sans qu'il y ait pour autant atteinte à la sécurité.

M. David de Burgh Graham:

Merci. [Français]

M. Michel Picard (Montarville, Lib.):

Bonjour.

Je vous soumets un scénario.

À l'ère des nuages numériques, par exemple iCloud, des informations sur des Canadiens sont entreposées sur des serveurs appartenant à des entreprises canadiennes à l'étranger ou sur des serveurs appartenant à des entreprises étrangères. Dans les deux cas, ces informations se trouvent sur des serveurs ailleurs qu'au Canada et qui appartiennent à des propriétaires différents.

Quelle est la capacité du Canada à légiférer sur ces informations qui sont à l'étranger et sur ces tierces parties qui ne sont pas nécessairement canadiennes? Quelles sont les limites de la législation canadienne? Quelles sont vos recommandations?

M. Gregory Smolynec:

Premièrement, si des renseignements personnels de Canadiens sont en cause, ces entreprises étrangères sont assujetties aux lois canadiennes. Les lois canadiennes qui s'appliquent au secteur privé énoncent qu'il faut absolument obtenir le consentement exprès des Canadiens pour transmettre leurs données à l'étranger.

Deuxièmement, il y a des limites. Il y a certainement des évolutions technologiques et des modèles d'affaires à grande échelle, et c'est compliqué, mais les lois s'appliquent.

Le président:

Merci, monsieur Picard.

Monsieur Paul-Hus, vous avez six minutes, s'il vous plaît.

M. Pierre Paul-Hus:

Merci, monsieur le président.

J'ai manqué la dernière question. Je vais peut-être poser une question similaire.

Des entités étrangères contribuent à nos réseaux et à nos infrastructures de télécommunications. Actuellement, la protection de la vie privée soulève des préoccupations lorsque des entités possédant leur propre infrastructure au Canada sont contrôlées par des pays qui ont des règles différentes des nôtres. Avez-vous la même inquiétude?

M. Gregory Smolynec:

Cela dépend de chaque cas.

M. Pierre Paul-Hus:

Je vais donner un exemple concret. On parle beaucoup de la compagnie chinoise Huawei et de son infrastructure 5G, qui suscite de l'inquiétude. La Chine pourrait décider de déployer son infrastructure Huawei au Canada. Le Commissariat a-t-il discuté de cette inquiétude avec le gouvernement?

M. Gregory Smolynec:

Oui. Étant donné que des renseignements personnels circulent sur les réseaux 5G, il y a certainement des intérêts ou des questions liés à la protection de la vie privée. C'est assez évident.

Il faut donc s'assurer que ces réseaux seront sécuritaires et adéquatement protégés contre toutes sortes de menaces, et sûrement contre des menaces connues. Quant aux entreprises d'autres pays, nous n'avons pas la compétence nécessaire pour faire cette analyse.

(1630)

M. Pierre Paul-Hus:

J'ai parlé de la compagnie chinoise Huawei, mais je vais vous ramener à la question plus générale. Selon votre mandat de protection des renseignements des Canadiens, surveillez-vous l'ensemble des infrastructures au Canada?

M. Gregory Smolynec:

Oui.

M. Pierre Paul-Hus:

Vous avez le devoir d'informer le gouvernement des différents dangers. Le faites-vous?

M. Gregory Smolynec:

Oui.

M. Pierre Paul-Hus:

D'accord.

Je vais maintenant parler des appareils mobiles. Mon iPhone fait de la reconnaissance faciale. Apple dit qu'il n'y a pas de danger et que l'information reste dans le téléphone. J'ai de la misère à croire cela. Vous penchez-vous sur la question des appareils mobiles, de la reconnaissance visuelle et par la rétine et sur l'information qui pourrait être transmise à des compagnies?

M. Gregory Smolynec:

Oui, certainement.

Nous faisons des analyses techniques. Nous avons la Direction de l'analyse de la technologie.

M. Pierre Paul-Hus:

Êtes-vous en mesure de nous dire si nous sommes protégés ou s'il y a des risques?

M. Gregory Smolynec:

Cela dépend de l'appareil en particulier.

M. Pierre Paul-Hus:

D'accord.

Vous ne pouvez pas me dire s'il y a des compagnies qui présentent plus de risques que d'autres?

M. Gregory Smolynec:

Je ne peux pas pour l'instant, pas ici, non.

M. Pierre Paul-Hus:

D'accord.

Cependant, c'est le genre d'information qui existe et que le gouvernement possède.

M. Gregory Smolynec:

Nous avons une capacité limitée aussi. Pour l'instant, six personnes travaillent à la Direction de l'analyse de la technologie. Il n'y a donc pas une capacité énorme pour analyser tous les appareils, tous les réseaux, tous les...

M. Pierre Paul-Hus:

Avez-vous de l'information qui vous dit qu'actuellement, par exemple, mon visage est enregistré et que cet enregistrement est transféré dans une base de données quelque part? D'après vous, est-ce que cela se fait?

M. Gregory Smolynec:

En ce qui a trait à votre téléphone personnel, non. Toutefois, il y a d'autres enquêtes relatives à la reconnaissance visuelle.

M. Pierre Paul-Hus:

Par exemple, des appareils qui peuvent se trouver sur des portes ou d'autres systèmes.

M. Gregory Smolynec:

Oui.

M. Pierre Paul-Hus:

D'accord.

Les lois actuelles, au Canada, sont-elles assez fortes pour s'attaquer à des organisations ou à des particuliers qui se servent de renseignements personnels à mauvais escient?

M. Gregory Smolynec:

Le commissaire Therrien a déjà déclaré que nos lois doivent être mises à jour et réformées en ce qui concerne la protection de la vie privée dans les domaines public et privé. Il faut sûrement entreprendre la tâche de réformer nos lois.

M. Pierre Paul-Hus:

Dans votre déclaration d'ouverture, vous mentionnez que les avancées technologiques sont très rapides actuellement. Pensez-vous justement que nos lois et votre organisme sont alignés sur l'ensemble de ce qui se passe, ou sommes-nous en retard?

M. Gregory Smolynec:

Nous sommes sûrement en retard sur le plan législatif. Selon nous, la priorité est de mettre nos lois à jour ainsi que d'adopter d'autres mesures pour avoir des lois fondées sur les droits concernant la protection de la vie privée.

M. Pierre Paul-Hus:

Je vous remercie. [Traduction]

Le président:

Vous pourrez donner vos 20 secondes à M. Motz au prochain tour.

Monsieur Dubé, vous avez six minutes. [Français]

M. Matthew Dubé (Beloeil—Chambly, NPD):

Merci, monsieur le président.

Je remercie les témoins d'être présents aujourd'hui.[Traduction]

Avec tout le respect que je dois à nos témoins, avant de poser mes questions, j’ai eu l’occasion d’envoyer un avis de motion à mes collègues. Je comprends que je ne suis pas dans le délai de 48 heures, mais je voulais profiter de mon temps de parole pour lire ma motion et en expliquer la raison en 30 secondes ou moins. La voici: Que, conformément à l’article 108(2) du Règlement, le Comité invite le ministre de la Sécurité publique et de la Protection civile à comparaître, au plus tard le vendredi 21 juin 2019, afin de réagir au Rapport public de 2018 sur la menace terroriste pour le Canada déposé au Parlement le mardi 11 décembre 2018 et de répondre aux questions des membres.

Voici rapidement, et pour le bénéfice de mes collègues, le raisonnement qui sous-tend cette motion. Des représentants de certains groupes nommés dans ce rapport nous ont dit qu’ils s’inquiètent des répercussions possibles. Quand on songe à certaines activités terroristes commises ici et à l’étranger contre des groupes religieux et d’autres milieux, il est assez clair qu’il faut repenser la façon dont ces groupes sont mentionnés dans ces rapports et mieux comprendre la philosophie qui les anime.

Je comprends que tout cela est fondé sur les renseignements de nos services de sécurité nationale, mais en même temps, c’est le gouvernement qui est responsable de déposer le rapport à la Chambre. Nous envisageons d’avoir un dialogue avec le ministre à ce sujet, compte tenu des préoccupations soulevées, comme par la communauté sikhe. Au moment opportun, je proposerai que la motion soit débattue et, je l’espère, approuvée.

(1635)

[Français]

Cela étant dit, je vous remercie de votre indulgence. Je profitais simplement de cette occasion.

J'ai quelques questions à vous poser.

Il est souvent question d'appareils, « the Internet of Things », selon l'expression anglaise. Vous avez mentionné que plusieurs entreprises ne sont pas au courant de toutes les données dont elles disposent ou que, parfois, elles le savent très bien, mais qu'elles les gardent malgré tout, même si ces données ne sont pas pertinentes.

Ma question est liée à certaines posées un peu plus tôt.

Lorsque les gens téléchargent des applications sur leur téléphone, ils se rendent rarement compte qu'ils accordent des permissions qui sont assez étendues quant à ce qui se retrouve sur l'appareil. Quelles sont les répercussions de cela, notamment en ce qui concerne notre étude? Par exemple, lorsqu'on utilise des applications bancaires ou encore une empreinte digitale pour accéder à un compte, quel est l'impact de cette utilisation des appareils?

M. Gregory Smolynec:

Vous soulevez une question très pertinente. Elle touche l'éducation du public. Même pour des gens qui sont informés au sujet de l'informatique, il y a toutes sortes de détails qui ne sont pas visibles et évidents. Le Commissariat et le gouvernement en général devraient donc nécessairement faire de l'éducation pour informer les gens des problèmes potentiels de perte de leurs renseignements personnels dans plusieurs situations.

M. Matthew Dubé:

En ce qui concerne l'éducation du public, on fait souvent le parallèle avec les exigences gouvernementales règlementaires pour ce qui est des voitures. Par exemple, s'il y a un rappel sur un modèle de véhicule pour une raison qui pourrait nuire à la sécurité, on fait beaucoup d'efforts pour nous en informer, on communique l'information dans les médias, on appelle les clients, on envoie un courriel et même du courrier traditionnel.

Croyez-vous qu'il devrait y avoir un peu plus d'exigences quand il y a une mise à jour du logiciel d'un téléphone? À moins qu'on suive des sites Web ou des sites abonnés à Gizmodo ou autre, c'est rare que l'on connaisse la raison précise pour laquelle il y a une mise à jour de l'iOS, par exemple dans le cas d'un appareil téléphonique.

M. Gregory Smolynec:

C'est lié à la question du consentement. Si quelqu'un est au courant de changements, de nouveaux logiciels, de nouvelles techniques, et si un changement substantiel est apporté, il faut absolument avoir un nouveau consentement exprès de la part des individus. Effectivement, s'il y a des changements techniques, il faut communiquer avec les consommateurs pour les informer de ce qui a changé et de l'effet qui en découle.

M. Matthew Dubé:

Merci.

J'ai deux autres questions à vous poser.

En ce qui concerne les exigences actuelles, les amendes par exemple, dans le cas de divulgation, de fuites de données, les mécanismes en place sont-ils suffisants?

Ensuite, je vais revenir à ce que vous avez dit plus tôt. Serait-il nécessaire de revoir les ressources qui sont accordées au Commissariat, à la suite de l'évolution de la technologie, entre autres par l'entremise de l'étude que nous faisons en ce moment?

M. Gregory Smolynec:

Oui, sûrement.

Les pouvoirs du commissaire et du Commissariat ne sont pas adéquats pour affronter les problèmes qu'on voit dans le commerce, dans la société en général. Il faudrait donc améliorer nos lois, parmi d'autres choses, donner des pouvoirs au commissaire, par exemple celui d'imposer des amendes et des sanctions.

(1640)

[Traduction]

Le président:

Merci, monsieur Dubé.

Monsieur Picard, vous avez six minutes.

M. Michel Picard:

Je vais céder mon temps de parole à Mme Dabrusin.

Le président:

Madame Dabrusin, vous avez six minutes.

Mme Julie Dabrusin (Toronto—Danforth, Lib.):

Merci.

Ma première question porte sur les prêteurs, parce que nous avons parlé des institutions financières et des banques. J’espère que vous pourrez préciser s’il y a des différences dans les règles qui s’appliquent aux institutions financières. Je sais, par exemple, que le BSIF couvre les banques, mais pas les institutions prêteuses. Y a-t-il des différences, et cela vous inquiète-t-il, du point de vue de la protection de la vie privée, alors que nous étudions la question de la cybersécurité?

M. Gregory Smolynec:

Notre bureau a le mandat d’examiner les institutions sous réglementation fédérale comme les banques. Il est aussi appelé à jouer un rôle de surveillance des banques et de protection de la vie privée dans les banques.

J’ajouterais que le monde bancaire est en train de changer. Il est possible de bénéficier de services bancaires ouverts dans d'autres pays, ce qui va bientôt se faire au Canada aussi et qui changera les modèles d’affaires et la façon dont les renseignements personnels et les données circulent entre institutions financières. Cela aussi sera lourd de conséquences.

En fin de compte, les normes, les règlements et les lois doivent être adaptés à cette évolution, qui est à la fois technologique et commerciale. Ces instruments devront être en place avant que des changements majeurs ne soient apportés.

Mme Julie Dabrusin:

Je comprends ce que vous dites au sujet des services bancaires ouverts, mais je parle des entreprises installées au coin de la rue. Je ne veux pas donner de noms précis, mais je parle de ces lieux fréquentés par ceux qui n’ont pas vraiment de compte bancaire et qui vont y déposer un chèque pour récupérer du liquide à un taux d’intérêt coquet. Comme ces entreprises ne sont pas des banques, elles échappent à ce règlement. Je me demande si vous avez quelque chose à dire à ce sujet en ce qui concerne la protection de la vie privée.

M. Gregory Smolynec:

Le contexte général, c’est que ces entreprises sont assujetties à notre loi sur le secteur privé ou à des lois provinciales qui sont essentiellement semblables. Elles sont assujetties à la loi, mais je ne peux pas vous en parler.

Mme Julie Dabrusin:

Elles ne relèvent pas de votre compétence. Est-ce que vous les examinez également?

M. Gregory Smolynec:

Oui, nous le faisons dans les cas où les lois provinciales ne sont pas foncièrement semblables.

Mme Julie Dabrusin:

Il y a quelque temps, nous avons parlé avec des gens de HackerOne. Ils nous ont suggéré de songer à une mesure législative qui permettrait ce qu’ils ont appelé des « chapeaux blancs » — j’aimerais trouver un meilleur terme pour décrire des « bons pirates » — qui aideraient à s’attaquer aux systèmes et à découvrir où se trouvent les problèmes.

Que pensez-vous de la protection de la vie privée? Si nous devions créer ce genre de loi, quel genre de protection devrions-nous envisager pour autoriser des personnes qui ne font pas partie du secteur public, par exemple, à chercher comment pirater nos systèmes?

M. Gregory Smolynec:

Dans ma déclaration liminaire, j’ai parlé du renforcement de la cybersécurité et de la protection de la vie privée et du fait que ces deux pôles pourraient se renforcer mutuellement. Mais il y a aussi des occasions où une cybersécurité excessive ou inappropriée pourrait avoir des répercussions sur la vie privée.

Dans quelle mesure un chapeau blanc, un hacker éthique, peut-il protéger la vie privée des gens? Il ne devrait pas avoir accès aux renseignements personnels s’il pratique cette forme de piratage au nom de la cybersécurité. Du point de vue de la protection de la vie privée, il ne serait pas convenable que des gens travaillant à l'amélioration de la cybersécurité violent la vie privée.

Mme Julie Dabrusin:

Je vois. J’essaie simplement de déterminer quels genres de protections nous pourrions mettre en place pour permettre une telle chose, si nous devions opter pour la proposition des gens de HackerOne. Je ne me souviens pas de ce qu’ils ont suggéré, mais on récompenserait les pirates éthiques, les chapeaux blancs, qui trouveraient des failles dans un système, cela pour attirer des hackers imaginatifs.

Le problème, je suppose, c’est qu’une fois qu’ils ont pénétré un système, ils peuvent avoir accès à des renseignements personnels. Auriez-vous des pistes de réflexion à nous suggérer pour prévoir des protections?

(1645)

M. Gregory Smolynec:

Il y a peut-être des façons de faire dans un environnement expérimental qui n'exposerait pas de vrais renseignements personnels. Dans l’armée et dans d’autres organisations, et dans certains cas... dans l'univers de la protection de la vie privée aussi, on peut simuler des attaques cybernétiques dans un espace protégé. Ce serait peut-être une chose à étudier. Dans le monde de la protection de la vie privée, il y a même des jeux de guerre.

Mme Julie Dabrusin:

Je vois qu’il me reste 30 secondes. Je vais les donner...

Le président:

Vous allez les donner à M. Motz qui adore cela.

Mme Julie Dabrusin:

Je voulais les verser dans le bassin commun. Je pourrais en parler pendant les 20 prochaines secondes.

Le président:

Il y a un plus et un moins ici, monsieur Motz.

Vous avez quatre minutes. C'est à vous.

M. Glen Motz:

Merci, monsieur le président.

Merci aux témoins.

J’aimerais poursuivre dans la même veine que Mme Dabrusin.

Le Canada ferait-il mieux de conclure une entente sur la divulgation des vulnérabilités avec ce que j’appellerais des « acteurs éthiques », afin que tout le monde soit protégé en cas de failles dans les systèmes d’une entreprise, pour que celles-ci soient corrigées avant que quelqu'un ne les exploite. Si je vous comprends bien, ce serait avantageux pour tous les Canadiens.

M. Gregory Smolynec:

Ni mon bureau ni moi n'avons envisagé les conséquences du piratage éthique ou du piratage des chapeaux blancs pour pouvoir vous donner une réponse détaillée. Nous pourrions nous engager à examiner cette question et à revenir devant le Comité avec une réponse plus réfléchie.

M. Glen Motz:

À mon âge, je sais qu'il m’arrive d’oublier des témoignages, mais nous avons entendu des personnes — et les gens de HackerOne en faisaient partie — qui font un excellent travail sur le plan éthique pour protéger les consommateurs.

Si le gouvernement actuel ou le prochain cherche à protéger les Canadiens contre des répercussions économiques négatives en améliorant notre cybersécurité, je pense que nous devrions savoir quelles mesures de protection adopter face à ces personnes. Qu’en pensez-vous?

M. Gregory Smolynec:

Notre intérêt serait de veiller à ce que la vie privée des gens soit protégée, peu importe... Il faudrait peut-être songer à réaliser un équilibre entre les divers intérêts entrant en jeu, mais dans ce contexte, je dirais que la vie privée des citoyens doit être protégée comme il se doit.

M. Glen Motz:

Oui, je suis d’accord. Je suppose que c’est un peu comme la sécurité nationale dans une certaine mesure. Il y a un équilibre entre la nécessité de protéger la vie privée et la nécessité de protéger la sécurité nationale. Dans le même ordre d'idées, si nous avions un pirate éthique capable de protéger... S’il existait une structure régissant le fonctionnement des pirates éthiques, des mesures pour les protéger et protéger les données des consommateurs, nous devrions peut-être envisager cette formule.

Je vais passer à un autre type de questions.

Vous avez formulé un certain nombre de recommandations devant le Comité sénatorial des banques, notamment que votre bureau soit investi de pouvoirs d’application de la loi, dont la possibilité de vérifier la conformité de façon indépendante, sans motif préalable, pour que les organismes puissent être effectivement tenus responsables de la protection des renseignements personnels qu'ils détiennent. Depuis que vous avez fait cette recommandation au Sénat, avez-vous constaté une résistance dans le secteur privé?

M. Gregory Smolynec:

Non, aucune.

M. Glen Motz:

À quoi ressemblerait le pouvoir d’application de la loi dont serait doté le Commissariat à la protection de la vie privée?

M. Gregory Smolynec:

Pardon?

M. Glen Motz:

Selon vous, comment ces pouvoirs seraient-ils appliqués par le Commissariat à la protection de la vie privée?

M. Gregory Smolynec:

C’est quelque chose qui existe au Royaume-Uni, et nous examinons de près ce qui se fait là-bas dans ce domaine d’application de la loi afin de comprendre l’expérience britannique en matière d’inspections aléatoires.

M. Glen Motz:

J’ai une dernière question.

Lundi, je crois, un témoin a qualifié les Canadiens de naïfs à propos de leur propre cybersécurité. De votre point de vue, monsieur, qu’est-ce qui doit changer au Canada pour que les citoyens soient plus vigilants à l’égard de la cybersécurité, et donc de leur propre vie privée? Vous avez mentionné quelque chose à M. Dubé à ce sujet, mais pourrait-on agir de manière plus précise en ce qui vous concerne, du point de vue législatif ou autre?

(1650)

M. Gregory Smolynec:

Je dirais que l’objectif numéro un, la grande priorité, serait de réformer la loi sur la vie privée, d'entreprendre une réforme fondée sur les droits.

Le président:

Expliquez-nous cela très brièvement.

M. Gregory Smolynec:

À l’heure actuelle, le droit régissant le secteur privé est fondé sur des principes et, en un sens, il est très vaste. Soit dit en passant, il est question de droit à la vie privée des Canadiens, mais une loi fondée en droit reconnaîtrait, comme le fait le Canada, que la vie privée est un droit de la personne internationalement reconnu et que des droits procéduraux sont associés aux droits de la personne. La loi reconnaîtrait également que les secteurs public et privé dans leur ensemble seraient visés. Les Canadiens devraient être informés de leurs droits et de la façon de les exercer. C’est à la fois un défi législatif et un défi connexe d’éducation du public.

M. Glen Motz:

Avec des droits et des responsabilités?

Le président:

Merci, monsieur Motz.

Je pense que vous avez utilisé le temps supplémentaire de M. Paul-Hus et de Mme Dabrusin.

M. Glen Motz:

Merci, je vous remercie de votre indulgence.

Le président:

Monsieur Graham, les quatre dernières minutes vous reviennent. Allez-y.

M. David de Burgh Graham:

Merci.

Ce n’est pas directement lié à vous, mais j’aimerais profiter de l’occasion pour tirer au clair certaines questions qui reviennent sans cesse.

Chapeau noir et chapeau blanc sont des termes qui ont cours depuis longtemps dans le milieu de la haute technologie. Je tenais à le souligner, étant donné qu’il y a confusion à ce sujet. Il y a aussi des chapeaux gris, et nous pourrions en discuter en long et en large.

Je veux aussi m’assurer que tout le monde soit au courant de la différence entre « pénétrer » et « pirater » un réseau. Dans le premier cas, on s'infiltre dans un réseau sans intention de le pervertir tandis que, dans le second, l'intention est malveillante. Je tenais à ce que cette distinction soit claire.

Le président:

Je ne verrai plus jamais les choses de la même façon.

M. David de Burgh Graham:

Je l’espère.

J’aimerais revenir à vous pour un instant. Vous avez dit que vous aviez une division de recherche technique composée de six personnes. Quel genre d’expertise ont-elles? Envisagent-elles de démonter des serveurs, des réseaux et des routeurs? De quel genre de personnes parle-t-on et que font-elles?

M. Gregory Smolynec:

Nous avons un petit groupe de technologues, de scientifiques et d’ingénieurs. Ils examinent des appareils caractéristiques de grands systèmes comme l’Internet des objets. Ils participent à l’élaboration de lignes directrices, par exemple, sur la biométrie, la dépersonnalisation, l’Internet des objets et les risques et vulnérabilités en matière de vie privée associés aux nouvelles technologies. Ils nous aident dans nos enquêtes en effectuant des analyses judiciaires, et nous sommes en train de nous doter d'une capacité pour la conservation des preuves, etc. Cela fait partie de notre programme d’enquête.

Il s’agit d’une vaste gamme d’activités et de tâches qui dépassent de loin la capacité de la petite équipe — bien que très capable en partant —, mais on ne parle que de six personnes et d'un petit laboratoire.

M. David de Burgh Graham:

D’accord. C’est un laboratoire complet, mais pas très grand.

M. Gregory Smolynec:

Nous avons un petit laboratoire pour faire des expériences hors ligne afin de protéger nos réseaux et les réseaux gouvernementaux.

M. David de Burgh Graham:

Si ces experts démontent un téléphone, par exemple, et y trouvent une importante vulnérabilité en matière de protection de la vie privée, quelle serait leur ligne de conduite?

M. Gregory Smolynec:

Cela dépendrait du contexte. Si c’était dans le cadre d'une enquête — ce qui est souvent le cas, puisque nous faisons beaucoup d'appui aux enquêtes — ces renseignements, ces preuves en quelque sorte, feraient partie du rapport des conclusions de notre enquête.

M. David de Burgh Graham:

Vous travaillez avec des organismes externes comme la Electronic Frontier Foundation, qui est l’un de mes exemples préférés. La fondation fait constamment ce genre de travail, elle produit des résultats et les valide.

M. Gregory Smolynec:

Oui, nous avons des réseaux de partenaires externes, notamment nos partenaires internationaux et provinciaux en matière de protection des données, ainsi que les commissaires à la protection de la vie privée du Canada et du monde entier.

M. David de Burgh Graham:

Par le passé, à ce comité et à d'autres, nous avons beaucoup entendu parler de l’anonymisation des données. Au comité de l’industrie, il a été très brièvement question d’une étude de Statistique Canada sur les données bancaires, par exemple. Il est très possible d’anonymiser ce genre de données. Est-il possible de faire marche arrière, de les « dé-anonymiser »?

M. Gregory Smolynec:

Oui. Nous étudions notamment la question des normes. En fait, en ce moment même, le directeur par intérim de notre Direction de l’analyse de la technologie est en Israël pour une réunion de l'International Standards Organization on de-identification. Le problème, cependant, tient à ce qu'il est possible de retrouver une identité à partir de la combinaison des ensembles de données. C’est donc un domaine très complexe.

(1655)

M. David de Burgh Graham:

Merci.

Le président:

Sur ce, nous allons devoir clore cette partie de la séance. Au nom du Comité, je tiens à vous remercier tous les deux de votre témoignage. La séance est suspendue.

(1655)

(1655)

Le président:

Chers collègues, nous reprenons nos travaux. M. Foster a été très généreux et nous a attendus patiemment. Pouvez-vous me dire combien de temps nous pouvons consacrer à ce groupe de témoins? Si nous terminons à 17 h 30, ce sera 35 minutes.

M. David de Burgh Graham:

Nous avons un quorum réduit...

Le président:

Le vote aura-t-il lieu à 17 h 45 ou à 18 heures?

M. Matthew Dubé:

À 18 heures, avec sonnerie d’une demi-heure...

Le président:

La sonnerie retentira donc à 17 h 30. Est-ce que tout le monde est d'accord pour aller au-delà de 17 h 30, pour au moins 10 minutes de plus?

M. Pierre Paul-Hus:

Ce sera donc 17 h 40.

Le président:

Ça vous va? Est-ce que tout le monde est d’accord pour 17 h 40?

Des députés: D'accord.

Le président: Je suppose que vous pouvez rester plus tard que 17 h 30.

M. Glenn Foster (chef de la sécurité de l'information, Banque Toronto Dominion):

Je peux rester. Pas de problème.

Le président:

Merci, monsieur Foster.

Comme vous le savez, nous permettons généralement une déclaration liminaire de 10 minutes, mais nous n'aurions rien contre le fait que vous preniez moins de 10 minutes. Donc, sur ce...

M. Glenn Foster:

Je vais faire de mon mieux.

Le président:

C’est une occasion à saisir. Je vous en prie, allez-y.

M. Glenn Foster:

Merci.

Je m’appelle Glenn Foster. Je suis premier vice-président et chef de la sécurité de l’information à Groupe Banque TD. Je suis responsable du programme de cybersécurité de TD dans toutes ses activités à l’échelle mondiale.

TD est la sixième banque en importance en Amérique du Nord quant au nombre de succursales, et elle dessert plus de 25 millions de clients. Nous nous classons parmi les plus grandes entreprises de services financiers en ligne au monde.

Je suis ici pour vous parler de la cybersécurité et de ses répercussions sur les services financiers, les consommateurs canadiens et la sécurité nationale. Les services bancaires traditionnels sont devenus de plus en plus numériques. Selon un récent sondage de l’ABC, 76 % des Canadiens passent par des canaux numériques, en ligne et mobiles, pour effectuer la plupart de leurs transactions bancaires.

Plus de la moitié des répondants disent que c’est leur méthode bancaire la plus courante. C’est également vrai pour les clients de la TD. Nous avons plus de 12,5 millions de clients numériques actifs et 7,5 millions de clients mobiles actifs en tout. Nous effectuons 1,1 milliard de transactions numériques par année en Amérique du Nord, et nous avons le taux de pénétration numérique le plus élevé de toutes les banques au Canada, aux États-Unis, au Royaume-Uni et dans d’autres régions d’Europe.

Entretemps, les cybermenaces sont de plus en plus sophistiquées en raison: de la marchandisation de la criminalité dans l’économie souterraine; du détournement des technologies du renseignement d’État très secret, qui tombent dans les mains de mauvais acteurs; des technologies novatrices qui stimulent les progrès de l’automatisation; des tensions géopolitiques et de l'activité accrue contre les participants aux services financiers mondiaux et les systèmes de paiement.

Les récentes sanctions économiques ont accentué les tensions et motivé des mesures de rétorsion, des campagnes de cyberespionnage et des attaques contre les services financiers et les infrastructures essentielles à l’échelle mondiale par des acteurs étatiques.

La prolifération des atteintes à la protection des données a considérablement exposé les données des consommateurs et exercé des pressions sur la capacité des banques d’authentifier leurs clients.

L'exposition des données sur les consommateurs a également mené à de nouvelles attaques automatisées lors desquelles des criminels exploitent les identifiants de comptes volés et les testent en ligne sur des sites bancaires, à des rythmes infernaux, dans ce qu’on appelle du « credential stuffing » ou un bombardement sur des comptes multiples.

À la TD, nous avons investi massivement dans la cybersécurité, qui est l’une de nos priorités absolues, pour nous assurer que nous pouvons protéger nos clients et correspondre au niveau élevé de confiance qu’ils nous prêtent. Nous avons une solide tradition d’échange d’informations et de collaboration avec d’autres banques canadiennes par l’entremise de l’Association des banquiers canadiens et de divers secteurs de l’économie canadienne par l’entremise du nouvel Échange canadien de menaces cybernétiques. Nous comprenons à quel point il est essentiel d’échanger des renseignements sur les auteurs de menaces, et nous considérons que le fait de combiner nos moyens de défense est une pratique exemplaire, car notre capacité de prévenir, de détecter et de contenir les cyberattaques augmente considérablement lorsque nous travaillons de concert plutôt qu’individuellement.

L’efficacité des échanges de renseignements est limitée en raison des lois actuelles sur la protection des renseignements personnels et des obstacles juridiques. Des réformes législatives prévoyant des dispositions d’exonération pour la protection proactive pourraient nous appuyer dans les efforts que nous déployons. Nous appuyons la création par le gouvernement du Centre canadien pour la cybersécurité, qui relève du Centre de la sécurité des télécommunications. Nous préconisons depuis longtemps la centralisation des pouvoirs de collaboration avec le secteur privé.

En collaboration avec Échange canadien sur les cybermenaces, nous avons établi une structure solide pour les partenariats public-privé et le partage. L’élément essentiel de la mission du centre devrait être non seulement l’échange d’information et de renseignements, mais aussi l’élaboration et la mise en oeuvre de stratégies nationales de résilience, de préparation et d’intervention en matière de cybersécurité.

Le centre devrait disposer de ressources suffisantes pour pouvoir collaborer avec le secteur privé à l’établissement et à la mesure de bases de référence minimales en matière de sécurité pour les secteurs des infrastructures essentielles. Les secteurs public et privé bénéficieraient également des tests de résilience coordonnés et des capacités d’intervention disponibles en cas d’événements cybernétiques systémiques pour les infrastructures essentielles, ce qui préparera le centre à être le point central de coordination avec le secteur privé en réponse à une menace à la sécurité nationale.

Il est important de souligner que la cybersécurité et la sécurité sont des responsabilités qui incombent non seulement aux institutions financières et au gouvernement, mais aussi aux consommateurs canadiens.

Les pratiques de sécurité échouent lorsque les personnes ne comprennent pas leurs responsabilités personnelles et ne font pas preuve de diligence raisonnable dans leur vie numérique. Par conséquent, la nouvelle stratégie nationale est axée sur l’éducation des citoyens canadiens aux pratiques de cybersécurité sécuritaires, ce qui est d’une importance vitale pour accroître leur littératie en matière de risques et d'attentes réalistes.

La cybersécurité exige une main-d’oeuvre importante et hautement qualifiée. Des indicateurs externes donnent à penser qu'il faudrait combler plus d’un million de postes de cybernéticiens en Amérique du Nord seulement.

À la TD, qui est un employeur de premier plan au Canada, l’un des principaux piliers stratégiques de notre programme cybernétique est l’accent que nous mettons sur le recrutement de ressources. Nous faisons face à une concurrence de plus en plus féroce pour attirer les cybertalents au Canada, et nous collaborons avec des établissements d’enseignement pour créer des partenariats stratégiques comme celui que nous avons annoncé l’an dernier dans le cadre de notre collaboration avec l’Institut de la cybersécurité de l’Université du Nouveau-Brunswick.

Nous avons également étendu notre empreinte géographique aux États-Unis et à Israël pour répondre à la demande de ressources humaines. Nous sommes déterminés à augmenter le nombre de cybertalents appartenant à la prochaine génération, ici au Canada, et nous encourageons le gouvernement fédéral à accélérer l’élaboration de bons programmes d’éducation dans les universités canadiennes afin de fournir la main-d’oeuvre de demain dans le domaine de la cybersécurité.

(1700)



Je suis heureux d’être ici pour discuter de l’approche du Canada en matière de cybersécurité, et j’ai hâte de participer à la discussion.

Le président:

Merci, monsieur Foster.

Monsieur Picard, nous allons recommencer les tours de six minutes.

M. Michel Picard:

Bienvenue, monsieur Foster.

Dans combien de pays peut-on trouver des bureaux ou des succursales bancaires de la Banque TD?

M. Glenn Foster:

Je ne sais pas combien au juste. Il faudra que je demande au greffier.

Nous sommes principalement une banque nord-américaine et nous avons d’autres sociétés de placement de valeurs mobilières à l’étranger.

M. Michel Picard:

Le réseau que vous utilisez pour vos transactions au Canada est-il un réseau privé, ou est-ce Internet — le Web en général? Comment la sécurité est-elle gérée dans le cas d'un client accédant à votre banque de l’extérieur du Canada, par l’entremise de vos succursales ou de vos bureaux?

M. Glenn Foster:

Nous avons diverses méthodes de connexion fondées sur les produits ou les succursales, mais la majorité de notre trafic transactionnel se fait par l’entremise de nos applications en ligne et de nos applications mobiles, qui entreront sur Internet.

Ces connexions sont basées à la fois sur les navigateurs et sur nos applications mobiles exclusives que les clients installent très souvent sur leurs téléphones intelligents; ils utilisent le chiffrement standard basé sur l’ICP pour protéger les transmissions de point à point.

M. Michel Picard:

Les renseignements concernant les Canadiens sont-ils uniquement destinés à des fins d’identification personnelle, autrement dit, les renseignements se trouvent-ils tous dans votre serveur au Canada, ou est-ce que certains de ces renseignements peuvent se trouver ailleurs dans vos succursales à l’étranger?

(1705)

M. Glenn Foster:

Tous les centres de données de la TD sont au Canada.

M. Michel Picard:

Donc, les points à l’extérieur du pays, comme les succursales de la TD à l’étranger, ou les autres tiers qui parlent à votre serveur, pénètrent dans votre serveur au Canada pour avoir éventuellement accès aux données que vous détenez.

M. Glenn Foster:

Oui.

Pour nos systèmes bancaires de base, il existe une connectivité directe avec nous dans nos centres de données au Canada. La Banque TD a des fournisseurs externes de services bancaires et de services à la clientèle. Ces services peuvent être offerts dans d’autres pays, comme aux États-Unis.

M. Michel Picard:

Évidemment, nous ne pouvons pas comparer votre système à celui d’autres entreprises, parce qu’il est privé, mais il est de plus en plus question de services bancaires ouverts. Qu’en dites-vous?

M. Glenn Foster:

En tant que professionnel de la sécurité depuis un certain nombre d’années, je suis d’avis que l’intégrité de tout régime de sécurité dépend de l'existence d’une boucle fermée entre le consommateur de services et le fournisseur de services bancaires. Tout intermédiaire entre les deux affaiblit le régime de sécurité.

M. Michel Picard:

Pour ce qui est du concept de banque ouverte, vous ai-je bien compris quand vous dites que, s’il y a une tierce partie, le système est vulnérabilisé?

M. Glenn Foster:

Oui.

M. Michel Picard:

Ne devriez-vous pas alors disposer d’un système unique?

M. Glenn Foster:

Pour ce qui est de l’authentification des identifiants, il faudrait que la tierce partie ait accès à ces identifiants pour les opérations bancaires en ligne. Bien sûr, il y a différents modèles. Il y a le modèle américain, très axé sur le marché, qui permet aux banques de passer des contrats avec des tierces parties et de leur fournir certaines garanties en matière de sécurité. Le modèle britannique est très ouvert; par conséquent, n’importe qui pourrait consommer ces services.

M. Michel Picard:

Si vous êtes victime d’un piratage ou d’une attaque, le déclarez-vous à une autorité, et si oui combien de temps après?

M. Glenn Foster:

Je suis désolé. Pourriez-vous répéter la question?

M. Michel Picard:

Lorsque vous êtes victime d’une agression de piratage, le déclarez-vous à une autorité quelconque — au gouvernement — et combien de temps après les faits le déclarez-vous?

M. Glenn Foster:

Notre principal organisme de réglementation, le BSIF, impose des normes strictes en matière de déclaration, soit 72 heures après les faits, selon une échelle de gravité spécifiée.

M. Michel Picard:

Merci.

J’avais six minutes.

Le président:

Il vous reste quelques minutes.

M. Michel Picard:

J’ai amplement le temps. Voulez-vous un café ou quelque chose du genre?

Des députés: Oh, oh!

M. Michael Picard: A-t-on besoin d'un règlement qui non seulement fixe le délai de notification d’une attaque, le plus bref possible, mais qui prévoit aussi comment utiliser cette information et la diffuser partout sur le marché pour informer tout le monde, tout en protégeant les renseignements sur la personne ou l’entreprise, mais de manière que cette information puisse être utile d’une façon ou d’une autre?

M. Glenn Foster:

En ce qui concerne les renseignements personnels et la protection des renseignements personnels des consommateurs, le dispositif législatif et les délais de déclaration me paraissent adéquats. Une banque ou grande institution comme la nôtre procède quotidiennement à divers examens de sécurité, à la détection d’activités malveillantes. Il s’agit en fait de déterminer la voie d'entrée de ces activités, lorsqu'un problème est détecté. À mon avis, le système de surveillance au niveau de notre organisme de réglementation principal est satisfaisant.

À la Banque TD, les attaques contre nos systèmes bancaires en ligne consistent généralement en des tentatives de fraude au détriment de nos clients. J’ai fait allusion aux tentatives d'infiltration simultanées dans ma déclaration préliminaire. Prises globalement, les atteintes à la sécurité des données affectant actuellement Marriott, Yahoo, etc., concernent des millions, dans certains cas des milliards d'identifiants. Yahoo fait état de 3,5 milliards d’ensembles d'identifiants. Les criminels rédigent des scénarios d’attaques contre diverses banques, à la recherche de consommateurs qui réutilisent leur nom d’utilisateur et leur mot de passe dans l’établissement. Le volume de ce trafic est considérable et force les banques et les entreprises à investir dans des technologies de pointe pour s'en défendre. Pour nous, ça finit par rentrer dans l'ordre des choses au même titre que les pertes dues à la fraude sur une période donnée.

Le président:

Merci, monsieur Picard.[Français]

Monsieur Paul-Hus, vous avez six minutes.

M. Pierre Paul-Hus:

Mon collègue vous a posé une question concernant la conservation des données. Comme vous l'avez mentionné, la Banque TD garde en général les données au Canada, mais certaines peuvent être gardées aux États-Unis.

Lundi dernier, nous avons reçu M. Green, qui est responsable de la cybersécurité chez Mastercard. Il expliquait que c'étaient les banques qui gardaient les informations.

Dans votre cas, vous faites affaire avec Visa. Les données des cartes de crédit Visa de TD sont-elles conservées ici, au Canada, ou aux États-Unis?

(1710)

[Traduction]

M. Glenn Foster:

Le traitement de base est sous-traité et les données se trouvent en fait aux États-Unis. [Français]

M. Pierre Paul-Hus:

D'accord.

Revenons sur les fameux pirates éthiques.

Comment les appelez-vous, déjà?

M. David de Burgh Graham:

Ce sont des chapeaux blancs.

M. Pierre Paul-Hus:

D'accord.

En 2017, la TD a créé ce qu'on appelle la « red team », soit l'équipe de pirates éthiques ou de chapeaux blancs qui travaille 24 heures sur 24 pour la Banque afin d'y trouver des failles.

Quel genre de contrat de service avez-vous avec ces gens? [Traduction]

M. Glenn Foster:

Bonne question. Même avant la mise en place de la « red team », nous avions notre propre équipe interne de pirates éthiques. Son but était de soutenir nos activités de développement de systèmes et de s'assurer qu’un système de crédit était sécurisé avant qu'on y verse nos données de confiance ou qu'on l'ouvre aux clients. Pour répondre précisément à votre question, l’équipe est composée de pirates éthiques qui testent nos systèmes de production au jour le jour. Ce sont des employés internes. On fait appel en renfort à des experts du domaine. On le fait non seulement pour renforcer les effectifs, mais aussi pour favoriser le partage de l’expertise, parce que la façon de renforcer cette industrie consiste à faire constamment appel à de nouvelles compétences, à de nouveaux talents et à tester continuellement nos systèmes. [Français]

M. Pierre Paul-Hus:

J'aimerais parler de la confiance entre la banque et ces gens. À la base, ce sont des gens qui aiment pirater. Ils sont un peu criminels dans leurs actions, mais on les engage pour être amis avec le système ou avec la banque, entre autres.

Comment faites-vous pour garder un degré de confiance envers eux? [Traduction]

M. Glenn Foster:

Naturellement, ces employés passent par notre processus de présélection. Nous vérifions leurs antécédents, etc. Ils font partie de notre programme de gestion des risques internes et ils savent qu’en raison du poste délicat qu’ils occupent, dans la mise à l’épreuve de systèmes d'exploitation pouvant abriter les données des clients, ils feront l'objet d'une surveillance constante plus stricte que les autres employés et d’un contrôle périodique pour leur maintien dans leur poste. [Français]

M. Pierre Paul-Hus:

Vous avez mentionné que la TD avait un bureau de cybersécurité en Israël. Deux témoins nous ont dit préférer aller en Israël.

Pourquoi Israël est-il important pour vous sur le plan de la cybersécurité? [Traduction]

M. Glenn Foster:

Israël a un écosystème unique pour son service militaire obligatoire. Le pays a été parmi les premiers à adopter la cybersécurité dont il a très tôt reconnu l'importance. La disponibilité de talents et de compétences élevées est très souhaitable. Cela dit, nous sommes très sélectifs quant au personnel que nous y mettons en poste. Nous examinons les innovations en matière de sécurité, le renseignement de sécurité et nous surveillons les risques potentiels pour la Banque TD ou pour ses clients. Dans certains cas, nous faisons des démonstrations de faisabilité pour le développement rapide d’outils et de produits cybernétiques. [Français]

M. Pierre Paul-Hus:

Vous avez mentionné l'écosystème israélien et le côté du service militaire. Dans le fond, c'est dans la culture israélienne que vous retrouvez une façon de voir le monde. Pour ces gens, c'est un enjeu majeur. Cela fait plusieurs fois qu'on nous parle d'Israël. Comment le Canada pourrait-il prendre exemple sur ce que fait Israël pour s'assurer que les jeunes Canadiens peuvent mieux se préparer ou s'intéresser à la question?

Vous avez parlé de forces armées. J'ai servi dans les Forces. Au Canada, il y a peut-être un aspect à regarder aussi avec le service militaire. Les opérations militaires font déjà beaucoup de cybersécurité, mais c'est en vase clos. Y aurait-il une façon d'avoir une interaction? [Traduction]

M. Glenn Foster:

Le service militaire obligatoire donne un avantage à Israël, en ce qui a trait non seulement à l'état d’esprit, mais aussi aux réseaux qu'il crée. Ce qui est unique dans ce petit écosystème, c’est que les spécialistes tirent parti de ces réseaux militaires tout au long de leur carrière. L'un peut travailler pour Intel l'autre pour IBM, mais ils travaillent sur un problème unique. Cela suscite des collaborations très intéressantes et encourage grandement cette mentalité de nation de jeunes entrepreneurs qu'on lui prête.

(1715)

[Français]

M. Pierre Paul-Hus:

Je vous remercie. [Traduction]

Le président:

Monsieur Dubé, vous avez six minutes. [Français]

M. Matthew Dubé:

Merci, monsieur le président.[Traduction]

Monsieur Foster, merci de votre présence.

Je veux parler de l’intelligence artificielle. La question a été soulevée à diverses reprises. Des acteurs malicieux s'en servent pour découvrir comment s’attaquer aux faiblesses des systèmes. D’après ce que je comprends, on s’en sert de plus en plus comme mesure de protection, pour apprendre à se protéger.

Je crois que, l’an dernier, la TD a acquis une entreprise d’IA en démarrage. Je commencerai par l'aspect sécurité avant de passer aux autres.

Du point de vue de la sécurité, tant pour la défense que pour votre perception de ceux qui attaquent, que pensez-vous de la situation actuelle?

M. Glenn Foster:

Je commencerai par les attaquants.

Bien que l'on redoute que des adversaires puissent tirer parti de l’intelligence artificielle pour nous attaquer, la pratique n'en fournit guère d’exemples. Le domaine étant en constante évolution, notre équipe du renseignement sur les menaces le surveille de très près.

Du côté de la défense, c’est un atout et un outil important pour nous. Les produits de sécurité traditionnels étaient très bons à une époque où les attaques étaient vraiment reproductibles. On pouvait définir les signatures; on pouvait les bloquer.

Les attaques actuelles sont très sophistiquées. Elles changent d'un jour à l'autre. Entre le moment où le public est ciblé, le moment où le fournisseur commercial peut apporter des correctifs et le moment où les grandes institutions peuvent corriger les vulnérabilités constatées, le battement, même s'il est toujours plus bref, est toujours trop long vu la vitesse à laquelle les adversaires peuvent élaborer des scripts et commencer à balayer tous les comptes sur Internet. Le recours à l'automatisation et, dans certains cas, à l’intelligence artificielle pour détecter plus rapidement les vulnérabilités commence à nous poser de sérieux problèmes.

C’est en recourant à l’intelligence artificielle, à l’apprentissage automatique et aux mégadonnées que l'on détecte les acteurs les plus sophistiqués, ceux qui savent comment contourner notre équipement de sécurité traditionnel.

M. Matthew Dubé:

Je vous en remercie. Ça c’est pour l’aspect sécurité.

Du point de vue des affaires ou du marketing, on peut aussi se servir de l’intelligence artificielle pour répondre aux besoins d’une entreprise, pour cerner les besoins des clients, etc. On lit ainsi dans l'énoncé de mission de Layer 6, que vous avez acquise, qu’elle utilise les technologies d’apprentissage automatique pour aider les entreprises à mieux prévoir les besoins de leurs clients, ce qui est un objectif louable. Ceux d’entre nous qui utilisent des applications bancaires constatent qu'on s'en sert pour tenter de prédire les tendances des dépenses ou des choses du genre.

Quel usage en fait-on? Vaste question, je sais, mais je veux comprendre. Du moment que votre organisation, votre entreprise ou votre banque, recueille forcément des données, comment s’y prend-elle pour les éliminer et s’assurer qu'elle ne glane pas de renseignements qui ne devraient pas être collectés ou qui le sont sans consentement, du moins sans consentement explicite?

M. Glenn Foster:

En ce qui concerne la protection des données, pas seulement pour Layer 6, mais pour tout système technologique au sein de la Banque TD, nous appliquons un processus d’accréditation très rigoureux: notre programme « sécurisé SDLC ». Il permet de prévoir les mesures de protection à mettre en place sur la base d'une définition précise des besoins, d'une évaluation des risques et des facteurs relatifs à la vie privée. Nos normes de classification des données sont très au point. Tout un dispositif de protection des données vient en outre se greffer là-dessus.

La règle d'or, bien sûr, est qu'on ne doit recueillir que les données explicitement nécessaires. Ensuite, il y a diverses techniques pour protéger ces données, allant de l’obscurcissement de la tokenisation au chiffrement.

M. Matthew Dubé:

Merci.

L’autre aspect que je voulais aborder concerne les applications. Un peu plus tôt, j'ai interrogé le Commissariat à la protection de la vie privée à propos de l'installation d'une application sur votre téléphone qui implique que vous donnez en quelque sorte une autorisation générale. Parfois, c’est explicite, d’autres fois, ça l’est moins dans le cas de telle ou telle application qui veut avoir accès à votre microphone, à votre caméra et ainsi de suite.

Quand votre organisation met son application au point, je me demande comment vous conciliez ce qui se passe dans l’application pour l’activité bancaire du client et le fait qu’elle peut présenter diverses failles, que ce soit le micrologiciel ou d’autres défauts qui sont exploités dans l’appareil mobile lui-même. Comment cela fonctionne-t-il? Que recommanderiez-vous à cet égard?

(1720)

M. Glenn Foster:

Tout ce que je peux vous dire, c’est comment on aborde la sécurité à la Banque TD pour nos applications.

Vous avez raison. Notre application doit vivre dans un écosystème. Ce n’est pas différent de votre ordinateur, il dépend du système d’exploitation sous-jacent et du micrologiciel. L'élaboration de ces applications obéit à quelques principes, dont la notion du moindre privilège. Pour ce qui est des données transitant dans l'application, nous essayons de ne pas les conserver. Ainsi, même s’il y a des faiblesses inhérentes, il n’y a pas de données auxquelles accéder.

Nous veillons à blinder l'application. J’ai déjà dit que nous avions notre propre équipe de piratage éthique, en plus de la « red team ». Son rôle au sein de la banque consiste, avant le lancement d’un de ces produits, à effectuer des tests de sécurité très rigoureux, pour assurer l'étanchéité de l’application aux autres processus en cours dans l’appareil lui-même.

M. Matthew Dubé:

Merci.

Le président:

Monsieur Graham, vous avez six minutes.

M. David de Burgh Graham:

Merci. Je vais poursuivre un peu dans la même veine que M. Dubé.

Dans quelle mesure une application est-elle sûre sur un téléphone débridé?

M. Glenn Foster:

Quelle est la sécurité d’une application sur un téléphone débridé?

M. David de Burgh Graham: Oui.

M. Glenn Foster: Elle n’est pas très sûre du tout et c’est pourquoi nous avons la détection de débridage dans nos applications. En fait, on suspend les services pour cette application si elle est débridée.

Le problème, évidemment, c’est qu'un code malveillant pourrait très facilement se retrouver sur ce téléphone. On a aussi parlé du chiffrement de point à point. Les données pourraient être exfiltrées si un code malveillant tournait sur l’appareil.

M. David de Burgh Graham:

D’accord, parce que vous avez déjà dit...

Le président:

Monsieur Graham, je suis sûr qu’il y a quelqu’un d’autre au sein de ce comité qui ne sait pas ce qu’on entend par « débrider ». Pourriez-vous l'expliquer?

M. David de Burgh Graham:

Je peux vous l’expliquer si vous ne comptez pas cela dans mon temps de parole.

Le président:

Je ne compte pas votre temps. Je suis sûr que ce sera édifiant pour tous.

Des voix: Oh, oh!

M. David de Burgh Graham:

Comment expliquer cela en 10 secondes?

Voulez-vous expliquer ce qu’est un débridage?

M. Glenn Foster:

La façon la plus simple de l’expliquer est la suivante. Lorsqu'on reçoit son téléphone du fournisseur, on ne peut charger que les applications offertes sur la plateforme du fournisseur. Le débridage consiste à utiliser un outil de piratage, que l'on peut trouver sur Internet, pour accéder à des applications autres que celles approuvées par son fournisseur de services.

M. David de Burgh Graham:

Il permet d’utiliser son téléphone comme un ordinateur. Il offre alors beaucoup plus de possibilités mais comme il devient moins sûr, c’est un compromis à faire.

Le président:

D’accord. Je vois. Je vous remercie.

M. David de Burgh Graham:

La raison pour laquelle je voulais parler un peu de débridage, c’est que, tout à l'heure, vous avez abordé la question de l’ICP: le chiffrement public, les systèmes à clé publique. Un téléphone débridé, permet d'accéder très facilement à sa clé privée et, par conséquent, à tout ce que l'on fait. Je me trompe?

M. Glenn Foster:

Ce n’est pas aussi facile que cela, à cause du risque qui en découle. Le risque pour l'appareil augmente et nous voulons bien sûr savoir si le téléphone est débridé afin de pouvoir prendre des décisions fondées sur le risque à l’égard de l'utilisateur concerné ou de toute transaction qu’il essaie d’effectuer.

M. David de Burgh Graham:

D’accord.

J’ai une question qui porte sur les institutions financières, heureusement pour vous. L’automne dernier, ma femme a perdu sa carte de crédit qui, bien sûr, a été abondamment utilisée par la suite. On ne pouvait rien y faire parce que c'est la fonction sans contact qui a été utilisée, et il n'y a absolument...

M. Jim Eglinski (Yellowhead, PCC):

Je suis vieux...

Des voix: Oh, oh!

M. David de Burgh Graham:

Il lui a fallu deux jours pour se rendre compte qu’elle l’avait perdue, mais quoi qu’il en soit... Nous n'avons pas à consigner cela au Hansard.

Ce que je veux dire, c’est qu’il n’y a pas de sécurité sur les cartes sans contact. Quelle est la méthode de sécurisation de PayPass et de payWave, la technologie d’IRF que l'on utilise actuellement? Y a-t-il quelque chose que l'on puisse faire pour assurer la sécurité?

M. Glenn Foster:

Les paiements EMV utilisent une cryptographie assez avancée. Je ne dirais pas qu’ils ne sont pas sûrs.

M. David de Burgh Graham:

Ils sont sûrs tant que vous avez la carte en main, mais si vous la perdez, rien ne permet de garantir que la personne qui va l'utiliser en est le détenteur de plein droit, ce qui est le cas avec les NIP et, dans une certaine mesure, avec les numéros au verso de la carte. Il n’y a absolument rien pour le paiement sans contact.

M. Glenn Foster:

Tout ce que je peux dire, c’est que les banques appliquent diverses stratégies de lutte contre la fraude et limitent le montant des paiements EMV. Je suis désolé pour la mésaventure survenue à votre femme.

M. David de Burgh Graham:

Il n’y a pas eu de remboursement parce qu'on n’avait pas signalé la perte de la carte. On a compris qu’elle avait disparu à la réception d'un relevé montrant des débits suspects d'environ 200 $. Tout ce que je veux dire, c’est que cela peut arriver et qu’il n’y a pas de système pratique pour l'empêcher.

Le remboursement est laissé à la bonne volonté de la banque, mais ce n’est pas sa faute en fin de compte. Je me demande s’il y a moyen de remédier à ça, mais il me semble que non.

M. Glenn Foster:

Pour ma part, je suis responsable de la sécurité technique des données et des systèmes. Il faudrait que je fasse un suivi auprès de nos spécialistes des produits.

M. David de Burgh Graham:

Très bien.

Quand je voyage un peu partout à l'étranger, par exemple, et que j’utilise ma carte de crédit ou ma carte de débit à différents endroits, la TD sait où et comment j'utilise ma carte; est-ce qu'elle utilise ces renseignements à des fins autres que [Inaudible] la transaction?

M. Glenn Foster:

Non, seulement aux fins de la lutte contre la fraude.

M. David de Burgh Graham:

À la seule fin de lutter contre la fraude. Il n’y a aucun objectif de commercialisation à quelque stade que ce soit?

(1725)

M. Glenn Foster:

Les systèmes de la TD enregistrent les données sur votre transaction et le point de vente. Est-ce là votre question?

M. David de Burgh Graham:

Supposons que je me rende à la banque de l’autre côté de la rue, puis à Saskatoon et à Taipei. Vous savez maintenant que je voyage et vous savez à peu près ce que j’achète. Ces données servent-elles à autre chose qu’au suivi de la sécurité?

M. Glenn Foster:

Encore une fois, je dois m’en remettre aux spécialistes des produits qui font ce genre de marketing ciblé.

M. David de Burgh Graham:

Les mots de passe sont-ils désuets?

M. Glenn Foster:

À mon avis, ils ont encore une certaine valeur — c’est le renseignement que seul le client connaît —, mais la valeur des identifiants diminue considérablement d’année en année.

M. David de Burgh Graham:

Quelle est la solution de rechange?

M. Glenn Foster:

Les différents outils biométriques. Cependant, il demeure nécessaire de miser aussi sur un autre paramètre, que ce soit une information connue du client ou quelque chose qu'il possède, en combinaison avec la biométrie. C'est une donnée qui vous définit et l'on parle alors « d'authentification multifactorielle ».

La fiabilité des actuels lecteurs d’empreintes digitales et de certaines des technologies de reconnaissance faciale sur le marché est de plus en plus grande. Dans la plupart des cas, il s’agit d’un authentifiant plus puissant que le nom d’utilisateur et le mot de passe d’un client.

M. David de Burgh Graham:

C’est juste. Que faire si vos données biométriques sont détournées?

M. Glenn Foster:

Les données biométriques sont reliées à l’utilisateur, de sorte qu'il est ensuite possible de les suspendre et de réinscrire l’utilisateur. On ne conserve pas tout votre... Dans le cas de l'empreinte du pouce, par exemple, aucun de ces appareils ne conserve l'empreinte tout entière. Tous ont leur propre algorithme de points qu’ils relèvent, et ils ne conservent que ces données. Chaque appareil a son système.

M. David de Burgh Graham:

J’ai une...

M. Glenn Foster:

Votre pouce est en sécurité.

M. David de Burgh Graham:

Et puis, le pouce doit présenter une température normale, il doit être irrigué par le sang. Ça, c'est autre chose.

M. Jim Eglinski:

Il suffit de le tenir un peu dans la main.

M. Matthew Dubé:

On voit que vous y avez pensé.

M. Jim Eglinski:

Mettez-le au micro-ondes.

Des députés: Oh, oh!

M. David de Burgh Graham:

Sur une note un peu plus légère, au cours de la réunion de lundi, le sujet du bogue de l’an 2000 a été abordé brièvement — je ne me souviens pas pourquoi — et je n’ai pas eu l’occasion d’y revenir. La TD est-elle prête pour l’an 2038?

M. Glenn Foster:

Si la TD est prête pour l’an 2038?

M. David de Burgh Graham:

Si nous avons le bogue de l’an 2038.

M. Glenn Foster:

Nous n’avons pas encore effectué d’évaluation rigoureuse à ce sujet.

M. David de Burgh Graham:

Vous avez encore du matériel en 32 bits?

M. Glenn Foster:

Non.

M. David de Burgh Graham:

D’accord, alors ça va.

Merci.

Le président:

Monsieur Motz, vous qui avez été policier, saviez-vous qu'on pouvait débrider autre chose que les moteurs d'auto, sans parler des chevaux évidemment?

M. Glen Motz:

Oui, en fait, j'étais au courant...

Le président:

Vous étiez au courant? Je suis très impressionné.

M. Glen Motz:

Nous avions l'habitude de pirater des téléphones.

Le président:

Je vois.

M. Glen Motz:

Quoi qu'il en soit...

Le président:

Quatre minutes, monsieur Motz.

M. Glen Motz:

Légalement.

M. Michel Picard:

Bien sûr.

M. Glen Motz:

Avec autorisation judiciaire, monsieur le président.

J'aimerais revenir à une conversation que nous avons amorcée lundi avec d'autres groupes. Il était question de problèmes de longue date avec des systèmes anciens, particulièrement dans le secteur bancaire, par exemple des logiciels qui n'étaient plus pris en charge. Je crois que quelques-uns de nos guichets automatiques fonctionnent encore sous la plateforme Windows XP, qui n'est plus prise en charge.

En tant qu'institution financière, avez-vous ce genre de problèmes actuellement? Comment faites-vous pour vous assurer que vos systèmes sont sécurisés et que les anciennes données sont transférées ou mieux protégées?

M. Glenn Foster:

Comme toutes les grandes entreprises, nous devons nous tenir à jour. Nous consacrons une partie importante de notre budget à mettre nos systèmes à niveau, y compris nos guichets automatiques. De même, nous avons un système de contrôles à plusieurs niveaux pour nous assurer que les réseaux sont en boucle fermée, que le cryptage est adéquat entre un appareil et nos systèmes eux-mêmes, puis nous avons des paliers de détection pour repérer tout risque d'utilisation malveillante en cours de route.

M. Glen Motz:

D'accord.

Dans notre comité et à la Chambre — dans tout le pays, en fait — on s'est demandé s'il fallait accepter ou non Huawei, par exemple, dans notre infrastructure essentielle à l'avenir. Avec le réseau 5G qui s'en vient, votre banque est-elle prête à utiliser des serveurs construits en tout ou en partie par des entités étrangères qui sont parfois sous l'emprise de gouvernements étrangers? Comment composez-vous avec cela?

(1730)

M. Glenn Foster:

Nous sommes en train d'analyser cela, alors nous ne sommes pas encore fixés, et nous n'avons pas non plus publié de politique à ce sujet.

M. Glen Motz:

Dans ce cas, comment faites-vous pour approuver vos logiciels et votre matériel?

M. Glenn Foster:

Pour le matériel, nous avons un processus d'acquisition qui est également un processus d'accréditation de sécurité, prescrit pour tout logiciel construit ou déployé à l'interne. En ce qui concerne l'acquisition de logiciels, où il s'agit souvent de reproduire des logiciels vendus dans le commerce, nous procédons aussi à une évaluation avant de les mettre en service à notre satisfaction.

M. Glen Motz:

Vous vous assurez qu'il n'y a pas de bogues cachés.

M. Glenn Foster:

Exactement.

M. Glen Motz:

Toutes les institutions font l'objet de cyberattaques. Le secteur bancaire n'est certainement pas à l'abri. D'après votre expérience chez TD, d'où proviennent la plupart de vos attaques et quel genre d'information est visée?

M. Glenn Foster:

La majorité des attaques que nous voyons sont généralement déguisées pour donner l'impression qu'elles viennent du Canada ou de l'Amérique du Nord en général. La source première, quand nous arrivons à la localiser, se trouve souvent en Europe de l'Est, en Russie ou à l'occasion en Chine ou en Corée du Nord.

M. Glen Motz:

Quelles sont les cibles visées, et prenez-vous des mesures proactives pour protéger votre propre infrastructure?

M. Glenn Foster:

Oui, nous avons une équipe spécialisée dans le renseignement qui surveille le Web invisible. Nous recueillons des renseignements sur les menaces et des indices de compromission auprès de sources multiples. Nous pouvons échanger énormément d'information par l'entremise de l'Association des banquiers canadiens, et plus globalement avec le centre d'analyse FS-ISAC et les États-Unis, où on nous communique ce que la communauté du renseignement arrive à détecter. Nous nous servons ensuite des données pour examiner le trafic réel qui entre dans notre réseau et qui en sort.

Nous bloquons à l'avance des visées malveillantes connues, de sorte que si un indésirable pénètre dans notre entreprise, il est aussitôt mis en quarantaine. Nous avons des paliers de contrôle et des détecteurs à la grandeur de notre réseau et de notre infrastructure, où nous pouvons à la fois repérer toute activité potentiellement dangereuse et bloquer des appareils en temps réel.

Le président:

Merci, monsieur Motz.

Madame Dabrusin.

Mme Julie Dabrusin:

Dans votre exposé préliminaire, vous avez parlé de la responsabilité personnelle comme étant un problème. On a dit plus tôt que nos systèmes étaient comme des blindés qui passent entre deux boîtes de carton. Il y a donc vraiment un problème.

Est-ce que la banque présente des fenêtres contextuelles à l'écran lorsque les gens entrent leur mot de passe ou qu'ils ouvrent une session, pour leur dire par exemple: « Si vous avez utilisé ce mot de passe ailleurs, vous avez compromis votre sécurité? » Avez-vous quelque chose pour informer les gens de la nécessité de créer de nouveaux mots de passe?

M. Glenn Foster:

Dans le secteur bancaire, nous ne présentons pas de fenêtres contextuelles à l'ouverture d'une session. Dans nos sites de services en ligne, nous donnons tous des conseils sur ce qui fait la force d'un mot de passe. Nous prenons l'initiative de désactiver un compte si nous soupçonnons une activité malveillante, ou si nous avons repéré ses justificatifs d'identité sur le Web invisible ou ailleurs. Le client doit alors faire la démarche de réinitialisation de son mot de passe et réattester par d'autres moyens qu'il est bien celui qu'il dit être. Ensuite, nous rétablissons son compte.

Mme Julie Dabrusin:

Je réfléchis simplement à ce que je veux dire, et à ce que d'autres ont dit, et je pense pouvoir dire sans me tromper que des gens utilisent un certain nombre de mots de passe qui reviennent finalement à du pareil au même. C'est un des meilleurs moyens de compromettre leur cybersécurité personnelle.

M. Glenn Foster:

[Inaudible] obtient habituellement des mots de passe ou la réutilisation d'un mot de passe. Cela se fait aisément par différentes intrusions dans des systèmes moins perfectionnés.

Mme Julie Dabrusin:

Bien souvent, lorsqu'on ouvre une session sur un site, on se fait dire: « Vous avez besoin d'un mot de passe plus fort. » On met une majuscule, on ajoute un symbole quelconque, un chiffre ou autre chose, et un certain nombre de caractères, mais il n'y a rien à mon sens qui dise: « Hé, avez-vous déjà utilisé ce mot de passe? » N'est-ce pas là une façon simple de rafraîchir la mémoire des gens? Bien sûr, on fait cela parce que c'est pratique, mais on compromet sa sécurité. N'y a-t-il pas quelque chose que vous pourriez mettre là-dedans, dans ces huit symboles ou lettres, ou quoi que ce soit que vous pourriez inciter les gens à faire?

M. Glenn Foster:

Nous pouvons évidemment examiner d'autres moyens d'éduquer les clients et les consommateurs en cours de route.

Mme Julie Dabrusin:

Merci.

Vous avez parlé de la nécessité d'avoir plus de programmes de formation. Ce qui n'est pas clair pour moi, c'est la nature de cette formation. Il semble que les exigences varient et que certains endroits embauchent des personnes qui n'ont pas de diplôme en cybersécurité, alors que d'autres non. De quoi avez-vous besoin comme formation pour votre effectif? Qu'est-ce que vous recherchez comme formation?

(1735)

M. Glenn Foster:

Il faudrait qu'un plus grand nombre d'établissements offrent des programmes liés à la cybersécurité, et on revient à ce que vous dites quant aux différences de niveau. Il y a des programmes qui portent sur les opérations de sécurité de base, comme ceux offerts par les collèges locaux, ou sur les rudiments de la cybersécurité et du réseautage. On peut parler des « bons » pirates avec un sens de l'éthique, ou des chapeaux blancs dont il était question tantôt. Puis, il y a le niveau de sécurité beaucoup plus technique que nous appelons communément la « sécurité des applications ». Ce serait bénéfique.

Si vous regardez le nombre d'écoles qui offrent ce genre de formation, vous verrez que même si nous avons des programmes de pointe au Canada, ils ne sont pas aussi étendus qu'ils devraient l'être, et le nombre d'étudiants qui s'y inscrivent n'est pas non plus à la hauteur des besoins.

Au cours de la prochaine décennie, je vois la pénurie de ressources humaines comme étant probablement la principale crise au sein des grandes institutions pour ce qui est de contrer la montée des cybermenaces.

Le président:

Il nous reste environ quatre minutes, et je suis sûr que M. Spengemann aimerait que M. Eglinski veuille bien les partager avec lui.

M. Sven Spengemann (Mississauga—Lakeshore, Lib.):

Bien sûr.

Le président:

Vous pouvez poser une question chacun.

M. Jim Eglinski:

J'ai trois questions, mais je suppose que je vais devoir y aller très rapidement.

Vous avez parlé d'Israël et de l'excellente collaboration qu'on trouve là-bas, parce que beaucoup de gens ont été formés indirectement par le service militaire, entre autres.

Avez-vous une collaboration avec les autres grandes institutions prêteuses au Canada? Travaillez-vous ensemble et échangez-vous de l'information, par exemple, sur ce qui est mauvais, sur ce qui est bon, etc.?

M. Glenn Foster:

Oui.

M. Jim Eglinski:

Et dans votre système, avez-vous la capacité de découvrir si quelqu'un pirate le système du client à la maison? Pouvez-vous en informer le client par vos moyens de vérification?

M. Glenn Foster:

Pour la première question, à savoir si nous échangeons de l'information entre nous, oui, il y a un groupe de travail chargé du renseignement sur les menaces, qui relève du groupe spécial de la cybersécurité à l'Association des banquiers canadiens; toutes les banques et le CST assistent à ses réunions et ils lui fournissent également des mises à jour, ce que nous trouvons très utile.

Nous échangeons des indices de compromission, c'est-à-dire des indicateurs techniques qui permettent d'identifier des types de menaces et des mauvais joueurs. C'est un outil très puissant. Nous savons que des adversaires, des criminels, font amplement usage du Web invisible et d'autres canaux pour échanger sur les points faibles qu'ils décèlent dans les institutions et les banques. Je pense que nous avons intérêt à faire de même.

Pour ce qui est de votre deuxième question, est-ce que nous détectons les atteintes au système du client chez lui? Non, nous ne les voyons pas. Généralement, tout ce que nous voyons, c'est la transaction qui arrive à nos serveurs.

M. Jim Eglinski:

Est-ce que cela vous a paru deux minutes?

Le président:

Presque, mais M. Spengemann va aimer votre générosité. Il pourrait même vous envoyer une carte de fête.

M. Jim Eglinski:

Merci. C'est très gentil de votre part, monsieur le président.

M. Glen Motz:

Je vais envoyer des bougies.

M. Sven Spengemann:

Merci, monsieur le président, et merci, monsieur Eglinski.

Merci beaucoup, monsieur Foster. En tant qu'ancien employé de TD, je suis heureux de vous accueillir.

Je vais résumer mes questions en une seule. Nous avons le privilège de vous recevoir, vous qui êtes chef de la sécurité de l'information d'une grande banque. Pouvez-vous nous dire en gros comment votre rôle est structuré, quelles sont vos responsabilités et comment elles se recoupent avec les autres grandes composantes de la banque?

En même temps, pouvez-vous nous donner une idée de la marge de manoeuvre dont dispose une grande banque pour concevoir ses propres plateformes de sécurité? Dans quelle mesure les contraintes de l'utilisation de la technologie numérique limitent-elles, tout d'abord, le pourcentage des dépenses affectées à la sécurité, mais aussi les options qui s'offrent à vous pour protéger les activités quotidiennes?

M. Glenn Foster:

Là où je figure dans l'organigramme, je relève du chef de l'excellence opérationnelle, qui relève de notre chef de groupe, qui relève directement de notre chef de la direction. Mon groupe a un chef des technologies d'innovation et des services partagés à la Banque TD.

Pour des raisons de gouvernance, nous avons pensé qu'il valait mieux séparer du secteur technologique le rôle du chef de la sécurité de l'information, tant par souci d'objectivité que parce que la cybersécurité relève en réalité du risque d'exploitation, non du risque technologique.

Nous trouvons que l'engagement de l'entreprise, en ce qui concerne les procédés et les produits et la façon de faire participer nos clients, est essentiel au succès de notre programme de cybersécurité.

Quant à votre autre question, je ne sais pas trop si vous parliez d'un pourcentage des dépenses ou de plafonds des dépenses.

(1740)

M. Sven Spengemann:

Il s'agissait du coût de la sécurité. Autrement dit, vos options sont-elles effectivement prescrites ou limitées par le marché actuel, ou y a-t-il des options créatives et même des différences entre les grandes banques en ce qui concerne le pourcentage qu'elles consacrent à la sécurité par rapport aux coûts d'exploitation totaux?

M. Glenn Foster:

Je pense que cela varie d'une banque à l'autre, en partie parce que nous ne sommes pas nécessairement tous organisés exactement de la même façon. Si vous prenez n'importe quelle organisation de sécurité de l'information, c'est la règle du 80-20: 80 % d'entre nous avons les mêmes choses dans notre organisation, et 20 % peuvent être fédérés ou décentralisés dans d'autres secteurs. Il est très difficile de comparer des pommes et des oranges.

À la Banque TD, la cybersécurité est le risque jugé primordial. Je n'ai aucun problème à obtenir des budgets. Nous avons le soutien de la haute direction et du conseil d'administration. Toute contrainte à laquelle j'aurais à faire face prendrait probablement la forme de deux choses.

Premièrement, il y a la quantité de changements que l'organisation peut subir au cours d'une année donnée. C'est un domaine qui évolue rapidement. Mes dépenses augmentent à un taux annuel composé d'environ 35 à 40 % d'une année à l'autre. C'est beaucoup de changements à faire absorber par l'organisation.

Deuxièmement, il y a l'offre de produits commerciaux. L'explosion, comme je l'appellerais, des produits de sécurité dans l'industrie rend très difficile de discerner le battage publicitaire de la protection légitime. Je dirais que pour les organisations les plus avancées — nous avons parlé des données massives et de l'intelligence artificielle —, la plus grande poussée dans les années à venir se ferait dans l'investissement dans nos propres compétences et dans nos spécialistes des données, et dans les moyens de résoudre les problèmes de nos applications sur mesure par opposition à celles des fournisseurs généralistes.

Le président:

Merci, monsieur Spengemann.

Malheureusement, nous devons mettre un terme au témoignage de M. Foster.

Je tiens à vous remercier de votre patience.

Sur ce, la séance est levée.

Hansard Hansard

committee hansard secu 27238 words - whole entry and permanent link. Posted at 22:44 on April 03, 2019

2019-04-01 SECU 154

Standing Committee on Public Safety and National Security

(1600)

[English]

The Chair (Hon. John McKay (Scarborough—Guildwood, Lib.)):

Ladies and gentleman, we have quorum, and we have lost half an hour.

I'm just going to ask all the witnesses to come up to the table directly.

My proposal, colleagues, is that we mash the panels. I've spoken to all the witnesses and asked that they be prepared to speak for less than 10 minutes. My thought is to give the panellists seven minutes each to make their presentations.

The first round of questions will be six minutes, and the next round, four minutes. We'll just run as long as we can.

I think there's another vote. We're not sure.

Mr. David de Burgh Graham (Laurentides—Labelle, Lib.):

Are we not going all night tonight?

The Chair:

Did you bring your cot?

An hon. member: Oh, oh!

The Chair: Okay, with that, the meeting has come to order.

I'll simply call the witnesses in the order that we have on the agenda, which starts with Mr. Green from Mastercard, followed by Mr. Davies from EY, Mr. Finlay from Cybersecure Catalyst and Mr. Gordon from Canadian Cyber Threat Exchange.

With that, Mr Green, you have seven minutes, please.

Mr. Ron Green (Executive Vice-President and Chief Security Officer, Mastercard Canada):

Good afternoon, and thank you for the opportunity to be here today.

First, I want to praise the committee for launching this study. Cybersecurity is one of the greatest challenges governments and businesses are facing at the present time, with serious implications for national security, financial stability and consumer protection.

I also want to congratulate the Government of Canada for launching its national cybersecurity strategy and establishing the Canadian Centre for Cyber Security. I had the opportunity to meet with the leadership of the centre today, and we at Mastercard look forward to supporting their work however we can.

Cybersecurity is a top global priority for Mastercard. Safety and security are foundational principles for every part of our business and the innovative technology platforms and services we enable. We know that secure products and services are essential to the trust our customers, cardholders, merchants and other partners place in us. Let me contextualize this.

As you probably know, Mastercard does not issue credit cards or have a direct relationship with consumers. That is the purview of the banks that issue our cards.

Mastercard is a technology company. We provide the network that allows consumers to use their Mastercard virtually anywhere in the world, in more than 210 countries and territories, and have those transactions processed in seconds, connecting 2.5 billion cardholders with tens of millions of merchants.

For us to provide value to banks, merchants and consumers who use our network, we must provide safety and security. We cannot afford to have any interruptions in the operations of our network.

We are also investing in innovation: enhancing our capabilities in-house; acquiring cutting-edge technology companies; and nurturing our Start Path group of curated start-ups, including five in Canada, connecting with our issuing partners to grow their business. Just last month, Mastercard entered into an agreement to acquire Toronto-based Ethoca, a fraud solution powered by collaboration between banks and merchants.

At a very high level, that's what we're doing. Please let me now turn to our advice for government, which falls into six main areas.

First, in a networked, interconnected digital world, we need cybersecurity solutions tailored to small and medium-sized businesses. Cybercriminals will seek out the weakest point in the system to launch an attack. Therefore, we need to provide a framework for small businesses to protect their operations. Mastercard is playing a leading role in defending SMEs as we stand up our Cyber Readiness Institute, which emphasizes the practical application of tools for small and medium-sized businesses. The institute also facilitates the workforce development needed to implement these cybersecurity risk management tools.

In addition, keeping with this focus, in February, Mastercard and the Global Cyber Alliance released a new cybersecurity tool kit specifically designed for SMEs. This is a free online resource available worldwide. It offers actionable guidance and tools with clear direction to combat the increasing volume of cyber-attacks. There are operational tools, how-to materials and recognized best practices, all with an action focus. This tool kit will be updated regularly.

Second, global companies frequently confront an expanding and overlapping set of cybersecurity regulations in different jurisdictions. Those need to be harmonized using a baseline framework. We understand good trilateral progress was made here in the context of the NAFTA renegotiation, developing a common framework to align and manage cybersecurity risks, which is encouraging.

Third, there is a need to improve identity management and authentication as more devices are connected online. We need a robust identity ecosystem to enable easier and more secure digital interactions and transactions that safeguard the privacy of our cardholders.

Fourth, with the Internet of things there will soon be 30 billion connected devices. This creates enormous opportunities for the digital economy, but it also increases cyber-risk. Therefore, governments and the private sector should develop standards to improve the interoperability and cyber-threat detection and prevention while removing friction from commerce.

Fifth, as cyber-threats grow, governments and the private sector face a shortage of employees with cybersecurity skills. The world needs to start training the next generation of cybersecurity experts, and government has a role to play. If you have kids or grandkids, get them hooked on cybersecurity and they can make a lot of money in their lifetime, because right now the needs are there but the qualified security personnel are not.

Finally, collaboration, information-sharing and bringing all stakeholders to the table are required to fight cybercrime. President Obama commissioned an expert task force on cybersecurity on which our CEO sat. The task force issued a series of recommendations. The CRI, which I mentioned earlier, is a direct offshoot of the task force's emphasis on securing SMEs.

I believe this issue is so fundamental to the future of our economy and society that it needs attention from leadership at the highest levels. Mastercard is ready to lend its expertise to the Government of Canada in much the same way.

I could talk for hours on the subject but I will stop here and happily take questions on the areas that are of most interest to you. I have tried to provide a snapshot of what we are doing and what we think governments should be doing.

Thank you again to the committee for having me here, and I look forward to your questions.

(1605)

The Chair:

Thank you, Mr. Green, and thank you for respecting the time.

Mr. Davies is next for seven minutes, please.

Mr. Thomas Davies (National Financial Services Cyber Leader, EY):

Thank you for inviting us to this session to provide insights and field questions on cybersecurity in the financial sector.

My name is Thomas Davies, and I am the National Financial Services Cybersecurity Leader for EY in Canada. I'm also a special adviser for financial crime for the firm globally with a focus on insider and outsider threats. Prior to joining EY, I spent eight years as a director of Scotiabank, supporting all three lines of defence.

Cyber-attacks are on the rise and the financial services industry is considered a high value target globally. The number of individuals, organizations and nation states with access to advanced tools has grown exponentially as service offerings for hacking have been developed and optimized by criminal organizations. Attacks on financial services are not limited to cyber-breaches. They can quickly move to fraud and money-laundering activities, which then create a strain on the talent and financial resources of any organization. These concerns are exacerbated by the shortage of skilled professionals across financial crime domains. A successful breach of payment systems, transaction networks or customer data could have a material impact on the economy.

Consider for a moment the implications of not being able to use your debit or credit card for a day or even a week. Imagine over one million Canadians trying to withdraw cash to pay for groceries, gas or medicine. Many global regulators consider the resiliency of financial services against a cyber-event to be a top priority for ensured economic health, as exhibited by new security requirements in Hong Kong, the United Kingdom and New York.

As Canadians demand greater access to financial services through digital platforms such as open banking, we need to consider embedding security and privacy principles into the design phase of a solution. In doing so, we will help to build customer trust, encourage adoption and proactively reduce the likelihood of costly fixes later. Implementing preventative measures such as training and awareness, access management, system hygiene, third party risk and corporate governance will reduce both the attack surface of these platforms and the maintenance required to support them.

Canada has an opportunity to become a global leader in security and privacy while continuing to be a great innovator of fintech. Through the continued support of shared intelligence, the development of talent through early and continuous education, and by enhancing public awareness of cyber-threats leading to financial crime, we can ready ourselves against this growing threat.

Thank you.

The Chair:

Thank you, Mr. Davies.

I encourage colleagues to take note of the way in which these presentations are made in a timely fashion.

Mr. Finlay from Cybersecure Catalyst, please.

Mr. Charles Finlay (Executive Director, Cybersecure Catalyst):

Chair and members of the committee, thank you very much for the opportunity to speak with you today.

Cybersecure Catalyst is a new centre for cybersecurity activities that was established last year by Ryerson University. It is permanently located in Brampton and will open its physical footprint in Brampton later this year. The centre will collaborate closely with governments and government agencies at all levels, private sector partners and other academic institutions across Canada to drive growth and innovation in the Canadian cybersecurity ecosystem.

We will deliver programming in four pillars. We will provide cybersecurity training for existing cybersecurity professionals, and introductory cybersecurity training for newcomers to the sector. We will support scaling-up Canadian cybersecurity companies through a unique commercial accelerator program. We will support applied cybersecurity R and D partnerships between academic institutions and private sector partners. Finally, we will deliver public education in cybersecurity, focusing on private citizens and small businesses.

In developing the mandate of Cybersecure Catalyst, Ryerson University engaged in a lengthy consultation process with industry and government, including a number of financial institutions. I think the results of this consultation process are important for our discussion of cybersecurity in the financial sector as a national economic security issue. When we asked major financial institutions and other private sector entities what they needed most from a university-based cybersecurity centre, the answer wasn't some specific technological tool or identified advance in the science. The overwhelming answer was more people. You have heard this from other witnesses before the committee today. In particular, we heard from financial institutions that they need their existing personnel to be upskilled to meet emerging threats, and they need more people to come into the sector to staff entry-level positions within their organizations. Every one of the major financial institutions in Canada has many current openings for cybersecurity personnel.

The anecdotal evidence taken from our consultation process is supported by the empirical evidence. As you have already heard from other witnesses in this hearing, in July of 2018 Deloitte and the Toronto Financial Services Alliance released a report that estimated that the demand for cybersecurity personnel in Canada was increasing by 7% annually and that 8,000 cybersecurity positions need to be filled by 2021.

It is important to note that this shortage is not just a security problem; it is an economic development problem. The lack of trained cybersecurity personnel creates staffing challenges for the regular operations of these financial institutions, but it also impacts these institutions' ability to create new and safe products and services for domestic and international markets. Crucially, the lack of trained personnel seriously impacts the ability for small and medium-sized Canadian cybersecurity companies to grow.

An interesting way to see the Canadian labour market problem in cybersecurity is to travel to Israel. Israel is generally acknowledged to have the strongest cybersecurity technology ecosystem in the world. The Israeli government has established a new major centre for cybersecurity activities in a small town in the Negev Desert about an hour by car from Tel Aviv, called Beersheba. In January, I travelled Beersheba to meet not with Israeli companies but with representatives of Canadian financial institutions that have established offices at Beersheba because they can find cybersecurity talent in Israel much more readily than they can in Canada.

That is the bad news. The good news is that this problem is well understood and efforts are being made to address the issue. This federal government's investments in cybersecurity in the 2018 budget were significant, in particular with the establishment of the Canadian Centre for Cyber Security. The centre is already acting as an important partner and voice for the cybersecurity sector in Canada. In the recently released 2019 budget, this government made cybersecurity a priority, allocating $80 million to post-secondary institutions to expand the pipeline of cybersecurity talent in Canada, among other measures.

Of course there is always more to do. In our view, training programs should focus on two key cohorts: young people in K to 12 and demographic groups that are seriously under-represented in the cybersecurity sector. Young people are not necessarily inclined to view cybersecurity as an interesting or exciting field of study or future employment, but this can change with the right engagement.

(1610)



We will not solve the labour market issue of cybersecurity for financial institutions or for any other institutions if we don't open the cybersecurity sector to more women, racialized groups, new Canadians, indigenous Canadians, veterans and to those who have been displaced from legacy sectors. Efforts should be made to focus specifically on opening training and industry placement opportunities to individuals from these groups, and we will focus on that at Cybersecure Catalyst.

Finally, as our economy continues to transform, we see exciting opportunities to build talent pipelines between sectors where human labour is being displaced, and the cybersecurity sector where the need for qualified personnel is growing.

Thank you very much.

I'd be pleased to take your questions.

The Chair:

Thank you, Mr. Finlay.

Mr. Gordon, you have seven minutes, please.

Mr. Robert Gordon (Executive Director, Canadian Cyber Threat Exchange):

Thank you, Chair.

I would like to thank the committee for giving me the opportunity to speak today about cybersecurity in the financial sector.

I'm the Executive Director of the Canadian Cyber Threat Exchange, CCTX. I'll highlight the work of the CCTX because I believe it has a direct bearing on the current focus of this committee's inquiries.

The CCTX is a not-for-profit organization established by the private sector with two broad mandates. First, we operate a cyber-threat information exchange to deliver actual intelligence to our members. Second, we provide a collaboration hub for the sharing of best practices among cybersecurity professionals. We're a relatively new organization, having commenced basic operational capacity just two years ago. I'll provide a few additional comments on our services in a minute.

The founding principles of the CCTX make it unique. First, our aim is to attract members from all sectors of the economy, not just those from critical infrastructure. We currently have members from accounting companies, law firms, the health sector, construction firms, entertainment companies, airport authorities and technology companies, among others.

Second, the large companies that founded the CCTX made it clear that the CCTX cannot be just for large organizations. We need to attract small and medium-sized organizations. In every sector of the economy, all sizes of organizations are experiencing cyber-attacks. We've grown from the initial nine founding members to just under 60 today, with additional applications being processed weekly.

In January this year, we changed our membership and fee structures to make membership more attractive to small and medium-sized organizations. Those changes have been really well received. Small organizations now represent 28% of our membership, and we're working to ensure this number grows significantly. As we increased the number of small organizations, we were developing cybersecurity reports and services specifically tailored to meet the needs of the small business owner.

I'll briefly highlight two of the service delivery areas.

We operate a cyber-threat information-sharing hub. Threat information is provided by participating member organizations. The threat intelligence received does not contain personal information, and the source of the information is anonymized.

The CCTX also receives cyber-threat information from the new cyber centre. We're pleased to be the first organization to sign a collaboration agreement with the new cyber centre. This is an important partnership for the CCTX and the government. We believe we will benefit from the full cybersecurity capability the government offers, and the government is going to benefit by our being able to extend the reach of what they're doing to small parts of the economy they no longer service, particularly those areas outside the core critical infrastructure.

The CCTX also offers its members an opportunity to provide threat-related information to the government, while keeping their identities anonymized. As we continue to grow, we'll provide the government with a broader understanding of how cyber-threats are impacting the entire Canadian economy.

This committee previously heard from witnesses on the importance of developing the cyber workforce required to defend the Canadian economy. The CCTX plays a role in assisting the private sector in developing and retaining the skills they require. Our cross-sector collaboration capability provides a variety of forms to bring together cybersecurity professionals to share best practices and ideas. Practitioners get together to discuss new topics such as the new techniques that are being used by attackers, new defence technologies and strategies, and changes in the legal landscape that companies should be aware of. We deliver this capability through monthly webinars and in-person collaboration events. The time employees devote to participating in these events contributes to their retention of their professional certifications.

Financial institutions understand the importance of collaboration, which is why all six of Canada's largest banks belong to the CCTX. The banks recognize that through collaboration they can raise their own defences and make it more expensive for the attacker. We provide a unique cross-sector sharing forum. As an example of the beneficial and unique relationship of the CCTX, work is being done through our portal between the financial institutions and telecommunications companies on a very specific cyber-threat.

Banks have built an impressive capability to defend their networks from cyber-attack, and they are now launching a new initiative through the CCTX. They would like to share their expertise with SMEs and are working with us in helping to raise the maturity of SMEs in every sector's supply chain, not just those relating to financial services. Each bank has identified an area of expertise and presentations have been developed that focus on the needs of small and medium-sized enterprises. We're currently working on the delivery mechanism for this important initiative.

(1615)



Collaboration starts with building a trusted relationship. The CCTX provides an environment where the trust can flourish. We're building a community where members don't have to be operating in isolation. When a crisis occurs, they have a community to which they can reach out for assistance. Creating this organization that shares threats and best practices across sectors and all sizes of companies is a key pillar to achieving the desired level of security in order to protect Canada's economic prosperity. Collaboration means you don't have to do it all yourself because “none of us is as smart as all of us”.

I look forward to your questions.

The Chair:

Thank you, Mr. Gordon.

With that, Mr. Spengemann, you have the floor for six minutes, please.

Mr. Sven Spengemann (Mississauga—Lakeshore, Lib.):

Chair, thank you very much. I'll be sharing my time with my colleague, Mr. de Burgh Graham.

My question is for Mr. Green.

Thank you for being with us. Thank you for your expertise. I'd also like to thank you for your past service as an officer in the United States Army. I also serve on our Standing Committee on National Defence, and from the perspective of our armed forces I just want to let you know how much we value our friendship and alliance with the United States.

(1620)

Mr. Ron Green:

Thank you.

Mr. Sven Spengemann:

You had a chance to visit the Canadian Centre for Cyber Security. My interest is in small and medium-sized enterprises. From your perspective, having clients that are SMEs, how much of a structural obstacle do you think cybersecurity is for start-up companies in Canada? What should the Government of Canada do more of, or do better, in terms of facilitating access to market entry points for those companies that are data-centric and depend on cybersecurity?

Mr. Ron Green:

As someone who has visited a number of small start-ups, I can say that for many of them security may not be top of mind. It needs to become part of everything we do, not just for small businesses, but just as people.

When you leave your house every day, you lock your door. You need to have a certain level of cybersecurity hygiene in your everyday life. For businesses, especially those that have data available to them, it needs to be a part of what they do now. We're at a point in time where we need to help them with that, through best-practice sharing and access to experts. That is one of the reasons we engage with Global Cyber Alliance. We are part of many groups that provide best practices and how-tos, but it's about making tools available to small businesses to actually help them do something, rather than just telling them, “These are the things you should think about.” Give them the tools and access to the expertise.

At the cyber centre, they're certainly working on ways to provide information to small businesses. They'll never have intelligence organizations like I have, but certainly, you can break down the information enough to help them on the journey to get more secure.

Mr. Sven Spengemann:

That's very helpful.

I'm going to hand it over to my colleague.

Mr. David de Burgh Graham:

Thank you.

Mr. Davies or Mr. Green, I'm not sure which of you can answer this. How does liability work for financial institutions that have losses related to cybersecurity?

Mr. Ron Green:

With cybersecurity incidents and breaches, there's a place where the victim can be victimized twice. You have the threat actors that steal the money, and then you have the ensuing civil and criminal cases that take place afterwards. Sometimes, depending on the company, they are then taxed more, or they spend more time on it.

From our perspective, we work with a body comprised of our lawyers, the acquiring company's lawyers and the merchants that are involved in the issuing. We work out a reasonable compensation between all of the impacted organizations. That's for payment card breaches. It may differ depending on other breaches that take place.

Mr. David de Burgh Graham:

Are the financial institutions insured for cybersecurity? Is there a separate insurance for that?

Mr. Ron Green:

There is cybersecurity insurance. I guess it depends upon which country you are in and the insurance that's available to you. I go through a rigorous review annually with our insurance providers to make sure that I'm maintaining a proper level of security for the organization, so that we can then take advantage of the insurance opportunities that the company provides for us.

Mr. David de Burgh Graham:

This question is more open. When you're hiring cybersecurity professionals, what level of vetting is done for these people? It's not a normal job interview, or is it? Do you do vetting to make sure they are not going to introduce vulnerabilities rather than fix them?

Mr. Thomas Davies:

I can take that one.

We do a technical review of most...in our community. It's a small community, so we benefit from the fact that we typically know someone who has worked with these individuals before. It's a plus and a minus, a pro and a con, but we often look at references and understanding the environments that they worked in before and how that work has gone. Then we go through a technical vetting process to understand. It's usually a longer cycle, which also has its negatives, in that it takes us longer to board secure professionals in this area.

Mr. David de Burgh Graham:

We're talking, Mr. Finlay, about the need to expand the number of people in cybersecurity. We're trying to make sure that as we go into a massive expansion—as we saw in 1999 with the technology bubble—we don't introduce a whole lot of people whose intentions are not necessarily what we're looking for.

Is there an intention to make a degree in cybersecurity separate from a degree in computer science at some point?

Mr. Charles Finlay:

Cybersecure Catalyst is going to focus on training for existing cybersecurity professionals, and introductory training to bring new professionals into the sector. We are not going to focus on giving a degree right now out of Cybersecure Catalyst. Degree programming in cybersecurity is being developed by many post-secondary institutions. Many post-secondary institutions, including Ryerson, have courses in cybersecurity. Our particular focus is on the professional training, because candidly, that's where we feel we can make an immediate impact within the next couple of years, so that's our focus.

There are all sorts of different models of degree programs that are offered by different institutions across the country.

(1625)

The Chair:

Thank you.

Monsieur Paul-Hus, you have six minutes, please. [Translation]

Mr. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, CPC):

Thank you, Mr. Chair.

Mr. Green, I like what you said in your presentation. I see that Mastercard has really established priorities, in addition to identification, protection, detection and response methods. I also like your relationship with the different companies.

In your presentation, you also gave advice to governments. You mentioned the need for coordination among the different countries. I want to know where Canada stands. What are Canada's strengths, and, above all, what weaknesses should it address? [English]

Mr. Ron Green:

I think, fortunately, Canada does lead the way in cybersecurity technology development. I just mentioned Ethoca. We also acquired a company called NuData, which powers a lot of the security control features that we enable within mobile devices. I think there's an opportunity to continue that effort to develop new cybersecurity solutions that can help the marketplace, the fintech environment. I think that is a strong place to come from. You are also, just being at the centre, very open to working more collaboratively with the private sector, so there's the ability to share intelligence information.

There are things that we have an opportunity to see globally that may be of interest to your teams, and hearing from your teams about new threats that are out there gives us an ability to more proactively stop things from happening. That's a big interest for me. [Translation]

Mr. Pierre Paul-Hus:

There are different threats. Some threats come from individuals who try to hack into a system. However, rogue states, such as China, also attack our systems.

As a private company, how do you respond to a cyber attack carried out by a state? Do you expect the Government of Canada to take action? Should government resources be involved? You'll take the first steps, but do you expect anything from the government in the event of an attack carried out by a state? [English]

Mr. Ron Green:

We have to defend against all comers, individuals all the way through nation-states. We think about all potential threat actors that there may be, and we implement layered defences in order to overcome delay, and prevent such attacks from being successful. However, if such actors were successful, we would depend very much on our government partners to help us with the mitigation of the effect, but then also, depending on what the attack may be, take other actions. I only defend—that's my lot in life—but if something else needed to happen, it would have to be with one of our government partners. [Translation]

Mr. Pierre Paul-Hus:

Okay, thank you.

Mr. Finlay, we now see that all stakeholders must work together. This includes the government, private sector and university sector. We're talking about workforce training in cybersecurity.

Do you have any advice to help us ensure that all these stakeholders work together? Since everything moves very quickly in cybersecurity, speed is key. We mustn't get bogged down by excessive administrative measures. Do you have any advice for us?

(1630)

[English]

Mr. Charles Finlay:

I frankly think that the establishment of the Canadian Centre for Cyber Security is a fundamental improvement in the Government of Canada's position in respect of cybersecurity and in bringing all the partners together.

You properly identified industry, the academy and government having to work together.

I mentioned Israel in my opening comments. What's interesting to me about that ecosystem is how closely those three pillars of civil society, if you like, work together on the cybersecurity problem. I think that the Canadian Centre for Cyber Security acting as a convenor in bringing all those parties together is very important. In terms of advice, I think that the government's and the administration's opportunity to counsel all parties to work closely together is very important, and that it should be made a repeating theme, in terms of your discussions about cybersecurity, that everybody needs to work together. [Translation]

Mr. Pierre Paul-Hus:

My next question is for all the witnesses.

At this time, do you think that Canadians in general are naive about cybersecurity? [English]

Mr. Thomas Davies:

I wouldn't say naive. I think we're a little bit more numb to cybersecurity events than other cultures. I think we're a little bit quicker to let it go. That would be my comment.

The Chair:

Go ahead, Mr. Green.

Mr. Ron Green:

I think about when we adopted things like the automobile into the environment. There was a period of time where no one understood, no one knew what it was, and we're all lucky to be alive because none of us had car seats or anything like that. If you look at cars today versus cars a long time ago, you will see lots of maturity, lots of improvement. We're in that same kind of cycle. We're not naive. It's just that we're still innocent about these things. We have to pick this up.

The Chair:

Thank you.

Monsieur Dubé, you have six minutes.

Mr. Matthew Dubé (Beloeil—Chambly, NDP):

Thank you, Chair.

Mr. Green, this whole notion of not being a card issuer is something that I recently was helped to understand by folks in your company. It adds a lot of wrinkles, I think, to how this process works.

I'm just wondering if you could walk me through a few things.

Mastercard is in charge of the payments, the transactions themselves, and then you have a card or a device or a website, sort of these third party things out there if you're using Apple Pay or something like that. And then there's the bank, which would be the card issuer.

Through that triangle, if I could put it that way, how would the accountability work, let's say in terms of my information? In other words, if I'm using my phone to pay for something and there's an issue, then is it incumbent on the banks, the card issuers, is it incumbent on Mastercard, is it incumbent on Apple because they caused a problem with Apple Pay? How does that work?

Mr. Ron Green:

A lot depends on the particular incident, with respect to who's more responsible for the issue that occurs. First and foremost, an attacker is always the first person. They are the ones who did the wrong thing, but within the four-party model, there's an issuing bank, an acquiring bank, and then you have the merchant and the cardholder.

The cardholder reaches out and works with the merchant, and I would say a lot of times we encounter issues with the merchant because there's some sort of security issue, there's something wrong there. Maybe information is captured or stolen from this point.

We're doing a lot to remove the value of any information that the merchant may have with tokenization. If you use your Apple Pay, there's not a PIN, there's not a 16-digit number that you're most comfortable with. We provide a token that can only be used a certain way. You can't steal it and then make it usable on another device or a computer. There's a token that's on your Apple Pay. We power the token that's in Apple Pay. We're taking that tokenization—

(1635)

The Chair:

Mr. Green, for the edification of the chair and possibly other members who might not heard of tokenization, I wonder if you could give a brief explanation of what that means

Mr. Ron Green:

The 16 digits that make up your card are what we call a PAN. It's a certain number that you're most common to use—you know it and you see it because it's on your plastic card. A token is something we create. It actually works throughout systems, but we can create them and throw them away, then reuse them.... It's not as fixed as just that 16-digit number.

So when we create a token, like in the case of a merchant where...we replace PANs and we work with them to place tokens. If they are breached and the tokens are stolen, it doesn't matter. We'll just make new tokens. We will take away the value of the PAN—the credit card number—and replace it with a token, so we can just create more tokens.

Mr. Matthew Dubé:

That's interesting, because it sort of leads me to wondering about AI and biometrics.

I'll use lay terms, if you'll forgive me. You're enabling, in a temporary way, different payment methods. The question then becomes, if AI or biometrics are being used in different ways—to understand the types of transactions people are doing, when they're doing them or things that are occurring on a device—isn't there inevitably a more concrete connection that's being made than just sort of this throwaway stuff?

Again, I'm trying to see it through a layperson's lens, this notion, because it seems to me there would be a stronger connection at that point if you're enabling that type of data collection.

Mr. Ron Green:

It's not all about data collection. It's about having the right data at the right times.

I don't want to make this too difficult, but in the future, identity stores will be less important than the ability to get the identity information when you need it.

When you want to make a transaction, we can connect to the identity stores to pull in the information to identify you, Matthew, when you need to make that transaction. Then when you're done, it all goes away. There's no need to store it. We just want to reach out and make sure the information is there when you need it.

Mr. Matthew Dubé:

Is there not a landing point for something, at some point? We had a witness a couple meetings ago who said, “it sounds silly but the cloud's not actually a cloud”. There's a space where the data is being stored.

Mr. Ron Green:

Yes, it's in a computer somewhere.

Mr. Matthew Dubé:

Absolutely. This data is landing somewhere.

Even though there's a protection for Apple Pay, let's say, with this token, there's still a transaction taking place and then something's landing somewhere and staying there, without any....

Mr. Ron Green:

It can be transitional, so it's there for a period of time. It's not there for always. It's there when you need to do the thing that you're trying to do, and then when it's no longer needed, it's gone.

Mr. Matthew Dubé:

I'll kind of walk through to what I was asking the banking association representatives about when they were here.

If I'm using a banking app on my phone to pay my credit card, inevitably I'm doing it through the bank, but there is information that has to go to the credit card company in that case.

Mr. Ron Green:

The information that we transact is a PAN—the 16-digit number—and the date, time and the amounts. We don't hold cardholder information. Your issuing bank does.

We see just that the 16-digit number did a thing. The merchant asks, “Can the 16-digit number pay for it?” We ask the issuer. We don't actually know the cardholder, but the issuer knows the cardholder. The issuer says, “Yes. That 16-digit number that belongs to Matthew can pay for that”, and then we pass that information back to say, “Yes, they can pay for it”. Then a charge goes back.

It's all information that passes from one side to the other. Depending on what you're asking for....

Mr. Matthew Dubé:

In other words, you would have the merchant name, the card number and the amount, essentially.

Mr. Ron Green:

Yes.

Mr. Matthew Dubé:

That's not necessarily stored in Canada, so is that subject to protection from Canadian law?

Mr. Ron Green:

We have to be compliant with Canadian law for the data for Canadian citizens. Right now the majority of transactions take place at our St. Louis or Kansas City facility. There are other locations that also do work for us. The data needs to remain local only. From where I sit globally I can see threat actors attempt to work against the payment system no matter where they are. But as countries localize or look for localization of data, and that data can't be used in other places, the ability for me to analyze and see where the threat actor moves becomes more difficult.

The threat actors don't care about borders. They're willing to attack Latin America or Europe or Canada or the U.S. If I can see their attacks taking place in Latin America, but I'm not allowed to use that information to help protect another country, the attacker can then move without my using the learning to protect the other, so attackers can continue to attack different places without my using the information to help protect it.

(1640)

The Chair:

Thank you.

Mr. Picard. [Translation]

Mr. Michel Picard (Montarville, Lib.):

Thank you.

Mr. Davies, you provide consulting services to financial institutions. In business, one challenge is to properly manage security investments and risks. It's about balance. When it comes to investing in security measures, we must consider whether paying for any possible damage would be cheaper than or equal to the cost of investing in security.

For a long time, the perception was that financial institutions limited their investments in security and chose to pay for damage that occurred as a result of incidents because it was more beneficial. Is this type of resistance still encountered or has the market changed with regard to security? [English]

Mr. Thomas Davies:

I would say that they are investing heavily in protection in cybersecurity. There is brand and reputational risk. While in the community we talk about not competing on security itself, I believe the financial institutions do compete on customer trust.

The biggest issue the financial institutions have today is actually having the individuals necessary to deploy the capital. They have robust budgets and they set aside adequate funding, but to try to get through as many projects as they do with the limit in skill shortage becomes a challenge. [Translation]

Mr. Michel Picard:

It should be noted that third parties that have access to financial institutions may not have the financial means or tools to protect themselves from risks. As a result, they may represent an access risk to the financial system. Do the industry's security investments still protect the market? [English]

Mr. Thomas Davies:

Third parties that service financial institutions are considered one of their greatest risks. The financial institutions develop a really strong security program but then can be weakened by an external party. Third party risk is something taken very seriously by the financial institutions.

I think one of the issues is that people believe that cybersecurity is an overly complicated domain when a lot of breaches occur due to the basics being missed. I think that proper education, in terms of what the basics are and how to go about resolving them, can greatly mitigate that risk. We are seeing financial institutions start to basically mandate that their third parties have certain minimum controls inside of contracts and that there is an assumption of risk along with them. In Canada we have OSFI that regulates the banks. If a third party is the reason for a breach, OSFI doesn't really care that it was a third party. It still holds the bank liable, so the banks are taking this very seriously and are going through heavy risk programs to mitigate this issue. [Translation]

Mr. Michel Picard:

My next question concerns human resources, and it's for Mr. Davies and Mr. Green.

From a consulting perspective, the focus is on recruitment, while from a client perspective, for example at Mastercard, the focus is on the risk posed by human resources.

I want to share an anecdote. A number of years ago, I filled in a credit card application form properly—I won't say which card. When I received the card, the credit limit had already been exceeded. Obviously, I contacted the security department. The problem wasn't caused by me, but by the security department when the card was issued. The problem came from the inside.

In a previous life, I attended Canadian Bankers Association meetings, where we talked about payment terminals that were impossible to break into. However, the terminals were broken into within three weeks. We think that there's still a risk of inside jobs.

How is this human resources risk, which seems to lead to a dead end, managed for both the client and the consultant?

(1645)

[English]

Mr. Ron Green:

We do a great deal of background checking on our employees before we bring them on, but we also have insider threat programs. We know what the correct or usual behaviour is, and then we look for anomalies. I had an opportunity to take my board through what we have in our insider threat program, but we have a way of sensing when people are acting abnormally.

When those triggers are set, then my team will launch an investigation to see if the employee is acting in a way that is not in the best interests of the company.

Additional to that, we have employees who have high-risk roles. The things that they do allow them the ability to make or destroy machines, or things like that.

We have an increased level of monitoring, so my guys watch what it is that they're doing. It's all in behind the scenes, but it happens to make sure they they're doing the things that they are supposed to. If they're not, then we respond to it.

Mr. Thomas Davies:

I'll add that the insider threat is the number one concern of most chief risk officers, because of the magnitude of the event when it occurs. You know, the Edward Snowden discussion comes up often in terms of national security. The idea that an insider has access to privileged information is always a concern.

There is a discussion around enhanced monitoring under what we call powerful users, people who have—to Mr. Green's point—powerful privileges inside the organization, and making sure to mitigate the risks.

So one account is frauded, that's a mitigated risk, and there's a certain risk tolerance you have to have internally. You can't guarantee that nobody will do a bad thing, but you can minimize the impact and do some basic training and awareness.

When I was a member at Scotiabank the code of ethics, business conduct, know your customer, and anti-money and laundering training were mandatory. It is important to have that be a mandatory component and to at least give everybody the sense that you're here to do the right thing.

The Chair:

Thank you.

Mr. Motz, you have four minutes, please.

Mr. Glen Motz (Medicine Hat—Cardston—Warner, CPC):

Thank you, Chair, and thank you for being here, gentlemen.

Mr. Gordon, we've heard from previous witnesses to this committee that countries like Australia and Israel have pretty effective information-sharing networks between industry, government and academia. We haven't heard necessarily that the same exists in Canada. Could Canada improve in this regard, and if so, how should we go about doing that?

Mr. Robert Gordon:

I think we actually are improving. I think one of the big steps was creating the new cyber centre to do that. It's one of the reasons why we're working so closely with them to do that linkage between what the private sector is doing and what the government's doing.

As a matter of fact, we're working with some Australian organizations to create an organization in Australia similar to the CCTX, to do that cross-sector piece. It's one of the ways of bringing together all of the companies, all regardless of size or what they're doing, and bring them forward in a way they can start to interact with the government.

The government's going to be looking after the cyber centre, a fairly narrow window into the critical infrastructure—that's what they are going to scale to—and they're looking at us to expand that out to all the those sectors and areas that aren't going to be covered by what they're doing. The government can be providing some general advice, but a lot of it is taking the general advice and saying, we need to do something in technology, but as an individual within a company, how do I actually do that?

It's a little bit of the skills development that Mr. Finlay was talking about. We're trying to bring that along, to take the knowledge the government is providing and then translate that by getting individuals who are going to execute on using that technology to sit down and figure out how you actually do some of these things.

(1650)

Mr. Glen Motz:

Your organization has a platform that's now more accessible to the smaller markets, to small and medium-sized business, and they're taking advantage of that.

Have you observed any attacks in those start-ups, in those smaller enterprises, that have grown from there?

Mr. Robert Gordon:

On the companies that we have, no, but that's been happening.

A lot of examples come out of small companies. Part of the supply chain is being the source of the target into the much larger organizations. It's one of the reasons—and it was said previously— the banks are so interested in looking at their third parties and what they can be doing to try to enhance the cyber-resiliency of that third party, because they're all hooking into their systems.

It extends beyond that into literally every sector. For example, when dealing with the owners of large buildings who are now worried about all the tenants of their building hooking into them, you're only as strong as your weakest link. Every sector is going through the same issue.

Mr. Glen Motz:

A previous witness to this committee said that Canada is often the first victim of attacks, and it's partly due to the fact that we have fewer resources than our friends to the south have.

In your exchanges and with the allies, have you seen that to be so?

Mr. Robert Gordon:

That we're being attacked first, or...?

Mr. Glen Motz:

You have a lot of interaction with our allies.

Are you seeing that Canada sometimes might be the first point of attack on some of these issues, as opposed to some of our allies?

Mr. Robert Gordon:

Yes. The attackers will come after countries for a variety of reasons.

In some instances, we may be the only target of an attack coming in, and other times we'll be a jumping-off point for attacks starting here and going elsewhere, or we can be the second country going down, where the attack starts somewhere else and then comes over to Canada. We get hit in all three areas.

Mr. Glen Motz:

That's perfect.

Mr. Davies, in your view, what are the biggest cybersecurity shortcomings that you see or experience in the Canadian financial sector?

Mr. Thomas Davies:

The biggest issue they have is legacy sprawling systems, and proper hygiene over those systems is still extremely challenging. Security tooling doesn't really exist for a lot of older systems, where they have to build what we call a ring fence to protect that asset. It's still the number one issue. It sucks time.

Mr. Glen Motz:

I have a follow-up to that, because it's important to that issue.

You're right. If you're old like John and me—

The Chair:

Thanks very much.

Mr. Glen Motz:

Our bank data is old. Wouldn't financial institutions—rather than trying to build, as you called it, a ring fence or protection around that—transfer that to software, to mechanisms, that could now secure it better, as opposed to just trying to protect it in the medium that it's in?

Mr. Thomas Davies:

Yes. They would love to simplify that environment. It is challenging based on some of the old systems that are still required for the branch network and for other systems throughout their global network. It's certainly on their radar, but incredibly challenging and incredibly resource expensive.

The Chair:

Thank you.

Ms. Sahota, you have four minutes, please.

Ms. Ruby Sahota (Brampton North, Lib.):

Thank you, Mr. Chair.

On this committee, we've been hearing quite a lot about the collaboration that's needed among the government, private and academic sectors.

Mr. Finlay, you spoke about your visit to Israel and the need for us to gear up and be able to provide the type of training they do. Can you explain a little more about Cybersecure Catalyst, how it compares to some of the training that's provided in Israel, and what the similarities and differences are?

Mr. Charles Finlay:

There are a number of different things that are interesting about how the Israeli cybersecurity ecosystem trains its people. It obviously has a unique national service characteristic, with military service in Israel that is different from the Canadian context.

One of the interesting and powerful things that they do is start young—K to 12. We think that is a very powerful way to get at the root of the cybersecurity labour market issue, by making young people very interested in cybersecurity and engaging them in cybersecurity careers. Ryerson, in partnership with Royal Bank of Canada and Carnegie Mellon, one of the leading universities in the United States in cybersecurity, ran a hack-a-thon called CanHack in 2018. It's an online game where high school students engage in monitored, supervised, safe cybersecurity tasks. Our projection was doubled in terms of the number of students who engaged in that program.

We think the opportunity there is extraordinary. That's piece number one, in terms of young people. Piece number two is engaging demographic groups that are under-represented in cyber and workers who are being displaced from legacy sectors. There's an opportunity to introduce workers who are being displaced from some sectors that are losing personnel, to train them up so that they can enter the cybersecurity sector at an entry level. We think that's a very exciting proposition.

Those are two things we hope to do and those are analogous to things we have seen being done in other countries, including Israel.

(1655)

Ms. Ruby Sahota:

You spoke about meeting some Canadian companies while you were there that have either temporarily or permanently shifted over in order to receive these types of services, training, for their personnel. What companies or what types of companies are you referring to and do you envision these companies coming back and perhaps setting up near Cybersecure Catalyst?

Mr. Charles Finlay:

Yes, we do. At Beersheba there are the major Canadian financial institutions. The major Canadian banks have offices there, and they are there because the skilled people are there. We believe we can create an ecosystem where we're training people. Industry is there to acquire that talent, companies are scaling up through the accelerator program, and university-based researchers are also working with entrepreneurs and with the trainees and the industry. What we saw in Israel exists in other countries too. But what's particularly conspicuous there is they have this alignment among industry, academia and government, and we believe that pulling those pieces together at Cybersecure Catalyst will create that ecosystem.

The Chair:

Thank you.

Mr. Dreeshen, welcome to the committee. You have four minutes, please.

Mr. Earl Dreeshen (Red Deer—Mountain View, CPC):

Thank you very much, Mr. Chair.

Thank you to the witnesses.

Just a couple of things I've been thinking about as I've been listening to some of the discussions. There are a lot of institutions and businesses that have been attacked, and people have gone after their information or frozen their information. Various universities...there would be ransoms that are set up there. That's important when it comes to how businesses are going to be able to move forward, but also smaller businesses start to fear that.

I'm just wondering what types of investigations are taking place and how successful those investigations are in taking care of that particular problem. A lot of small companies worry about the way they might be attacked and being held ransom.

Mr. Thomas Davies:

Sir, I can take a first stab at it.

There's not a great job done today of disclosing the nature of breaches in the general public. The banking group does share information in order to try to protect each other from getting hit by the same issue, but outside of that, that information is pretty private and can have a material impact on your operations and the reputation of your brand, so it's largely kept internally.

In the U.S., I believe it's the FBI that has a little more detail in terms of business email compromise and other ransomware and other types of events that happen. To collate that data in Canada, to give an idea of people...the themes that we're seeing, we can talk about them here and talk about access management and system hygiene and training and awareness, but to prove it with real data would be helpful.

Mr. Ron Green:

I think also with the crypto-locking or the ransomware attacks that you're mentioning, a lot of that comes back to some basic hygiene stuff. Knowing to update or patch your systems would certainly relieve a lot of the problems. Having antivirus software would relieve your problems. Being smart about phishing.... The Verizon data breach report says that 93% of the breaches that took place were because of a phishing attack. I can tell you that we take it very seriously at Mastercard. We have a "three strikes and you're out" rule. My phishing stats for February were 0.4 fail rate, and consider that 20% is about standard.

It's helping those smaller businesses understand the basic things that you need to have and, in case it all goes wrong, backing up your stuff so if it is locked up you restore it and then you can overcome your problem.

(1700)

Mr. Earl Dreeshen:

There's a lot of money that's being made in the fear factor. I think back to Y2K and the way everybody was so concerned about what was going to happen to the computer systems and so on. A lot of people were making money solving a problem—you folks maybe know whether it was serious, but lot of others thought it was simply a hoax.

Maybe you can comment on that, but I guess my concern, too, is on protection of intellectual property, the concern that people go to all this work trying to develop...and then have other actors, whether they be people, other countries or other companies.... How are you able to determine how best to protect or how people should be trying to protect themselves?

Someone can talk about Y2K if they want.

The Chair:

If you're going to talk about it, be very brief.

Mr. Robert Gordon:

I'll skip over Y2K, then.

One of the challenges for companies is getting them to actually identify the critical information in their systems that they need to protect. If you don't know what's critical, you can't protect it all, so you start to layer it down on the things that are more important, then you can start to control who gets access to it.

One of the interesting challenges for a lot of companies, particularly when you're talking about ransomware and small companies, is that they traditionally think they haven't any big trade secrets, nothing that somebody wants to steal.

The problem with ransomware is that they don't want to take anything; they just want to deny you access to whatever you have that's of value to you. For a lot of small companies, that's quite a mind shift to get around, because once they get around that, then they can start to realize why they now have to be taking an interest in ransomware, both in terms of the defence of things—there are some things that can be done—and if it happens how they actually recover from it.

The Chair:

Thank you.

Ms. Dabrusin, you have four minutes, please.

Ms. Julie Dabrusin (Toronto—Danforth, Lib.):

Thanks.

Perhaps I can get some direction from the chair, because I'm also on for the next seven-minute block, so do I have 10 minutes, which I can share with someone?

The Chair:

My thought was that because of the efficiency of the witnesses we have, that efficiency has actually spilled over into the members. We therefore have about half an hour, so we merged this. My thought was that, after Mr. Dubé does his final three minutes, the chair might exercise a little prerogative and ask a couple of questions, but we would open it up for three-minute rounds to run out the clock.

Ms. Julie Dabrusin:

Thanks.

I was looking at the Cybersecure Catalyst website earlier, and I saw that there was something on it that said that the annual growth rate in trained cybersecurity professionals labour demand in Canada was 7%.

I was wondering where that figure comes from. Is that something that you've seen as a trend year over year? Do you anticipate in that same range?

Mr. Charles Finlay:

Yes, that comes from a report from Deloitte and the Toronto Financial Services Alliance 2018, where they estimated that the growth rate was 7% year over year.

Ms. Julie Dabrusin:

We've been talking about the need for training and having a skilled labour force for this. What is the kind of training time period you're talking about? If you have high school students who graduate and say “I'm interested in cybersecurity”, how long is it from the time those students graduate and complete all the programs to the point that they're hireable in cybersecurity?

(1705)

Mr. Charles Finlay:

It's a terrific question. There are a bunch of different pieces. We are looking at continuing education, so essentially we are working with employers to upskill their existing personnel. The time frames depend on exactly what skill set those employers need. That's a particular issue in cybersecurity because the threats and the technical frameworks are changing all the time. That's in respect of the executive education base.

In the introductory training for under-represented cohorts, we are looking at six months of programming. In our view, a six-month intensive course can take an individual with relatively little technical training to an introductory entry-level position and make them eligible for entry-level internships and secondments into industry. Then there are undergraduate courses in cybersecurity and computer science, which follow the typical undergraduate pieces. An undergraduate cybersecurity course could be three years; an honours course could be four years. Those are the different frameworks. All sorts of continuing education in cybersecurity of different lengths of time are being offered.

Ms. Julie Dabrusin:

I'm just trying to figure out so that if I'm trying to explain to kids when they're graduating from high school, they have an idea of the timelines. They have to think about it. If they're thinking about student loans and everything they're going to be putting aside to get an education, if we're telling them this is a great career, there's a huge demand, it's helpful if we can at least give them a bit of a map of what that looks like. That's what I'm hoping someone on this panel could help me with. If I'm talking to a high school student, what am I giving them on how much time it would take, what are the degrees needed to get into this industry?

Mr. Ron Green:

From my perspective as a guy who hires folks. I have members of my team who haven't gone to university or college. They had just tremendous interest, and they spent a lot of time in their high school years working on and understanding computers and developing a sense of security. They demonstrate themselves in our interviews and our tests, and we can see they will be a good person to bring onto our team. They'll be strong in the technical sense, but eventually they'll run into a roadblock because they don't have some of the background you'd want for management.

Right now it's hard to find people coming out of college with a cybersecurity degree. I look for someone with a technology degree, and I can train them on security in my security operations centres. I can give them on-the-job training. What is hard and what we look for in a lot of the roles is experience. We're looking for people who have the college degree. They may have a master's in cybersecurity, but then they have field experience, so your military folks, or people who defended large networks. They're few and far between. I've had roles that have taken two years to fill because it's hard to find the person.

The Chair:

Thank you.

Mr. Dubé, you have three minutes, please.

Mr. Matthew Dubé:

Thank you, Chair.

Mr. Green, you'll forgive me for harping on this. I'm just trying to walk through my understanding of it. When we left off, we were clarifying my question.

You talked about the local inability to identify a threat that's not necessarily going to recognize borders. I guess the concern can be flipped as well in terms of that type of information being accessible, say, to national security agencies or law enforcement. The specific example I'm thinking of is the concern that's been raised by the Privacy Commissioner here in Canada. For example, Canadians might now legally purchase marijuana with their credit cards. As it is illegal federally in the United States, if the border patrol were so inclined, that information could potentially see a Canadian being barred from entering the U.S.

If that information is there somewhere, for good or for ill, there's always going to be a risk of it being used. I'm just not clear on the accountability that exists, both in law and otherwise, for information for me as a Canadian dealing with a Canadian bank that might be stored on a server located in the U.S., or anywhere else.

(1710)

The Chair:

This is not a personal question.

Voices: Oh, oh!

Mr. Ron Green:

There are a couple of things. We don't store you; we know a 16-digit number that belongs to an issuing bank. The Canadian bank would actually understand who Matthew is; all we know is a 16-digit number. We don't have any kind of open...our data is available to—

Mr. Matthew Dubé:

Sorry to interrupt, I just want to jump in to understand. I recently moved and I changed my address. It got pushed back at me because it was not updated in the system. Whose system is that? Is that yours or the bank's, which is the card issuer?

Mr. Ron Green:

Where are you having the challenge? Is it the zip code or something like that?

Mr. Matthew Dubé:

I was trying to confirm a payment for an online purchase. I was asked for the name of the cardholder as it appears on the card, the three numbers on the back of the card and the address. Because I had changed it that same day, I ended up calling the helpline and was told I would have to wait until the system reset for the address to be up to speed. Is that the issuer?

Mr. Ron Green:

Did you call the number on the back of the card?

Mr. Matthew Dubé:

Yes, that's the issuer, right?

Mr. Ron Green:

That's the issuer. That's your bank.

Mr. Matthew Dubé:

If I'm dealing with PayPal, for example, and using a credit card, if I'm putting the number and the address, the number is going to you for validation, and then the address, the cardholder's name, etc., is going to the bank.

Mr. Ron Green:

Right, and we use that number to talk to the issuer. Is this good information for us to allow the transaction? It comes through us by the 16-digit number, we pass it to the issuer—that's your bank, which knows you—that information passes and it says, “Yes, and he has the money.” Then we pass it back to the inquiring merchant to say, “Yes, they have the money; go ahead and do the transaction.” Then we pass the amounts back through to the issuer.

The thing that passes that helps us to make a transaction work is the 16-digit number, and that's the data we use.

The Chair:

Thank you.

I have a couple of questions, and then I have Mr. de Burgh Graham and Mr. Paul-Hus, for three minutes, and anybody else. That should run the clock right down. No questions for Mr. Motz—ageism.

You know, part of this study is precipitated by virtue of the 5G controversy, and particularly the 5G controversy with respect to Huawei, Nokia and Ericsson. You three in particular are on the front lines of defence, and so my question is this. If this is coming down the track—and it is—how are you preparing for that, or are you preparing for that, and how would your preparations change what you've just said today, if in fact it would change what you just said today?

We'll start with Mr. Green and work to the right.

Mr. Ron Green:

Sure, no matter what the communication vehicle is—mobile or 5G or Wi-Fi or even plugged-in networking—when our folks are in environments where they're leveraging those things, we provide a secure pipe so that it pipes through. Be it 5G, be it mobile, we will secure the data that transits that for our employees. A lot of what powers our network is that it's a private network. We aren't on the Internet; the things that enable commerce to happen are on a very private network that we control. If I'm using a 5G network, I'm going to secure a pipe so my people can communicate securely. The network that we ride, where we do all our work, is our own private network.

The Chair:

Really, is the entire Mastercard processing around the world a private network?

Mr. Ron Green:

It is a private network that we enable out to the edges. That's some of the reason it's difficult to do the things we do, because it's taken us time to build this private network that we have.

The Chair:

Mr. Davies.

Mr. Thomas Davies:

Sure, we try to focus on protecting data from end unit to end unit. While it's in transit, no one else should be able to read it. That is the goal, depending on whether people have the technology to be able to intercept and change and whatnot.... That is advanced technology. It is possible, but by taking the basis that only one entity can read and send, and then once it enters its exit phase, it is then decoded and read again, it's exactly what Mr. Green just said. It can be done by private network or it can be done by public network, but that is the focus.

(1715)

The Chair:

Your clients would not have a private network, would they?

Mr. Thomas Davies:

It depends on what kinds of systems they are using. For example, there are private networks between the banks for SWIFT messaging, wire transfers and such, and then there are public networks for dealing with their customer bases.

It depends on what criticality of asset they are resolving. For example, in a lot of cases they will have dedicated private networks for their third party service providers as well.

The Chair:

We had one security person describe it as secure here, secure here and a cardboard box in between.

Wouldn't a number of your clients have exactly that issue whether the cardboard box is here, or there, or in between it's still unsecure?

Mr. Thomas Davies:

To reduce that is the goal. It's like coding a message when we used to send messages back and forth during the war in indigenous languages so they couldn't be read midstream. We do the same thing today. As a message is being sent through the wire, you try to keep it as decoded as possible, but once it gets to its destination, someone has a token or a key to unlock the information and understand what's there.

The Chair:

Mr. Gordon, do you want to add anything?

Mr. Robert Gordon:

From the very narrow perspective of the CCTX, it's not going to matter because that responsibility will reside with each one of our members having to deal with it. Depending on the type of member we have, they will be dealing with it from the financial institutions or they will be relying on the public network.

The Chair:

What do you mean it doesn't matter?

Mr. Robert Gordon:

I'm not monitoring their networks so I don't see what all of my members are seeing. What I get is the result of what they are looking at on their network, and when they see anomalies coming in, that's what I actually see. I'm not sitting and watching what's going on inside their network.

The Chair:

Thank you.

With that, Mr. Graham, for three minutes, please.

Mr. David de Burgh Graham:

Mr. Green, just to put Mr. Dubé's questions to bed, PayPal is in the U.S. I think the point of the question is your private networks might be private networks all you want. If they go through the U.S., they are still subject to the USA PATRIOT Act. I think that's the concern at the core.

How do you address that?

Mr. Ron Green:

I still don't know who you are in my network.

Mr. David de Burgh Graham:

You said you have a 16-digit number. It's not hard to de-index a 16-digit number. If somebody gets their hands on that number to get to know who you are, if they figured out how to get into your system to get that number, they are going to figure out who you are. So I don't buy that argument necessarily. Do you see my point?

Mr. Ron Green:

You're saying if they have some other way to reverse-engineer the 16-digit number...because it would have to be by legal process. I'm not just open to the U.S. government to come in when they choose to, and look at stuff, and I don't share that way.

Mr. David de Burgh Graham:

But it's in that cardboard box that John likes to talk about through which your VPN runs. I'm assuming it's a virtual network. You talked about your private network. You're not running your own fibre line across the world so those are virtual networks, right?

Mr. Ron Green:

Right.

Mr. David de Burgh Graham:

But you're still running over a public access wire.

Mr. Ron Green:

I encrypt, though. I don't just run open.... I have the second biggest HSM footprint next to the Department of Defence so I have a lot of cryptology that happens across my network.

Yes, there's still a private network that may go through a third party, but it's still encrypted for me to all of my end points, and the transactions that cross it are encrypted.

Encryption's not trivial. As to whether a nation-state has some way of breaking through the encryption that I'm not aware of could intercept what it is we're doing, that's possible, but not to my knowledge.

Mr. David de Burgh Graham:

Mr. Gordon, when I got my first root password about 22 years ago, we followed a thing called rootprompt.org. You might remember it. It was a website that did effectively what you're doing now with CCTX, monitoring all the current vulnerabilities and posting them so we as system admins could stay on top of them. Then one day rootprompt.org got rooted, and there was no more rootprompt.org.

What organizations do you not want in CCTX? What are the vulnerabilities you have? How do you address that?

(1720)

Mr. Robert Gordon:

What organizations do I not want?

Mr. David de Burgh Graham:

Yes, because you said you want lots of organizations to join. What organizations do you not want?

Mr. Robert Gordon:

I want organizations that do two things. I want organizations that are interested in collaborating, so sharing what's going on, and also honouring the agreement we have, and what they are going to use the information for. I want organizations that are going to use the information to defend their networks.

Somebody who is going to use the information for a purpose other than that—I prefer they go and join something else.

The Chair:

Thank you.[Translation]

Mr. Paul-Hus, you have three minutes.

Mr. Pierre Paul-Hus:

Thank you, Mr. Chair.

Mr. Green, since Mastercard is an international organization, your network is linked to a number of banks in different countries. Are Canadian banks well equipped, compared to European or American banks? You work directly with the banks because you use them for your transactions. Are Canadian banks well organized, compared to banks in other countries? [English]

Mr. Ron Green:

I think the Canadian banks are actually in relatively good stead compared to U.S. or European banks. I have seen banks in other places that I'm not so.... [Translation]

Mr. Pierre Paul-Hus:

Our study concerns the Canadian banking system and the insurance company system. Your company works directly with banks around the world. According to you, Canadian banks are among the well-protected banks in terms of cybersecurity. Is that what you're saying? [English]

Mr. Ron Green:

I think they're well protected. There are a number of banks that we converse a lot with. We see it as an opportunity to make sure that we're all working together. I think about wildebeests. When we're together, we're less of a target. If we're alone, we're more of a target. I've had a number of Canadian banks come out—even Canadian Tire—and look at our fusion centre, work with us and build up a collaboration channel. [Translation]

Mr. Pierre Paul-Hus:

I have one last quick question.

Mr. Green, does Mastercard have cyber defence strategies to protect itself against attacks from the dark web?

Mr. Finlay, are these topics regularly studied in the university sector? [English]

Mr. Ron Green:

We have an intelligence team that looks for threats in the dark web. We pay providers to look at different things within the dark web. We have different government partners that are also looking at things within the dark web to find out how they're attacking and what's different so that we can prevent that. We also share that information with our customers. [Translation]

Mr. Pierre Paul-Hus:

Thank you. [English]

The Chair:

Madam Sahota.

Ms. Ruby Sahota:

All of this has been very fascinating today but being an MP from Brampton I have a particular interest in Cybersecure Catalyst, which is already partially set up and will be in full swing, thanks to Ryerson. I am happy to see that in budget 2019 there is a commitment made to Cybersecure Catalyst.

I want to know, more particularly, what types of certifications you'll be providing through the training. Are these certifications internationally recognized? Are they comparable to other training programs available anywhere around the world? Also, how many people do you anticipate will reskill or skill up, and how many introductory courses do you plan on being able to complete once you're in full swing?

Mr. Charles Finlay:

With respect to certifications, it's our goal to deliver a suite of internationally recognized certifications from established third party cybersecurity training organizations. These are well known in the marketplace. These are entities like SANS, EC-Council and Palo Alto. There are lots of different providers that offer these and we are engaged in developing partnerships quite intensively with SANS and EC-Council to deliver these courses.

This really goes to the posture of Cybersecure Catalyst, which is industry-focused. We are very much interested in supporting the Canadian cybersecurity industry through the partnerships that we've discussed with academia and, obviously, through collaboration with the government. The cybersecurity sector in Canada promises to be one of the best in the world, and it can be one of the best in the world. We're going to work extremely hard to support that. We are aiming for those kinds of industry-focused certifications.

In terms of numbers, we have a five-year model out with respect to the introductory courses, that is, bringing demographic groups that are under-represented in cyber into the sector. We're looking at approximately 500. In terms of the work that we're going to be doing with our private sector partners, that will be in the thousands. In terms of engagement with young people, that will be, we hope, in the tens of thousands. Cybersecurity is a big problem and the numbers that we need to reach in order to have a material impact on this issue are large.

That's the ambition for this centre.

(1725)

Ms. Ruby Sahota:

Thank you.

The Chair:

Colleagues, I have four minutes, and then we do have to vacate because there's a subcommittee meeting here.

Being the nice guy that I am to Mr. Motz, in spite of his ageism cracks, the time is split between Mr. Picard and Mr. Motz.

You have two minutes each.

Mr. Picard.

Mr. Michel Picard:

I have just one question.

Mr. Davies and Mr. Green, what is your understanding of open banking and what is your position from a securities standpoint?

Mr. Ron Green:

Open banking will provide a lot of great new opportunities but we have to approach it in a way that security is enabled with the new technology that comes from; the new providers that we'll see. I think the government can help with making sure they're holding to a good standard as they deploy their capabilities.

The Chair:

Mr. Motz, you have the final question.

Mr. Glen Motz:

I'm going to continue with that.

Michel, thank you, that was a great question.

I wanted Mr. Davies to answer.

The Chair:

Oh, sorry. Did I cut somebody off? I apologize.

Mr. Thomas Davies:

No, it's all right.

I know the Department of Finance is working on a special paper right now on open banking both from a deployment regulation and a security standpoint. As Mr. Green said, to embed security from the outset will be important. The U.K. has already done quite a bit of open banking so it would behoove us to look at what they've done today and the lessons learned.

The Chair:

On behalf of the committee I want to thank each of you for an excellent presentation. It was very informative.

What that, the meeting is adjourned.

Comité permanent de la sécurité publique et nationale

(1600)

[Traduction]

Le président (L'hon. John McKay (Scarborough—Guildwood, Lib.)):

Mesdames et messieurs, nous avons le quorum, et nous avons perdu une demi-heure.

Je vais tout simplement demander à tous les témoins de venir directement à la table.

Ce que je propose à mes collègues, c'est de combiner nos groupes de témoins. J'ai parlé à tous les témoins et je leur ai demandé d'être prêts à présenter leurs exposés en moins de 10 minutes. Mon idée est de donner sept minutes à chaque témoin pour faire son exposé.

La première série de questions va durer six minutes, et la suivante, quatre minutes. Nous allons continuer aussi longtemps que nous le pouvons.

Je crois qu'il va y avoir un autre vote. Nous n'en sommes pas sûrs.

M. David de Burgh Graham (Laurentides—Labelle, Lib.):

Est-ce que cela ne va pas durer toute la nuit?

Le président:

Avez-vous apporté votre lit pliant?

Un député: Ha, ha!

Le président: D'accord. Sur ce, je vais vous demander le silence.

Je vais simplement demander aux témoins de présenter leurs exposés dans le même ordre que ce qui se trouve à l'ordre du jour: pour commencer, nous aurons M. Green, de Mastercard, puis M. Davies, de EY, M. Finlay, de Cybersecure Catalyst, et M. Gordon, d'Échange canadien de menaces cybernétiques.

Monsieur Green, vous avez sept minutes.

M. Ron Green (vice-président exécutif et chef de la sécurité, Mastercard Canada):

Bonjour, et merci de m'avoir invité aujourd'hui.

Je tiens tout d'abord à féliciter le Comité d’avoir lancé cette étude. La cybersécurité représente l'un des plus grands défis que doivent relever les gouvernements et les entreprises, et les incidences sur la sécurité nationale, la stabilité financière et la protection des consommateurs peuvent être graves.

J'applaudis aussi le gouvernement du Canada qui a déployé la Stratégie nationale de cybersécurité et mis en place le Centre canadien pour la cybersécurité. J'ai eu la chance aujourd’hui de rencontrer les dirigeants du Centre, et je peux vous assurer que Mastercard sera heureuse de les épauler de toutes les manières possibles.

Pour Mastercard, la cybersécurité est une priorité mondiale. La sécurité et la protection sont des principes fondamentaux qui régissent toutes les facettes de nos activités, ainsi que les plateformes technologiques et les services de technologie novateurs que nous mettons en service. Nous savons que nos clients, les titulaires de cartes, les commerçants et d'autres partenaires comptent sur nous pour leur fournir des produits et des services sécurisés. Permettez-moi de mettre ceci en contexte.

Comme vous le savez probablement, Mastercard n'émet aucune carte de crédit ni n'a de contact direct avec les consommateurs. Les banques qui émettent nos cartes ont cette responsabilité.

Mastercard est une société technologique. Nous mettons à la disposition des consommateurs un réseau qui leur permet d'utiliser leur carte Mastercard presque partout dans le monde, dans plus de 210 pays et territoires, et de voir une transaction se réaliser en quelques secondes, ce qui permet des liens entre 2,5 milliards de titulaires de carte et des dizaines de millions de commerçants.

Pour que nous puissions apporter de la valeur aux banques, aux commerçants et aux consommateurs qui utilisent notre réseau, nous devons leur assurer sécurité et protection. Notre réseau ne doit donc souffrir d'aucune interruption.

Nous investissons aussi dans l'innovation: nous augmentons nos forces internes, nous acquérons des entreprises technologiques de pointe et nous continuons de collaborer avec les jeunes entreprises choisies dans le cadre de notre programme Start Path, dont cinq sont au Canada, et de les mettre en contact avec nos partenaires émetteurs pour que leurs affaires se développent. Le mois dernier, Mastercard a conclu une entente visant l'acquisition d'Ethoca, une société torontoise qui facilite la collaboration entre banques et commerçants pour combattre l'escroquerie en ligne.

C’est ce que nous faisons à un très haut niveau. Permettez-moi maintenant de vous faire part de nos conseils à l’intention du gouvernement. Ils sont regroupés en six volets.

Premièrement, dans un monde numérique de réseaux et d'interconnexions, nos solutions en matière de cybersécurité doivent convenir aux petites et moyennes entreprises. Les cybercriminels cherchent les points faibles d'un système avant de lancer une attaque. Nous devons donc fournir aux petites entreprises une structure qui protégera leurs opérations. Mastercard joue un rôle-clé dans la défense des PME, notamment par la mise en place du Cyber Readiness Institute, ou CRI, qui met l'accent sur l'application pratique d'outils à l'intention des PME. Le CRI facilite également la formation des employés à l'utilisation de ces outils de gestion des cyberrisques.

Pareillement, en février dernier, Mastercard et la Global Cyber Alliance ont lancé une solution de cyberdéfense conçue spécifiquement pour les PME. Ce produit gratuit propose en ligne, à l'échelle mondiale, du contenu informatif et des procédés servant à contrer les cyberattaques de plus en plus nombreuses. Cette trousse pratique comporte des outils opérationnels, des guides pratiques et des pratiques exemplaires reconnues, et elle sera régulièrement mise à jour.

Deuxièmement, les sociétés internationales sont souvent aux prises avec un nombre croissant de règlements en matière de cybersécurité qui se chevauchent dans différents pays. Ces règles doivent être harmonisées au moyen de paramètres communs. Nous savons que des progrès ont été réalisés dans le cadre des négociations pour le renouvellement de l'ALENA en ce qui concerne la conception d'une structure commune favorisant la gestion des cyberrisques, ce qui est encourageant.

Troisièmement, les processus de gestion et de vérification de l'identité doivent être améliorés, car de plus en plus d'objets sont connectés. Nous avons besoin d'un écosystème d'identité solide pour faciliter et sécuriser davantage les interactions et les transactions numériques et préserver la confidentialité des titulaires de carte.

Quatrièmement, avec l'Internet des objets, 30 milliards d'objets seront bientôt connectés. Ceci représente de gigantesques possibilités pour l'économie numérique, mais aussi de plus grands cyberrisques. Les gouvernements et le secteur privé devraient par conséquent établir des normes afin d'améliorer l'interopérabilité, la détection et la prévention des cybermenaces tout en éliminant toute friction de l'expérience utilisateur.

Cinquièmement, face à des cybermenaces croissantes, les gouvernements et le secteur privé manqueront d'employés détenant des compétences en cybersécurité. Il faut dès maintenant, partout dans le monde, entreprendre de former la prochaine génération de cyberexperts, et le gouvernement devrait contribuer à cet effort. Si vous avez des enfants ou des petits-enfants et que vous les rendez accros à la cybersécurité, ils pourront toujours très bien gagner leur vie parce que le nombre actuel de spécialistes de la cybersécurité ne suffit pas à répondre aux besoins qui sont bien réels.

Enfin, il faut que toutes les parties prenantes collaborent, se communiquent l’information et s'unissent pour lutter contre le cybercrime. Le président Obama avait commandé la mise en place d'un groupe de travail sur la cybersécurité auquel notre président et chef de la direction a siégé. Ce groupe a formulé des recommandations, et la création du CRI, que j'ai mentionné plus tôt, résulte directement de l'accent qu'il a mis sur la sécurité et les PME.

J'estime que cette question est si cruciale pour l'avenir de notre économie et de notre société qu'elle mérite l'attention d'intervenants aux plus hauts échelons. Mastercard est prête à mettre son expertise au service du gouvernement du Canada dans la même mesure.

Je pourrais parler pendant des heures de ce sujet, mais je vais m'arrêter ici. Je serai ravi de répondre à vos questions sur les aspects qui suscitent le plus votre intérêt. J'ai essayé de vous donner une bonne idée de ce que nous faisons et de ce que les gouvernements devraient accomplir d’après nous.

Je remercie encore une fois le Comité de m'avoir invité et je suis impatient de répondre à vos questions.

(1605)

Le président:

Je vous remercie, monsieur Green, et merci également d'avoir respecté le temps que vous aviez.

Nous écoutons maintenant M. Davies, pour sept minutes.

M. Thomas Davies (chef de fil mondial des services financiers et des affaires numériques, EY):

Merci de nous avoir invités à venir vous donner de l'information et à répondre à vos questions sur la cybersécurité dans le secteur financier.

Je suis Thomas Davies, et je suis le dirigeant national de la cybersécurité des services financiers pour EY au Canada. Je suis également un conseiller spécial en matière de crimes financiers pour l'entreprise à l'échelle mondiale, et à ce titre, mon attention se porte particulièrement sur les menaces internes et externes. Avant de me joindre à EY, j'ai travaillé pendant huit ans comme directeur à la Banque Scotia, et mon rôle était d'assurer les trois lignes de défense.

Les cyberattaques sont en hausse, et le secteur des services financiers est considéré comme une cible de grande valeur à l'échelle mondiale. Le nombre de particuliers, d'organisations et d'États-nations qui ont accès à des outils de pointe a connu une croissance exponentielle, avec les offres de services que les organisations criminelles ont conçus et optimisés. Les attaques lancées contre les services financiers ne se limitent pas aux cyberatteintes. Ces attaques peuvent rapidement évoluer vers des activités de fraude et de blanchiment d'argent, ce qui exerce une pression sur les talents et les ressources financières de n'importe quelle organisation. Ces préoccupations sont exacerbées par la pénurie de professionnels qualifiés dans l'ensemble des domaines relatifs aux crimes financiers. L'accès non autorisé à des systèmes de paiement, à des réseaux de transactions ou à des données de clients pourrait avoir des répercussions importantes sur l'économie.

Pensez un instant aux conséquences de ne pas être en mesure d'utiliser votre carte de débit ou votre carte de crédit pendant une journée ou même une semaine. Imaginez plus d'un million de Canadiens qui essaient de retirer de l'argent pour payer l'épicerie, l'essence ou les médicaments. De nombreux organismes de réglementation dans le monde estiment que la capacité de résilience des services financiers en cas de cyberincident est au sommet des priorités pour garantir la santé économique, comme en font foi les nouvelles exigences de sécurité adoptées à Hong Kong, au Royaume-Uni et à New York.

Les Canadiens veulent obtenir un meilleur accès aux services financiers au moyen de plateformes numériques comme le système bancaire ouvert. Nous devons donc envisager d'incorporer des principes de sécurité et de protection de la vie privée à l'étape de la conception d'une solution. Ce faisant, nous contribuerons à inspirer confiance aux clients, à encourager l'adoption de ces méthodes et à réduire de façon proactive le risque de devoir apporter des correctifs coûteux ultérieurement. La mise en place de mesures préventives comme la formation et la sensibilisation, la gestion de l'accès, l'hygiène informatique, la gestion du risque lié à des tiers et la gouvernance d'entreprise aura pour effet de réduire la surface d'attaque de ces plateformes de même que la maintenance nécessaire à leur soutien.

Le Canada a la possibilité de devenir un chef de file mondial en matière de sécurité et de protection de la vie privée, tout en demeurant un grand innovateur dans les technologies financières. En poursuivant les efforts de communication des renseignements et de développement des talents par l'éducation des jeunes et l'éducation continue, et en sensibilisant davantage le public aux cybermenaces menant aux crimes financiers, nous pouvons nous préparer à faire face à cette menace croissante.

Merci.

Le président:

Je vous remercie, monsieur Davies.

Je tiens à faire remarquer à mes collègues la façon dont les exposés sont présentés dans les délais.

Monsieur Finlay, de Cybersecure Catalyst, nous vous écoutons.

M. Charles Finlay (directeur exécutif, Cybersecure Catalyst):

Monsieur le président, mesdames et messieurs les membres du Comité, je vous remercie beaucoup de me donner l'occasion de parler avec vous aujourd'hui.

Cybersecure Catalyst est un nouveau centre d'activités de cybersécurité qui a été créé l'année passée par l'Université Ryerson. Il est installé en permanence à Brampton et c'est là qu'il ouvrira à la fin de l'année. Le centre va collaborer étroitement avec les gouvernements et les organismes gouvernementaux de tous les niveaux, avec les partenaires du secteur privé et avec d'autres établissements universitaires de partout au Canada afin de stimuler la croissance et l'innovation dans l'écosystème de cybersécurité du Canada.

Nous allons offrir des programmes reposant sur quatre piliers. Nous allons offrir de la formation en cybersécurité à l'intention des actuels professionnels de la cybersécurité, ainsi que de la formation de base en cybersécurité à l'intention de ceux qui sont nouveaux dans le domaine. Nous allons soutenir l'augmentation de la capacité des entreprises canadiennes de cybersécurité grâce à un programme unique d'accélérateur commercial. Nous allons soutenir les partenariats de recherche appliquée et de développement en cybersécurité entre des établissements universitaires et des partenaires du secteur privé. Enfin, nous allons offrir des activités d'éducation du public en matière de cybersécurité en mettant l'accent sur les particuliers et les petites entreprises.

Au moment de concevoir le mandat de Cybersecure Catalyst, l'Université Ryerson a entrepris un long processus de consultation auprès de l'industrie et du gouvernement, entre autres, auprès de plusieurs institutions financières. Je pense que les résultats de ce processus de consultation sont importants pour notre discussion sur la cybersécurité dans le secteur financier comme enjeu de sécurité économique nationale. Quand nous avons demandé aux grandes institutions financières et à d'autres organismes du secteur privé de nous préciser ce qu'un centre universitaire de cybersécurité pouvait faire de plus utile pour eux, ils n'ont pas parlé d'un outil technologique particulier ou de progrès précis dans les sciences. Ils ont répondu massivement qu'il leur fallait plus de gens. D'autres personnes venues témoigner devant le Comité aujourd'hui vous ont dit la même chose. En particulier, des institutions financières ont indiqué qu'il fallait mettre à niveau les compétences de leur personnel existant pour répondre aux menaces émergentes, et qu'il fallait que plus de gens fassent leur entrée dans le secteur pour qu'ils puissent doter les postes de premier échelon au sein de leurs organisations. Toutes les grandes institutions financières au Canada ont de nombreux postes à doter dans le domaine de la cybersécurité.

Les données empiriques confirment ce que notre processus de consultation a révélé. Comme vous l'avez déjà entendu de la part d'autres témoins, en juillet 2018, Deloitte et la Toronto Financial Services Alliance ont publié un rapport qui estimait que la demande en personnel de cybersécurité au Canada augmente de 7 % par année et qu'il faudrait doter 8 000 postes en cybersécurité d'ici 2021.

Il est important de souligner que cette pénurie n'est pas qu'un problème de sécurité; c'est un problème de développement économique. Le manque de personnel de cybersécurité qualifié crée des problèmes de dotation pour les activités régulières de ces institutions financières, mais cela a également des répercussions sur la capacité des institutions de créer de nouveaux produits et services sûrs pour les marchés national et international. Ce qui est crucial, c'est que le manque de personnel qualifié a de graves répercussions sur la capacité de croissance des petites et moyennes entreprises canadiennes de cybersécurité.

Il y a une façon intéressante de voir le problème du manque de travailleurs en cybersécurité au Canada, et c'est de se rendre en Israël. Ce pays est généralement reconnu pour posséder le plus solide écosystème technologique en matière de cybersécurité dans le monde. Le gouvernement israélien a récemment créé un grand centre d'activités de cybersécurité dans une petite ville du désert du Néguev appelée Beersheba, à environ une heure en voiture de Tel-Aviv. En janvier, je suis allé à Beersheba non pas pour rencontrer des représentants de sociétés israéliennes, mais des représentants d'institutions financières canadiennes qui ont établi des bureaux là-bas parce qu'il leur est beaucoup plus facile de trouver des talents en cybersécurité en Israël qu'au Canada.

C'est là la mauvaise nouvelle. La bonne nouvelle, c'est que ce problème est bien compris et que des efforts sont déployés pour le résoudre. Les montants que le gouvernement fédéral a consacrés dans son budget de 2018 à la cybersécurité étaient considérables, surtout en ce qui concerne le Centre canadien pour la cybersécurité. Le centre agit déjà comme un partenaire et une voix d'importance pour le secteur de la cybersécurité au Canada. Dans le budget de 2019, qui a été rendu public récemment, le présent gouvernement a fait de la cybersécurité une priorité en allouant 80 millions de dollars aux institutions postsecondaires afin qu'elles accroissent le bassin de talents en cybersécurité au Canada, entre autres mesures.

Bien sûr, il y a toujours plus à faire. À notre avis, les programmes de formation devraient se concentrer sur deux cohortes clés: les jeunes de la maternelle à la 12e année, et les groupes démographiques qui sont gravement sous-représentés dans le secteur de la cybersécurité. Les jeunes n'ont pas nécessairement tendance à voir la cybersécurité comme un domaine d'études intéressant ou excitant ou comme une option d'emploi futur, mais cela peut changer avec la bonne stratégie de mobilisation.

(1610)



Nous n'arriverons pas à résoudre le problème de la pénurie de personnel de cybersécurité des institutions financières ou de n'importe quel autre type d'institutions si nous n'ouvrons pas le secteur de la cybersécurité de manière à avoir plus de femmes, de membres de groupes racialisés, de nouveaux Canadiens, d'Autochtones, de vétérans et de personnes qui ont perdu leur emploi dans des secteurs existants. Il faut déployer des efforts afin d'offrir aux personnes de ces groupes des occasions de formation et de placement dans l'industrie, et c'est là-dessus que nous allons nous concentrer à Cybersecure Catalyst.

Enfin, à mesure que notre économie poursuit sa transformation, nous voyons des possibilités excitantes de réorienter des talents de secteurs d'où les travailleurs ont été déplacés vers le secteur de la cybersécurité, où le besoin de personnel qualifié est en croissance.

Je vous remercie beaucoup.

Je serai ravi de répondre à vos questions.

Le président:

Merci, monsieur Finlay.

Monsieur Gordon, vous avez sept minutes.

M. Robert Gordon (directeur exécutif, Échange canadien de menaces cybernétiques):

Merci, monsieur le président.

Je remercie le Comité de me donner l'occasion aujourd'hui de parler de la cybersécurité dans le secteur financier.

Je suis directeur exécutif de l'Échange canadien de menaces cybernétiques, l'ECMC. Je vais mettre en lumière le travail de l'ECMC parce que je crois qu'il a une incidence directe sur l'orientation actuelle des enquêtes de ce comité.

L'ECMC est un organisme à but non lucratif établi par le secteur privé et ayant deux vastes mandats. Premièrement, nous effectuons un échange de renseignements sur les menaces cybernétiques pour informer nos membres. Deuxièmement, nous offrons un centre de collaboration pour mettre en commun les pratiques exemplaires des professionnels de la cybersécurité. Notre organisme est relativement nouveau, puisqu'il a atteint la capacité opérationnelle de base il y a seulement deux ans. Je vais faire quelques autres observations sur nos services dans une minute.

Les principes fondateurs de l'ECMC le rendent unique. Premièrement, notre objectif est d'attirer des membres venant de tous les secteurs de l'économie, pas seulement des infrastructures essentielles. À l'heure actuelle, nous avons notamment des membres de cabinets comptables, du secteur de la santé, d'entreprises de construction, d'entreprises de divertissements, d'administrations aéroportuaires et d'entreprises de haute technologie.

Deuxièmement, les grandes entreprises qui ont fondé l'ECMC ont clairement indiqué que l'ECMC ne pouvait pas servir uniquement les grandes organisations. Nous devons attirer des PME. Dans tous les secteurs de l'économie, des organisations de toutes tailles subissent des cyberattaques. Nous sommes passés des neuf premiers membres fondateurs à un peu moins de 60 membres aujourd'hui, et d'autres demandes d'adhésion sont traitées toutes les semaines.

En janvier dernier, nous avons changé la composition et les barèmes tarifaires de notre organisme de manière à rendre l'adhésion plus attrayante pour les PME. Ces changements ont été bien reçus. Les petites organisations représentent maintenant 28 % de notre effectif, et nous déployons des efforts pour que ce nombre augmente considérablement. À mesure que nous augmentions le nombre de petites organisations, nous avons mis au point des rapports et des services adaptés aux besoins des propriétaires de petites entreprises.

Je vais souligner brièvement deux secteurs de prestation de services.

Nous exploitons un centre de mise en commun de renseignements sur les cybermenaces. L'information sur les menaces est fournie par les organisations qui participent. L'information qui est obtenue ainsi ne contient pas de renseignements personnels, et la source est anonyme.

L'ECMC reçoit aussi de l'information sur les cybermenaces de la part du nouveau centre de cybersécurité. Nous sommes heureux d'être la première organisation à avoir signé un accord de collaboration avec le nouveau centre. C'est un partenariat important pour l'ECMC et le gouvernement. Nous pensons que nous allons tirer parti de la pleine capacité du gouvernement en matière de cybersécurité, et le gouvernement profitera de l'élargissement de la portée de ses efforts auprès de petits segments de l'économie qu'il ne dessert plus, notamment à l'extérieur de l'infrastructure essentielle de base.

L'ECMC offre aussi à ses membres l'occasion de fournir au gouvernement de l'information liée aux menaces, tout en conservant leur anonymat. À mesure que nous prenons de l'expansion, nous allons permettre au gouvernement de mieux comprendre comment les cybermenaces ont des répercussions sur l'économie canadienne dans son ensemble.

Des témoins ont déjà mentionné à votre comité l'importance du développement de l'effectif dans le domaine de la cybersécurité pour défendre l'économie canadienne. L'ECMC joue un rôle en aidant le secteur privé à perfectionner et à tenir à jour les compétences nécessaires. Notre capacité à collaborer entre secteurs procure diverses façons de rassembler les professionnels de la cybersécurité pour mettre en commun leurs pratiques exemplaires et leurs idées. Les praticiens se réunissent pour discuter de nouveaux sujets, comme les nouvelles techniques utilisées par les pirates, les nouvelles technologies et stratégies de défense ainsi que les changements au paysage juridique que les entreprises devraient connaître. Nous offrons cette capacité au moyen de webinaires mensuels et d'activités de collaboration de vive voix. Le temps que les employés consacrent à ces activités contribue à leur maintien en poste et à leurs certifications professionnelles.

Les institutions financières comprennent l'importance de la collaboration, ce qui explique pourquoi les grandes banques du Canada font partie de l'ECMC. Les banques reconnaissent que la collaboration leur permet d'améliorer leurs moyens de défense et de rendre plus coûteuses les démarches des pirates. Nous offrons un forum unique d'échanges intersectoriels. À titre d'exemple de la relation bénéfique et unique de l'ECMC, du travail se fait au moyen de notre portail entre les institutions financières et les entreprises de télécommunications pour contrer des cybermenaces très précises.

Les banques ont mis au point une impressionnante capacité à défendre leurs réseaux contre les cyberattaques, et elles lancent maintenant une nouvelle initiative par l'entremise de l'ECMC. Elles aimeraient faire part de leur expertise aux PME et travailler avec nous pour renforcer la maturité des PME dans tous les secteurs de la chaîne d'approvisionnement, pas que ceux liés aux services financiers. Chaque banque a cerné un domaine de compétence et préparé des exposés qui portent sur les besoins des PME. Nous nous penchons actuellement sur le mécanisme de mise en oeuvre de cette importante initiative.

(1615)



La collaboration commence par l'établissement d'une relation de confiance. L'ECMC offre un environnement propice à la confiance. Nous créons une communauté où les membres n'ont pas à mener leurs activités en vase clos. Lorsqu'une crise se produit, ils peuvent se tourner vers cette communauté pour obtenir de l'aide. La création de cette organisation qui permet de signaler les menaces et de mettre en commun les pratiques exemplaires d'entreprises de toutes tailles dans l'ensemble des secteurs est un des principaux piliers pour atteindre le niveau de sécurité souhaité dans le but de protéger la prospérité économique du Canada. La collaboration signifie qu'on n'a pas à tout faire seul, car nul d'entre nous n'est aussi futé que nous tous réunis.

Je suis impatient de répondre à vos questions.

Le président:

Merci, monsieur Gordon.

Sur ce, monsieur Spengemann, vous avez la parole pendant six minutes, s'il vous plaît.

M. Sven Spengemann (Mississauga—Lakeshore, Lib.):

Monsieur le président, merci beaucoup. Je vais partager mon temps avec mon collègue, M. de Burgh Graham.

Ma question est pour M. Green.

Merci d'être ici pour nous faire part de votre expertise. Je vous remercie aussi de votre service antérieur en tant qu'officier dans l'armée américaine. Je siège aussi au Comité permanent de la défense nationale, et du point de vue de nos forces armées, je veux juste vous dire à quel point nous chérissons notre amitié et notre alliance avec les États-Unis.

(1620)

M. Ron Green:

Merci.

M. Sven Spengemann:

Vous avez eu l'occasion de visiter le Centre canadien pour la cybersécurité. Je m'intéresse aux PME. Selon vous qui comptez des clients parmi les PME, dans quelle mesure la cybersécurité est-elle un obstacle structurel pour les entreprises en démarrage au Canada? Que peut faire de plus ou mieux faire le gouvernement du Canada afin de faciliter l'accès aux points d'entrée du marché pour ces entreprises axées sur les données qui dépendent de la cybersécurité?

M. Ron Green:

J'ai visité de nombreuses petites entreprises en démarrage, et je peux vous dire que pour beaucoup d'entre elles, la sécurité n'est peut-être pas la principale préoccupation. Il faut que cela fasse partie de tout ce que nous faisons, non seulement dans les petites entreprises, mais aussi en tant que personnes.

Quand vous sortez de votre maison tous les jours, vous verrouillez la porte. Vous avez besoin d'un certain niveau quotidien d'hygiène cybersécuritaire. Pour les entreprises, surtout celles qui ont des données à leur disposition, il faut que cela fasse partie de ce qu'elles font maintenant. Nous sommes arrivés au point où nous devons les aider à cet égard, grâce à la mise en commun des pratiques exemplaires et à un accès aux experts. C'est une des raisons pour lesquelles nous dialoguons avec la Global Cyber Alliance. Nous faisons partie de nombreux groupes qui fournissent des pratiques exemplaires et des façons de faire. Il faut effectivement offrir des outils aux petites entreprises pour les aider à faire quelque chose, plutôt que se contenter de leur dire à quelles mesures elles devraient réfléchir. Donnez-leur les outils et l'accès à l'expertise.

Au centre de cybersécurité, on se penche sans aucun doute sur des façons d'informer les petites entreprises. Elles n'auront jamais d'organismes de renseignement comme moi, mais on peut certainement décortiquer suffisamment l'information pour les aider dans leurs démarches visant à accroître la sécurité.

M. Sven Spengemann:

C'est très utile.

Je vais céder la parole à mon collègue.

M. David de Burgh Graham:

Merci.

Monsieur Davies, monsieur Green, je ne sais pas lequel d'entre vous peut répondre. De quelle façon assume-t-on la responsabilité dans les institutions financières qui subissent des pertes liées à la cybersécurité?

M. Ron Green:

Lors d'incidents ou d'atteintes à la cybersécurité, la victime peut être victimisée à deux reprises. Il y a les acteurs malveillants qui volent l'argent, et ensuite des causes au civil et au criminel. Parfois, selon l'entreprise, la victime est taxée davantage, ou dépense plus d'argent.

En ce qui nous concerne, nous travaillons avec un organe composé de nos avocats, les avocats de l'entreprise acquéreuse et les commerçants qui contribuent à l'émission. Les organisations touchées établissent une indemnisation raisonnable. C'est ainsi pour les atteintes liées aux cartes de paiement. Cela peut être différent lorsqu'il est question d'autres atteintes.

M. David de Burgh Graham:

Les institutions financières ont-elles une assurance pour ce qui est de la cybersécurité? Y a-t-il une police distincte à cette fin?

M. Ron Green:

Il y a une assurance pour la cybersécurité. Je suppose que cela dépend du pays où on se trouve et des polices qui sont offertes. Je procède à un examen annuel rigoureux avec nos assureurs pour être certain de maintenir un bon niveau de sécurité pour l'organisation, afin de tirer parti des possibilités que nous offre l'assureur.

M. David de Burgh Graham:

La question est d'ordre plus général. Quand vous engagez des professionnels de la cybersécurité, à quel niveau de vérification procédez-vous? Ce n'est pas une entrevue d'emploi normale, n'est-ce pas? Procédez-vous à une vérification pour être certains de ne pas accroître la vulnérabilité plutôt que de la réduire?

M. Thomas Davies:

Je peux répondre à celle-ci.

Nous faisons une évaluation technique de la plupart... dans notre communauté. C'est une petite communauté, et nous bénéficions habituellement du fait que nous connaissons les travailleurs du milieu. C'est un avantage et un inconvénient, mais nous examinons souvent les références et les environnements dans lesquels une personne a travaillé avant et la façon dont le travail s'est fait. Nous suivons ensuite un processus de vérification technique pour comprendre. C'est habituellement un long cycle, qui a aussi ses aspects négatifs, puisqu'il nous faut plus de temps pour embaucher un professionnel sûr dans ce domaine.

M. David de Burgh Graham:

Nous parlons, monsieur Finlay, de la nécessité d'accroître le nombre de personnes dans le domaine de la cybersécurité. Nous essayons de veiller, alors que nous procédons à une expansion massive, à ne pas — comme nous l'avons vu en 1999 avec la bulle technologique — faire venir plein de personnes dont les intentions ne concordent pas nécessairement avec ce que nous voulons.

A-t-on l'intention à un moment donné d'offrir un diplôme en cybersécurité qui est distinct du diplôme en sciences informatiques?

M. Charles Finlay:

Cybersecure Catalyst mettra l'accent sur la formation offerte à ceux qui sont déjà professionnels de la cybersécurité et sur une formation initiale pour introduire de nouveaux professionnels dans le secteur. Nous n'allons pas pour l'instant mettre l'accent sur un diplôme offert à la sortie de Cybersecure Catalyst. Des programmes en cybersécurité sont mis au point par de nombreux établissements postsecondaires. Un grand nombre de ces établissements, y compris Ryerson, offrent des cours de cybersécurité. Nous mettons surtout l'accent sur la formation professionnelle, car, en toute franchise, c'est là que nous pensons avoir un effet immédiat au cours des deux ou trois prochaines années. C'est donc là-dessus que nous nous concentrons.

D'un bout à l'autre du pays, des établissements offrent toutes sortes de programmes d'études différents.

(1625)

Le président:

Merci.

Monsieur Paul-Hus, vous avez six minutes, s'il vous plaît. [Français]

M. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, PCC):

Merci, monsieur le président.

Monsieur Green, ce que vous avez dit dans votre présentation m'a plu. Je vois que Mastercard a vraiment établi des priorités et des façons de faire quant à l'identification, la protection, la détection et la réaction. Je trouve également intéressante l'alliance que vous avez avec les différentes compagnies.

Dans votre présentation, vous avez aussi offert des conseils aux gouvernements. Vous avez parlé d'arrimage entre les différents pays. J'aimerais savoir à quel niveau le Canada se situe. Quels sont les points forts du Canada et, surtout, les points faibles auxquels il devrait remédier? [Traduction]

M. Ron Green:

Je pense, heureusement, que le Canada donne l'exemple dans le domaine du développement technologique lié à la cybersécurité. J'ai mentionné Ethoca. Nous avons aussi acquis une entreprise appelée NuData, qui fournit une grande partie des dispositifs de contrôle de sécurité que nous activons dans nos appareils mobiles. Je pense que nous avons l'occasion de poursuivre ces efforts pour mettre au point de nouvelles solutions en matière de sécurité qui pourront aider le marché, le secteur des technologies financières. Je crois que c'est une solide position pour la suite. Cela permet aussi, en étant en plein centre, d'être très ouvert à une collaboration avec le secteur privé, ce qui signifie qu'il est possible de mettre en commun des renseignements de sécurité.

Il y a des choses que nous pouvons aborder globalement que vos équipes pourraient trouver intéressantes, et les entendre parler de nouvelles menaces nous permet de prévenir des situations de manière plus proactive. Cela m'intéresse vivement. [Français]

M. Pierre Paul-Hus:

Il y a différentes menaces. Certaines viennent d'individus qui essaient de pirater un système, mais il y a aussi des attaques de nos systèmes qui sont faites par des États voyous, par exemple la Chine.

Comme entreprise privée, comment réagissez-vous à une attaque cybernétique de la part d'un État? Vous attendez-vous à ce que le gouvernement du Canada intervienne? Les ressources gouvernementales devraient-elles intervenir? C'est vous qui allez prendre les premières mesures, mais avez-vous des attentes à l'égard du gouvernement en cas d'attaque perpétrée par un État? [Traduction]

M. Ron Green:

Nous devons nous défendre contre tout le monde, des particuliers aux États-nations. Nous pensons à tous les acteurs malveillants possibles, et nous mettons en place des moyens de défense par couches pour éliminer les retards et pour prévenir la réussite de ces attaques. Cependant, si ces acteurs réussissent, nous dépendrions beaucoup de nos partenaires gouvernementaux pour nous aider à en atténuer les effets, mais aussi, selon le type d'attaque, à prendre d'autres mesures. Je ne fais qu'assurer une défense — c'est ma vie —, mais s'il faut faire quelque chose d'autre, il faudrait que ce soit avec un de nos partenaires gouvernementaux. [Français]

M. Pierre Paul-Hus:

D'accord, merci.

Monsieur Finlay, on voit maintenant qu'il est important que tous les intervenants travaillent ensemble: le gouvernement, le secteur privé et le secteur universitaire. En effet, on parle de formation de la main-d'œuvre dans le domaine de la cybersécurité.

Avez-vous un conseil à nous donner pour qu'on assure que tous ces intervenants travaillent ensemble? Comme tout va très vite en matière de cybersécurité, l'élément primordial dans ce domaine est la rapidité. On ne doit pas s'empêtrer dans des mesures administratives trop lourdes. Avez-vous un conseil à nous donner?

(1630)

[Traduction]

M. Charles Finlay:

Je crois sincèrement que la création du Centre canadien pour la cybersécurité est une amélioration fondamentale à la position du Canada en matière de cybersécurité et au regroupement de tous les partenaires.

Vous avez indiqué correctement que l'industrie, le milieu universitaire et le gouvernement doivent travailler ensemble.

J'ai parlé d'Israël dans ma déclaration liminaire. Ce qui m'intéresse dans cet écosystème, c'est la mesure dans laquelle ces trois piliers de la société civile, si je puis dire, vont ensemble pour régler le problème de la cybersécurité. Je pense qu'il est très important que le Centre canadien pour la cybersécurité ait un rôle catalyseur pour rassembler ces acteurs. À titre de conseil, je crois que le gouvernement et l'administration ont une importante occasion de suggérer à tous les acteurs de travailler étroitement, et qu'ils devraient en faire un thème récurrent, dans le cadre de vos discussions sur la cybersécurité, à savoir que tout le monde doit collaborer. [Français]

M. Pierre Paul-Hus:

Ma prochaine question s'adresse à tous les témoins.

Actuellement, la population canadienne en général est-elle naïve relativement à la cybersécurité, selon vous? [Traduction]

M. Thomas Davies:

Je ne dirais pas qu'elle est naïve. Je pense que nous sommes un peu plus insensibles aux incidents de cybersécurité que d'autres cultures. Nous laissons les choses aller un peu plus rapidement. C'est ce que je dirais.

Le président:

Allez-y, monsieur Green.

M. Ron Green:

Je pense à l'époque où nous avons adopté des choses comme l'automobile. Pendant un certain temps, personne ne comprenait ni ne savait ce que cela signifiait, et nous sommes tous très chanceux d'être en vie, car personne n'avait de sièges ou de choses du genre. Lorsqu'on compare les voitures d'aujourd'hui à celles construites il y a longtemps, on voit que les choses ont beaucoup évolué, qu'elles se sont beaucoup améliorées. Nous sommes dans le même genre de cycle. Nous ne sommes pas naïfs, mais juste inconscients par rapport à ces choses. Nous devons nous en occuper.

Le président:

Merci.

Monsieur Dubé, vous avez six minutes.

M. Matthew Dubé (Beloeil—Chambly, NPD):

Merci, monsieur le président.

Monsieur Green, tout le concept lié au fait de ne pas être un émetteur de cartes est une chose que des gens de votre entreprise m'ont récemment aidé à comprendre. Cela complique beaucoup, je crois, la façon dont ce processus fonctionne.

Je me demande juste si vous pouvez m'expliquer certaines choses.

Mastercard est responsable des paiements, des transactions proprement dites, et il y a ensuite une carte, un appareil ou un site Web, qui sont en quelque sorte des tiers lorsqu'on utilise Apple Pay ou d'autres applications du genre. Il y a ensuite la banque, qui serait l'émettrice de cartes.

Dans ce triangle, si je puis dire, qui assume la responsabilité pour ce qui est, par exemple, de mes renseignements? Autrement dit, si je me sers de mon téléphone pour payer quelque chose et qu'il y a un problème, la responsabilité revient-elle aux banques, aux émetteurs de cartes, à MasterCard ou à Apple, si le problème est attribuable à Apple Pay? Comment cela fonctionne-t-il?

M. Ron Green:

Cela dépend beaucoup de l'incident, de qui est le plus responsable du problème qui survient. D'abord et avant tout, le pirate est la première personne. C'est lui qui a commis l'acte répréhensible, mais dans le modèle à quatre parties, il y a la banque émettrice, la banque acquéreuse, le commerçant et le titulaire de la carte.

Le titulaire de la carte s'adresse au commerçant et fait affaire avec lui, et je dirais que dans bien des cas, nous voyons des problèmes associés au commerçant à cause d'un problème de sécurité, de quelque chose qui n'a pas tourné rond. L'information peut être saisie ou volée à cette étape.

Nous prenons beaucoup de mesures pour éliminer, grâce à la transformation en jetons — la segmentation en unités —, la valeur des renseignements que le commerçant peut obtenir. Lorsqu'on se sert d'Apple Pay, il n'y a pas de NIP, de nombre à seize chiffres que vous connaissez bien. Nous fournissons un jeton qui ne peut être utilisé que d'une certaine façon. On ne peut pas le voler et s'en servir sur un autre appareil ou un ordinateur. Un jeton se trouve dans votre compte Apple Pay. Nous activons ce jeton dans Apple Pay. Nous nous servons de la transformation en jetons...

(1635)

Le président:

Monsieur Green, afin d'éclairer le président et possiblement d'autres membres du Comité qui n'ont peut-être pas entendu parler de la transformation en jetons, j'aimerais que vous expliquiez brièvement cette notion.

M. Ron Green:

Les 16 chiffres qui composent votre carte sont ce que nous appelons un numéro d'autorisation personnel, ou NAP. Il s'agit d'un certain numéro que vous utilisez fréquemment — vous le connaissez et vous le voyez, car il est inscrit sur votre carte en plastique. Par contre, nous créons les jetons. Ils sont utilisés dans les systèmes, mais nous pouvons les créer et les éliminer, et les réutiliser ensuite... Ce n'est pas aussi rigide que le numéro à 16 chiffres.

Donc, lorsque nous créons un jeton, comme dans le cas d'un marchand qui... nous remplaçons les NAP et nous les utilisons pour placer des jetons. S'il y a une fuite et que quelqu'un vole les jetons, ce n'est pas un problème; nous créons simplement de nouveaux jetons. Nous éliminons la valeur du NAP — le numéro de la carte de crédit — et nous le remplaçons par un jeton, ce qui signifie que nous pouvons simplement créer d'autres jetons.

M. Matthew Dubé:

C'est intéressant, car cela me fait penser à l'intelligence artificielle et à la biométrie.

Pardonnez-moi, mais je vais utiliser un langage de tous les jours. Vous autorisez, de façon temporaire, différentes méthodes de paiement. On peut donc se demander, si l'intelligence artificielle ou la biométrie est utilisée de différentes façons — pour comprendre les types de transactions effectuées par les gens, le moment où ils les effectuent ou ce qui se produit dans un appareil —, une connexion plus concrète n'est-elle pas inévitablement établie plutôt que ces processus temporaires?

Encore une fois, je tente d'aborder cette notion du point de vue d'un non-initié, car il me semble qu'une connexion plus solide s'établirait à ce moment-là si vous permettez ce type de collecte de données.

M. Ron Green:

Il ne s'agit pas seulement de la collecte de données. Il s'agit d'avoir les bonnes données au bon moment.

Je ne veux pas trop compliquer les choses, mais à l'avenir, les répertoires de données d'identité seront moins importants que la capacité d'obtenir les renseignements sur l'identité au moment où on en a besoin.

Lorsque vous voulez effectuer une transaction, nous pouvons établir une connexion avec les répertoires de données d'identité afin d'y extraire les renseignements qui permettent de vous identifier, vous, Matthew, lorsque vous avez besoin d'effectuer une transaction. Ensuite, lorsque vous avez terminé, ces renseignements disparaissent. Il n'est pas nécessaire de les entreposer. Nous voulons simplement établir une connexion et veiller à ce que les renseignements soient disponibles lorsque vous en avez besoin.

M. Matthew Dubé:

N'existe-t-il pas un endroit où toutes ces données aboutissent? Au cours d'une réunion précédente, un témoin nous a dit que c'était une drôle d'affirmation, mais que le nuage n'est pas un vrai nuage. Il existe un espace où ces données sont entreposées.

M. Ron Green:

Oui, elles sont dans un ordinateur quelque part.

M. Matthew Dubé:

Exactement. Ces données aboutissent quelque part.

Même si ce jeton, par exemple, offre une protection aux transactions effectuées avec Apple Pay, une transaction est tout de même effectuée et des données aboutissent quelque part et y restent, sans...

M. Ron Green:

Ce processus peut être transitionnel, et les données sont entreposées pendant une certaine période. Elles ne le sont pas de façon permanente. Elles sont là lorsque vous avez besoin de faire ce que vous tentez de faire, et lorsque vous n'avez plus besoin de ces données, elles disparaissent.

M. Matthew Dubé:

Je vais tenter de vous résumer les questions que j'ai posées aux représentants de l'association des banquiers lorsqu'ils ont comparu devant notre comité.

Si j'utilise une application bancaire sur mon téléphone pour payer le solde d'une carte de crédit, je le fais inévitablement par l'entremise de la banque, mais dans ce cas-ci, certains renseignements doivent être envoyés à la société de carte de crédit.

M. Ron Green:

Les données qui composent la transaction sont le NAP — le numéro à 16 chiffres — la date, l'heure et les montants. Nous ne conservons pas les renseignements sur le titulaire de la carte. C'est la banque émettrice de la carte qui les conserve.

Tout ce que nous voyons, c'est que le numéro à 16 chiffres a fait quelque chose. Le marchand demande si le numéro à 16 chiffres peut effectuer le paiement. Nous demandons à l'émetteur de la carte. Nous ne connaissons pas le titulaire de la carte, mais l'émetteur le connaît. L'émetteur nous répond que le numéro à 16 chiffres qui appartient à Matthew peut effectuer le paiement. Nous transférons ensuite ce renseignement pour confirmer que le numéro peut effectuer le paiement. Ensuite, le montant est facturé.

Tous ces renseignements passent d'un côté à l'autre. Selon ce que vous demandez...

M. Matthew Dubé:

Autrement dit, vous avez essentiellement le nom du marchand, le numéro de la carte et le montant de la transaction.

M. Ron Green:

Oui.

M. Matthew Dubé:

Ces données ne sont pas nécessairement entreposées au Canada; sont-elles protégées par les lois canadiennes?

M. Ron Green:

Nous devons nous conformer aux lois canadiennes dans le cas des données des citoyens canadiens. Actuellement, la majorité des transactions s'effectuent à nos installations de St. Louis ou de Kansas City. D'autres installations dans d'autres endroits font également certaines tâches pour nous. Les données doivent demeurer locales. D'où je suis, je peux voir les auteurs de menaces tenter d'agir contre le système de paiement, peu importe où ils se trouvent. Mais plus les pays localisent ou tentent de localiser les données, ce qui empêche d'utiliser ces données ailleurs, plus ma capacité d'analyser la situation et de suivre les mouvements des auteurs de menaces diminue.

Les auteurs de menaces ne se soucient pas des frontières. Ils sont prêts à s'attaquer à l'Amérique latine, à l'Europe, au Canada ou aux États-Unis. Si je peux les voir mener une attaque en Amérique latine, mais que je ne suis pas autorisé à utiliser ces renseignements pour aider à protéger un autre pays, l'attaquant peut mener une autre attaque ailleurs sans que je puisse utiliser ce que j'ai appris pour protéger sa prochaine victime. Les attaquants peuvent donc continuer d'attaquer de nouveaux endroits sans que je puisse utiliser les renseignements recueillis pour aider à protéger ces endroits.

(1640)

Le président:

Merci.

Monsieur Picard. [Français]

M. Michel Picard (Montarville, Lib.):

Merci.

Monsieur Davies, vous offrez des services de consultation à des institutions financières. En affaires, l'un des défis est de bien gérer l'investissement en matière de sécurité et le risque associé à ce domaine. C'est une question d'équilibre. Quand vient le temps d'investir dans des mesures de sécurité, il faut voir si le remboursement d'éventuels dommages coûterait moins cher ou aussi cher que l'investissement en matière de sécurité.

Pendant longtemps, il y a eu cette perception selon laquelle les institutions financières limitaient leur investissement dans la sécurité et choisissaient de payer les dommages subis à la suite d'incidents, parce que cela était plus avantageux. Rencontre-t-on encore ce genre de résistance ou le marché a-t-il évolué sur la question de la sécurité? [Traduction]

M. Thomas Davies:

Je dirais qu'elles investissent massivement dans les mesures de protection dans le domaine cybernétique. En effet, leur marque et leur réputation sont à risque. Même si dans la communauté, nous disons qu'il ne faut pas se faire concurrence en matière de sécurité, je crois que les institutions financières se font concurrence pour gagner la confiance des clients.

Le plus gros problème auquel font face les institutions financières aujourd'hui, c'est que les personnes sont nécessaires pour déployer le capital. Elles ont de solides budgets et elles réservent le financement adéquat, mais elles ont de la difficulté à réaliser leurs nombreux projets en raison des pénuries de main-d'oeuvre qualifiée. [Français]

M. Michel Picard:

Il faut dire que les tierces parties qui ont accès aux institutions financières n'ont peut-être pas les moyens financiers ou les outils nécessaires pour se protéger des risques. De ce fait, elles peuvent présenter un risque d'accès au système financier. Les investissements dans la sécurité faits par l'industrie permettent-ils quand même de protéger le marché? [Traduction]

M. Thomas Davies:

On considère que les tierces parties qui fournissent des services aux institutions financières représentent l'un de leurs plus grands risques. Les institutions financières mettent au point un programme de sécurité rigoureux, mais ce programme peut être affaibli par un intervenant extérieur. Ainsi, les institutions financières prennent très au sérieux le risque lié aux tierces parties.

Je crois que l'un des problèmes qui se posent, c'est que les gens croient que la cybersécurité est un domaine trop complexe. Toutefois, un grand nombre de fuites est attribuable à la méconnaissance des éléments fondamentaux. Je crois qu'une formation appropriée sur la nature des éléments fondamentaux et sur la façon de les renforcer pourrait réduire considérablement ce risque. C'est pourquoi les institutions financières commencent à exiger que les tierces parties mettent en oeuvre un minimum de vérifications dans leurs contrats et qu'elles présument qu'il y a un certain risque. Au Canada, le BSIF régit les banques. Si la fuite est attribuable à une tierce partie, le BSIF ne veut pas le savoir. L'organisme tient tout de même la banque responsable, et les banques prennent donc cet enjeu très au sérieux et mettent en oeuvre de grands programmes liés aux risques pour contrer ce problème. [Français]

M. Michel Picard:

Ma prochaine question concerne les ressources humaines et s'adresse à MM. Davies et Green.

Du côté consultatif, on regarde le recrutement, alors que, du côté du client, par exemple chez Mastercard, on regarde le risque que présentent les ressources humaines.

J'ouvre ici une parenthèse pour vous raconter une anecdote. Il y a plusieurs années, j'ai rempli en bonne et due forme un formulaire de demande de carte de crédit — je ne dirai pas laquelle. Quand j'ai reçu la carte, la limite de crédit prévue avait déjà été dépassée. Évidemment, j'ai contacté le service qui s'occupait de la sécurité. Le problème n'était pas attribuable à moi, mais au service de la sécurité, au moment de la délivrance de la carte. Cela venait donc de l'intérieur.

Dans une autre vie, j'ai assisté à des réunions de l'Association des banquiers canadiens où il était question de terminaux de paiement qui étaient, disait-on, impossibles à pénétrer. Or, ils avaient été décodés en trois semaines. On pense qu'il y a encore des risques qui viennent de l'intérieur.

Comment gère-t-on ce risque lié aux ressources humaines, qui semble mener à un cul-de-sac, tant chez le client que chez le consultant?

(1645)

[Traduction]

M. Ron Green:

Nous menons une vérification approfondie des antécédents de nos employés avant de les embaucher, mais nous avons également des programmes de surveillance des menaces internes. Nous connaissons le comportement approprié ou habituel, et nous cherchons des anomalies. J'ai eu l'occasion de démontrer aux membres de mon conseil d'administration les outils dont nous disposons dans notre programme de surveillance des menaces internes, mais nous avons des moyens de détecter les comportements anormaux.

Lorsque ces comportements sont détectés, mon équipe lance une enquête pour vérifier si l'employé agit d'une façon qui va à l'encontre de l'intérêt supérieur de l'entreprise.

De plus, certains de nos employés jouent des rôles à risque élevé. Leur travail leur pemet de construire ou de détruire des machines, etc.

Nous exerçons une surveillance accrue et mes employés surveillent donc ce qu'ils font. Tout cela se déroule en arrière-plan, mais tout se déroule pour veiller à ce qu'ils fassent ce qu'ils sont censés faire. Si ce n'est pas le cas, nous intervenons.

M. Thomas Davies:

J'aimerais ajouter que la menace interne est la plus grande préoccupation de la plupart des agents principaux de gestion des risques en raison de l'ampleur d'un tel incident lorsqu'il se produit. Vous savez, on discute souvent de l'affaire Edward Snowden dans le milieu de la sécurité nationale. La notion selon laquelle un initié a accès à des renseignements confidentiels est toujours préoccupante.

On parle d'exercer une surveillance accrue à l'égard de ce que nous appelons les utilisateurs qui ont beaucoup de pouvoir, c'est-à-dire des personnes qui — pour revenir au point de M. Green — jouissent de grands privilèges au sein de l'organisme, afin de veiller à réduire les risques.

Donc, lorsqu'un compte est la cible de fraude, c'est un risque réduit, et il faut avoir un certain degré de tolérance au risque à l'interne. En effet, on ne peut pas garantir que personne ne posera de gestes inappropriés, mais on peut réduire les effets d'un tel incident au minimum et offrir une formation de base pour sensibiliser les gens.

Lorsque j'étais membre de Scotiabank, les formations sur le code de déontologie, sur la conduite professionnelle, sur la façon de connaître ses clients et sur la lutte contre le blanchiment d'argent étaient obligatoires. Il est important de rendre cette formation obligatoire et d'au moins donner à tous l'impression que nous sommes là pour faire ce qu'il faut.

Le président:

Merci.

Monsieur Motz, vous avez quatre minutes.

M. Glen Motz (Medicine Hat—Cardston—Warner, PCC):

Merci, monsieur le président. J'aimerais également remercier les témoins d'être ici.

Monsieur Gordon, des témoins précédents nous ont dit que des pays comme l'Australie et Israël disposaient de réseaux d'échange de renseignements plutôt efficaces entre les industries, le gouvernement et les universités. Nous n'avons pas nécessairement entendu parler de l'existence de tels réseaux au Canada. Le Canada pourrait-il s'améliorer à cet égard et si c'est le cas, que devrions-nous faire?

M. Robert Gordon:

Je pense que nous nous améliorons. Je crois que l'une des étapes importantes que nous avons franchies était la création du nouveau centre cybernétique à cette fin. C'est l'une des raisons pour lesquelles nous collaborons aussi étroitement avec eux pour établir ce lien entre les activités du secteur privé et celles du gouvernement dans ce domaine.

En fait, nous travaillons avec certains organismes australiens pour créer, en Australie, un organisme semblable à l'ECMC, afin d'obtenir cet élément intersectoriel. C'est l'un des moyens qui permettent de regrouper toutes les entreprises, quelles que soient leur taille ou leurs activités, et de les préparer à interagir avec le gouvernement.

Le gouvernement s'occupera du centre cybernétique, qui représente une très petite partie de l'infrastructure essentielle — c'est ce qu'il mettra à l'échelle — et il compte sur nous pour étendre cela aux secteurs et aux domaines qui ne seront pas visés par ses activités. Le gouvernement peut offrir des conseils généraux, mais il faut en grande partie qu'une personne prenne ces conseils et se rende compte qu'il faut faire quelque chose sur le plan technologique, et qu'elle se demande comment y arriver au sein de son entreprise.

Cela revient un peu au développement des compétences dont parlait M. Finlay. Nous tentons d'intégrer cela, c'est-à-dire que nous communiquons les connaissances fournies par le gouvernement à des personnes qui utiliseront la technologie, afin qu'elles puissent réfléchir à la façon de réaliser certaines de ces choses.

(1650)

M. Glen Motz:

La plateforme de votre organisme est maintenant plus accessible aux petits marchés et aux petites et moyennes entreprises, et elles en profitent.

Avez-vous déjà observé des attaques menées contre des entreprises en démarrage ou des petites entreprises qui ont ensuite été menées ailleurs?

M. Robert Gordon:

Pas contre nos entreprises, mais cela arrive.

De nombreux exemples sont liés à de petites entreprises. Une partie de la chaîne d'approvisionnement est le point de départ qui mène à la cible suivante, c'est-à-dire des organismes beaucoup plus importants. C'est l'une des raisons pour lesquelles — et on l'a dit plus tôt — les banques souhaitent tellement examiner leurs tierces parties, afin de déterminer ce qu'elles peuvent faire pour tenter d'améliorer leur résilience cybernétique, car elles sont toutes connectées à leurs systèmes.

Cela va plus loin, car on retrouve ce phénomène dans pratiquement tous les secteurs. Par exemple, les propriétaires de gros immeubles qui s'inquiètent maintenant au sujet des locataires de leur immeuble qui pourraient se connecter à leurs systèmes sont seulement protégés au niveau de leur maillon le plus faible. Tous les secteurs font face à ce problème.

M. Glen Motz:

Un témoin précédent nous a dit que le Canada était souvent la première victime des attaques, et que c'est en partie attribuable au fait que nous avons moins de ressources que nos voisins du sud.

Avez-vous constaté que c'était le cas dans le cadre de vos discussions avec les alliés?

M. Robert Gordon:

Que nous sommes attaqués en premier ou...?

M. Glen Motz:

Vous avez beaucoup d'interactions avec nos alliés.

Avez-vous constaté que le Canada est parfois le premier pays attaqué de cette façon comparativement à certains de ses alliés?

M. Robert Gordon:

Oui. Les attaquants choisissent certains pays pour diverses raisons.

Dans certains cas, nous pouvons être la seule cible d'une attaque à venir et dans d'autres cas, nous servons de tremplin pour d'autres attaques qui seront ensuite menées ailleurs. Nous pouvons aussi être le deuxième pays sur la liste, c'est-à-dire que l'attaque commence ailleurs et est ensuite dirigée contre le Canada. Nous sommes visés dans les trois cas.

M. Glen Motz:

Parfait.

Monsieur Davies, à votre avis, quelles sont les lacunes les plus importantes en matière de cybersécurité dans le secteur financier au Canada?

M. Thomas Davies:

Le plus gros problème est lié aux anciens systèmes et il est toujours extrêmement difficile d'entretenir ces systèmes. En effet, il n'existe pas vraiment d'outils liés à la sécurité dans le cas de nombreux systèmes plus anciens, et on doit construire ce qu'on appelle un enclos pour les protéger. C'est toujours le problème le plus important. On doit lui consacrer beaucoup de temps.

M. Glen Motz:

J'aimerais poser une question de suivi, car c'est important dans le cadre de cet enjeu.

Vous avez raison. Si vous êtes aussi vieux que John et moi...

Le président:

Merci beaucoup.

M. Glen Motz:

Nos données bancaires sont vieilles. Les institutions financières, plutôt que de tenter de construire, comme vous l'avez dit, un enclos ou des protections, ne devraient-elles pas transférer ces données dans des logiciels ou des mécanismes qui pourraient mieux assurer leur sécurité, plutôt que de se contenter de les protéger dans le système dans lequel elles se trouvent?

M. Thomas Davies:

Oui. Les banques adoreraient simplifier cet environnement. C'est difficile, car certains de ces anciens systèmes sont toujours nécessaires pour le réseau d'une succursale ou pour d'autres systèmes de leur réseau global. Les banques souhaitent certainement faire quelque chose à cet égard, mais c'est extrêmement difficile et cela demande énormément de ressources.

Le président:

Merci.

Madame Sahota, vous disposez de quatre minutes.

Mme Ruby Sahota (Brampton-Nord, Lib.):

Merci, monsieur le président.

Notre comité entend beaucoup parler de la collaboration nécessaire entre l'État, le secteur privé et les universités.

Monsieur Finlay, vous avez parlé de votre visite en Israël et de la nécessité, pour nous, de nous préparer à donner le type de formation qui se donne là-bas. Pouvez-vous expliquer un peu plus ce qu'est Cybersecure Catalyst, comment ça se compare, sur certains points, à la formation donnée en Israël et quelles sont, entre les deux, les similitudes et les différences?

M. Charles Finlay:

On observe un certain nombre d'éléments intéressants dans la formation que donne à ses gens l'écosystème israélien de cybersécurité. Cette formation présente manifestement une caractéristique de service national unique en son genre: en effet, en Israël, le service militaire est différent de ce qui peut lui ressembler au Canada.

L'un de ses points forts et intéressants est qu'elle commence à un jeune âge, celui de la maternelle à la 12e année. Nous croyons nous attaquer très énergiquement à la racine du problème du marché du travail en cybersécurité, en intéressant beaucoup les jeunes à la cybersécurité et en les attirant dans des carrières de ce domaine. Ryerson, en partenariat avec la Banque Royale du Canada et l'Université Carnegie Mellon, l'une des chefs de file de la cybersécurité aux États-Unis, ont organisé, en 2018, un hackathon appelé CanHack. C'est un jeu en ligne dans lequel des élèves d'écoles secondaires exécutent sous surveillance et sous supervision, donc sans risque, des tâches de sécurité informatique. Le nombre d'élèves participants, que nous prévoyions, a doublé.

Les perspectives sont extraordinaires. D'abord, l'événement s'adresse aux jeunes. Ensuite, il mobilise un groupe démographique sous-représenté dans le cyberespace et parmi les travailleurs déplacés des secteurs traditionnels. Voici que se présente l'occasion d'accueillir des travailleurs déplacés de secteurs dont les effectifs diminuent, pour les former pour celui de la cybersécurité au niveau de débutant. C'est très emballant.

Voilà deux des objectifs, analogues à ceux que nous avons vus atteindre dans d'autres pays, y compris Israël, que nous espérons réaliser.

(1655)

Mme Ruby Sahota:

Vous avez dit avoir rencontré des entreprises canadiennes, pendant que vous étiez là-bas, qui ont opéré un virage temporaire ou permanent pour recevoir ces types de services, de formation, pour leur personnel. De quelles entreprises ou de quels types d'entreprises parliez-vous, et envisagez-vous la possibilité qu'elles reviennent et que, peut-être, elles s'installent à proximité de Cybersecure Catalyst?

M. Charles Finlay:

Oui. À Beersheba, on trouve d'importantes institutions financières canadiennes. Les grandes banques canadiennes y ont des bureaux et elles se trouvent là-bas parce que les talents y sont. Nous croyons pouvoir créer un écosystème pour la formation. L'industrie est présente pour acquérir ces talents, des entreprises prennent de l'expansion grâce au programme d'accélération, et des chercheurs universitaires collaborent aussi avec des entrepreneurs, avec les stagiaires et l'industrie. Ce que nous avons vu en Israël existe aussi ailleurs. Mais ce qui est là-bas remarquable, c'est la coordination entre l'industrie, les universités et l'État, et nous croyons que, chez Cybersecure Catalyst, elle créera cet écosystème.

Le président:

Merci.

Monsieur Dreeshen, soyez le bienvenu au Comité. Vous disposez de quatre minutes.

M. Earl Dreeshen (Red Deer—Mountain View, PCC):

Merci beaucoup, monsieur le président.

Je remercie aussi les témoins.

Seulement quelques idées qui me sont venues pendant que j'écoutais. Beaucoup d'institutions et d'entreprises ont été attaquées pour leurs données ou pour les empêcher de s'en servir. Diverses universités... ont été rançonnées. C'est important, pour la suite des choses dans les entreprises, mais la peur commence à s'installer dans les petites entreprises.

Je me demande quels genres d'enquêtes ont lieu et quel est leur taux de réussite contre ce problème. Beaucoup de petites entreprises s'inquiètent du genre d'attaques qu'elles pourraient subir et de la façon qu'elles pourraient être rançonnées.

M. Thomas Davies:

Monsieur le président, je peux tenter une première réponse.

Aujourd'hui, on informe mal le public de la nature des intrusions. Le secteur bancaire ne dit rien, dans l'espoir de protéger chacun de ses membres contre la répétition du problème, mais, à part ça, les renseignements à ce sujet sont assez privés et ils peuvent avoir des conséquences graves sur les opérations et la réputation de l'entreprise. Voilà pourquoi on les divulgue peu.

Aux États-Unis, je crois que c'est le FBI qui possède un peu plus de détails sur la compromission du courriel d'affaires, d'autres rançongiciels et d'autres tentatives de fraude. Pour rassembler ces données au Canada, pour donner une idée des gens... les thèmes que nous abordons, nous pouvons en parler ici, ainsi que de gestion de l'accès, d'hygiène des systèmes et de formation et de sensibilisation, mais la preuve, avec de vraies données, serait utile.

M. Ron Green:

Je pense aussi que les attaques de cryptoverrouillage ou les rançongiciels dont vous parlez sont en grande partie affaire de mesures d'hygiène de base. Si on apprenait à mettre les systèmes au niveau ou à appliquer des rustines, on s'épargnerait certainement beaucoup de problèmes. Un logiciel antivirus en préviendrait aussi. Il faut savoir éviter l'hameçonnage... D'après le rapport de Verizon sur les violations de données, 93 % des intrusions ont fait suite à un hameçonnage. Je peux vous assurer que nous, chez Mastercard, nous prenons le problème très au sérieux. Nous appliquons la règle des trois fautes. D'après mes statistiques de février sur l'hameçonnage, le taux d'échec était de 0,4, et considérez que 20 % sont à peu près la norme.

Il s'agit d'aider les petites entreprises à comprendre les rudiments de ce qu'il faut faire quand tout déraille, à sauvegarder leurs données pour, en cas de verrouillage, les restaurer et surmonter le problème.

(1700)

M. Earl Dreeshen:

On peut encaisser beaucoup d'argent en propageant la peur. Ça me rappelle le bogue de l'an 2000 et l'inquiétude générale pour les systèmes informatiques et ainsi de suite. Beaucoup d'entreprises se sont enrichies à essayer de résoudre un problème — vous, messieurs, savez peut-être s'il était grave — mais beaucoup d'autres croyaient que c'était un canular.

Vous pouvez faire des observations à ce sujet, mais je suppose que je m'inquiète aussi de la protection de la propriété intellectuelle, la crainte de faire tout ce travail de développement... puis de voir d'autres acteurs, individus, pays ou entreprises... Comment trouver la meilleure protection ou essayer de se protéger soi-même?

Les intéressés peuvent aussi parler du bogue de l'an 2000.

Le président:

Dans ce cas, il faudra être très bref.

M. Robert Gordon:

Dans ce cas, je passe sur le bogue.

L'une des difficultés, pour les entreprises, est de déterminer les renseignements essentiels dans leurs systèmes, à protéger absolument. Impossible de les protéger tous si on ne sait pas desquels il s'agit. Alors, on commence par les associer aux éléments importants. On peut ensuite commencer à contrôler l'accès à ces données.

Beaucoup d'entreprises, les petites notamment, et c'est intéressant en ce qui concerne particulièrement les rançongiciels, croient habituellement ne pas posséder de secrets commerciaux importants, qui exciteraient la convoitise.

Les rançongiciels n'ont pas le vol pour objectif, mais seulement celui d'empêcher d'accéder à un bien précieux pour son propriétaire. Pour beaucoup de petites entreprises, il suffit, pour prévenir le problème, d'un petit changement de mentalité, parce que, ensuite, elles peuvent comprendre pourquoi elles doivent s'intéresser aux rançongiciels, à la fois pour défendre leur bien — des solutions existent — et pour, après une attaque, savoir comment revenir à la normale.

Le président:

Merci.

Madame Dabrusin, vous disposez de quatre minutes.

Mme Julie Dabrusin (Toronto—Danforth, Lib.):

Merci.

Monsieur le président, je suis aussi inscrite pour la prochaine intervention de sept minutes, ce qui m'en fait dix. Je pourrais les partager avec quelqu'un. Pouvez-vous me conseiller?

Le président:

Je pensais que l'efficacité des témoins avait déteint sur celle de nos membres. Disposant donc d'une demi-heure, nous avons fusionné l'intervention. Je prévoyais que, après les trois dernières minutes de M. Dubé, la présidence pouvait exercer sa prérogative et poser quelques questions, mais nous sommes disposés à essayer des interventions de trois minutes pour le temps qui reste.

Mme Julie Dabrusin:

Merci.

Tantôt, sur le site de Cybersecure Catalyst, j'ai lu que le taux annuel de croissance de la demande de professionnels formés en cybersécurité, au Canada, était de 7 %.

D'où vient ce chiffre? Est-ce une tendance pluriannuelle que vous avez constatée? Prévoyez-vous qu'elle se maintiendra?

M. Charles Finlay:

Oui. Le taux provient d'un rapport de 2018, de Deloitte et de la Toronto Financial Services Alliance, qui l'ont estimé à 7 % par année.

Mme Julie Dabrusin:

Nous avons parlé de la nécessité de former des gens et de posséder des effectifs qualifiés pour cette tâche. Quelle est la durée de cette formation? À un diplômé du secondaire que la cybersécurité intéresse, combien de temps faut-il pour terminer tous les programmes de formation qui lui permettraient d'être embauché?

(1705)

M. Charles Finlay:

Excellente question. Beaucoup de facteurs entrent en jeu. Nous sommes dans la formation continue. Essentiellement, nous collaborons avec des employeurs, pour augmenter les compétences de leur personnel. Les échéanciers dépendent exactement de l'ensemble de compétences dont ces employés ont besoin. C'est un problème particulier en cybersécurité, parce que les menaces et les conditions techniques évoluent continuellement. Cela concerne les rudiments de l'éducation des cadres supérieurs.

Pour le stage d'initiation des cohortes sous-représentés, nous visons un programme de six mois. D'après nous, un programme intensif de six mois peut conduire un candidat possédant une formation technique assez limitée à un poste de débutant qui le rendra admissible à des stages pour débutant et à des détachements dans l'industrie. Ensuite, on offre des programmes de premier cycle en cybersécurité et en informatique, après les cours habituels de premier cycle. Un programme de premier cycle en cybersécurité pourrait prendre trois ans, quatre avec spécialisation. Ce sont des parcours différents. On offre toutes sortes de programmes de formation continue en cybersécurité de différentes longueurs.

Mme Julie Dabrusin:

J'essaie seulement de comprendre, au cas où je devrais expliquer les échéanciers à des jeunes qui terminent leurs études secondaires avec un diplôme en poche. Ils doivent y réfléchir. S'ils songent à des prêts d'études et à tout ce qu'il faut mettre de côté pour s'instruire, si nous leur disons que c'est une carrière emballante, que la demande est forte, nous nous rendons utiles si nous pouvons au moins leur donner un aperçu de ce que l'avenir leur réserve. C'est l'aide que j'espère de l'un des membres de votre groupe de témoins. Qu'est-ce que je leur dis sur la durée des études, les diplômes exigés pour se faire embaucher dans ce secteur?

M. Ron Green:

Mon point de vue est celui d'un embaucheur. Certains membres de mon équipe ne sont allés ni au collège ni à l'université. Ils ressentaient seulement un intérêt très vif et, pendant leurs études secondaires, ils ont passé beaucoup de temps à travailler avec des ordinateurs, à en comprendre le fonctionnement et à éprouver un sentiment de sécurité. Ils se démarquent dans nos entrevues et nos tests, et nous pouvons pressentir qu'ils seront un bon apport dans notre équipe. Du point de vue technique, ils possèdent des atouts, mais ils finissent par être bloqués, faute d'antécédents en gestion.

Actuellement, il est difficile de trouver des diplômés de collèges en cybersécurité. Je cherche un diplômé en technologie que je peux former à la sécurité dans mes centres d'opérations de sécurité. Je peux le former sur le tas. Ce qui est rare et que nous recherchons particulièrement pour beaucoup de postes, c'est l'expérience. Nous cherchons des candidats qui ont un diplôme collégial. Ils peuvent avoir une maîtrise en cybersécurité, mais en plus, ils possèdent une expérience pratique, comme les militaires ou des personnes qui ont défendu des réseaux importants. Ils sont très peu nombreux. Il m'a fallu deux ans pour combler certains postes, tant les candidats sont difficiles à trouver.

Le président:

Merci.

Monsieur Dubé, vous avez trois minutes.

M. Matthew Dubé:

Merci, monsieur le président.

Monsieur Green, pardonnez mon rabâchage. J'essaie seulement de comprendre. Quand nous nous sommes quittés, tout à l'heure, vous commenciez à m'éclairer.

Vous parliez de l'incapacité de reconnaître, localement, une menace qui fait fi des frontières. Je suppose que les motifs de préoccupation peuvent englober l'accessibilité de ce type d'information pour, disons, les organismes chargés de la sécurité nationale ou la police. L'exemple précis qui me vient à l'esprit a été soulevé par notre commissaire à la protection de la vie privée, ici, au Canada. Par exemple, des Canadiens pourraient désormais, en toute licéité, se procurer de la marijuana avec leur carte de crédit. Comme, à l'échelon fédéral, aux États-Unis, c'est illégal, si la Patrouille frontalière des États-Unis en avait l'envie, ce renseignement pourrait leur fermer les portes des États-Unis.

Si ce renseignement se trouve quelque part, pour le meilleur ou pour le pire, le risque existera toujours qu'on s'en serve. Je comprends seulement mal la responsabilité, attribuée par la loi ou d'autres moyens, de l'information stockée, dans un serveur aux États-Unis ou n'importe où ailleurs, sur mes opérations de citoyen canadien avec une banque canadienne.

(1710)

Le président:

Ce n'est pas une question personnelle.

Des voix: Oh, oh!

M. Ron Green:

D'abord, quelques précisions. Ce n'est pas vous que nous stockons; nous connaissons un nombre à 16 chiffres qui appartient à une banque émettrice. La banque canadienne pourrait en fait comprendre qui est Matthew; tout ce que nous savons, c'est un nombre à 16 chiffres. Nous n'avons rien d'ouvert... nos données sont accessibles à...

M. Matthew Dubé:

Désolé de vous interrompre, j'interviens seulement pour comprendre. Je viens de déménager et j'ai fait changer mon adresse. J'ai dû en subir les conséquences, parce que l'actualisation n'avait pas été faite dans le système. C'est le système de qui? Est-ce le vôtre ou celui de la banque, qui est l'émettrice de la carte?

M. Ron Green:

Quelle est la cause du problème? Le code postal ou quelque chose comme ça?

M. Matthew Dubé:

J'essayais de confirmer un paiement pour un achat en ligne. On m'a demandé le nom du détenteur de la carte, qui paraît sur la carte, les trois chiffres au verso de la carte et l'adresse. Comme l'adresse avait changé le jour même, il a finalement fallu que j'appelle la ligne d'assistance où on m'a dit que je devais attendre que le système corrige l'adresse pour pouvoir fonctionner. Est-ce la faute de l'émetteur?

M. Ron Green:

Avez-vous appelé au numéro qui se trouve à l'arrière de la carte?

M. Matthew Dubé:

Oui, c'est le numéro de l'émetteur de la carte, n'est-ce pas?

M. Ron Green:

Oui, c'est le numéro de l'émetteur, c'est-à-dire votre banque.

M. Matthew Dubé:

Si j'utilise PayPal, par exemple, et que je paie avec une carte de crédit, je dois inscrire le numéro et l'adresse. Le numéro vous est transmis pour la validation et l'adresse, le nom, etc., du détenteur de la carte sont transmis à la banque.

M. Ron Green:

C'est exact, et nous utilisons le numéro lorsque nous communiquons avec l'émetteur. S'agit-il d'une information qui nous permet d'autoriser la transaction? On nous transmet le numéro à 16 chiffres, que nous transmettons à notre tour à l'émetteur — c'est-à-dire votre banque, qui vous connaît — qui peut vérifier si vous avez les fonds nécessaires. Ensuite, nous faisons savoir au marchand que le détenteur dispose des fonds nécessaires et qu'il peut procéder à la transaction. Par la suite, le montant est transmis à l'émetteur.

L'information que nous utilisons pour que la transaction s'effectue est le numéro à 16 chiffres.

Le président:

Je vous remercie.

J'ai quelques questions à poser, et ensuite, M. de Burgh Graham et M. Paul-Hus disposeront chacun de trois minutes, et d'autres pourront aussi intervenir. Cela devrait nous mener à la fin de la réunion. Aucune question pour M. Motz — c'est de l'âgisme.

Vous savez que cette étude a été entreprise en partie à cause de la controverse entourant le 5G, et particulièrement la controverse entourant le 5G en ce qui a trait à Huawei, Nokia et Ericsson. Vous êtes tous les trois en particulier sur la ligne de front, alors j'ai une question pour vous. Si ce réseau est lancé — et il le sera — comment vous préparez-vous à cela, ou est-ce que vous vous y préparez, et dans quelle mesure cette préparation changerait ce que vous venez de dire aujourd'hui, si effectivement elle changeait ce que vous venez de dire?

Nous allons commencer par M. Green et continuer par la droite.

M. Ron Green:

Peu importe le réseau — mobile, 5G, Wi-Fi ou même connecté — lorsque nos employés utilisent ces réseaux, nous leur fournissons une voie de transmission sécurisée. Qu'il s'agisse d'un réseau 5G ou d'un réseau mobile, nous sécurisons les données transmises. Le réseau que nous utilisons est un réseau privé. Nous n'avons pas recours à Internet. Les transactions commerciales s'effectuent sur un réseau très privé que nous contrôlons. Si j'utilise un réseau 5G, je vais fournir à mes employés une voie sécurisée pour communiquer les données de manière sûre. Le réseau que nous utilisons pour faire notre travail est notre propre réseau privé.

Le président:

Alors toutes les transactions Mastercard dans le monde s'effectuent sur un réseau privé?

M. Ron Green:

Oui, c'est un réseau privé. C'est pourquoi il est difficile de faire ce que nous faisons; il nous a fallu du temps pour mettre en place ce réseau privé.

Le président:

Monsieur Davies.

M. Thomas Davies:

Nous nous concentrons sur la protection des données d'un bout à l'autre. Pendant la transmission des données, personne ne devrait être en mesure de lire les données. C'est l'objectif, mais tout dépend de la technologie dont disposent certaines personnes pour intercepter, modifier, etc... C'est une technologie de pointe. C'est possible, mais comme M. Green vient tout juste de le dire, il faut qu'une seule entité puisse lire et transmettre les données, et une fois qu'elles sont rendues à destination, on peut les décoder et les lire. Cela peut se faire grâce à un réseau privé ou un réseau public, mais c'est ce sur quoi nous nous concentrons.

(1715)

Le président:

Vos clients n'ont pas de réseau privé, n'est-ce pas?

M. Thomas Davies:

Tout dépend des types de systèmes qu'ils utilisent. Par exemple, les banques utilisent des réseaux privés pour les messages SWIFT et les virements télégraphiques, et elles utilisent des réseaux publics pour traiter avec leur clientèle.

Tout dépend aussi du degré d'importance des données. Par exemple, dans bien des cas, ils utiliseront un réseau privé avec leurs fournisseurs de services tiers.

Le président:

Une personne du milieu de la sécurité nous a expliqué que c'était sécurisé aux deux extrémités, et que c'était comme une boîte de carton entre les deux.

Est-ce qu'un certain nombre de vos clients sont confrontés au fait que ce n'est pas sécurisé à une extrémité ou à l'autre ou entre les deux?

M. Thomas Davies:

Améliorer cela, c'est notre objectif. C'est comme lorsqu'on transmettait des messages dans des langues autochtones durant la guerre pour éviter qu'ils soient lus pendant la transmission. Nous faisons la même chose aujourd'hui. Lorsqu'un message est transmis, on essaie de faire en sorte qu'il demeure codé le plus possible, et une fois qu'il est rendu à destination, quelqu'un possède une clé pour déverrouiller l'information et la lire.

Le président:

Monsieur Gordon, voulez-vous ajouter quelque chose?

M. Robert Gordon:

Du point de vue de notre organisation, cela n'a pas d'importance parce que la responsabilité appartient à chacun de nos membres. Il y a des membres qui transmettront l'information par l'entremise d'institutions financières et d'autres le feront par l'intermédiaire d'un réseau public.

Le président:

Pourquoi dites-vous que cela n'a pas d'importance?

M. Robert Gordon:

Je ne surveille pas leurs réseaux, alors je ne vois pas tout ce que nos membres voient. Ce que je vois, c'est le résultat de ce qu'ils voient sur leur réseau, et lorsqu'ils voient des anomalies, c'est ce que je vois aussi. Je ne surveille pas constamment ce qui se passe sur leurs réseaux.

Le président:

Je vous remercie.

Monsieur Graham, vous disposez de trois minutes.

M. David de Burgh Graham:

Monsieur Green, je vais terminer la question de M. Dubé. PayPal a son siège aux États-Unis. Je pense que le point qu'on a tenté de faire valoir c'est que, même si vos réseaux sont privés, si les données passent par les États-Unis, elles sont soumises à la Patriot Act de ce pays. Je crois que c'est la principale préoccupation.

Que faites-vous alors?

M. Ron Green:

On ne peut pas identifier les personnes dans notre réseau.

M. David de Burgh Graham:

Vous dites que vous recevez un numéro de 16 chiffres. Ce n'est pas difficile de décoder un numéro de 16 chiffres. Si quelqu'un met la main sur ce chiffre pour connaître l'identité de la personne, s'il découvre comment entrer dans votre système pour obtenir ce numéro, il découvrira l'identité de la personne. Alors, je n'accepte pas nécessairement votre argument. Comprenez-vous le point que je veux faire valoir?

M. Ron Green:

Vous dites que si on trouve une autre façon de faire de l'ingénierie inverse pour obtenir le numéro à 16 chiffres... il faudrait qu'il s'agisse d'un processus légal. Nous n'allons pas tout simplement permettre au gouvernement américain d'entrer dans notre réseau lorsqu'il le souhaite et d'examiner ce qui s'y trouve. Nous ne faisons pas cela.

M. David de Burgh Graham:

Mais c'est dans cette boîte de carton dont John aime parler que fonctionne votre réseau virtuel privé. Je présume que c'est un réseau virtuel. Vous avez parlé de votre réseau privé. Vous n'avez pas votre propre fibre optique partout dans le monde, alors il s'agit d'un réseau virtuel, n'est-ce pas?

M. Ron Green:

C'est exact.

M. David de Burgh Graham:

Mais vous utilisez des câbles d'accès public.

M. Ron Green:

C'est codé, toutefois. Ce n'est pas ouvert... Nous avons le module de sécurité matériel le plus important après celui du ministère de la Défense, alors il y a beaucoup de cryptage dans notre réseau.

Il est vrai qu'un réseau privé peut passer par une tierce partie, mais tout demeure codé et les transactions sont également codées.

Le cryptage n'est pas une chose sans importance. Il est possible qu'un État-nation dispose de moyens pour décoder l'information et intercepter ce qui est transmis, mais je n'en connais pas.

M. David de Burgh Graham:

Monsieur Gordon, lorsque j'ai obtenu mon premier mot de passe d'administrateur il y a environ 22 ans, il y avait le site Web rootprompt.org. Vous vous en souvenez peut-être. C'était un site Web qui faisait en fait ce que votre organisation fait maintenant, c'est-à-dire surveiller les vulnérabilités et les communiquer pour que les administrateurs de systèmes puissent demeurer à l'affût. Un jour, ce site Web a été attaqué, et il a été fermé.

Quels sont les organismes dont vous ne voulez pas au sein de votre organisation? Quelles sont vos vulnérabilités? Que faites-vous à cet égard?

(1720)

M. Robert Gordon:

Quels sont les organismes dont je ne veux pas?

M. David de Burgh Graham:

Oui, car vous avez dit que vous souhaitez que de nombreux organismes deviennent membres de votre organisation. Quels sont les organismes dont vous ne voulez pas?

M. Robert Gordon:

Je veux des organismes qui font deux choses. Je veux des organismes qui souhaitent collaborer, communiquer ce qui se passe, respecter l'entente que nous avons et expliquer l'utilisation qu'ils feront de l'information. Je veux des organismes qui utiliseront l'information pour défendre leurs réseaux.

Si un organisme utilise l'information à d'autres fins, je préfère qu'il aille ailleurs.

Le président:

Je vous remercie.[Français]

Monsieur Paul-Hus, vous avez trois minutes.

M. Pierre Paul-Hus:

Merci, monsieur le président.

Monsieur Green, comme Mastercard est une organisation internationale, votre réseau est relié à plusieurs banques de différents pays. Les banques canadiennes sont-elles bien équipées, comparativement aux banques européennes ou américaines? Vous êtes en relation directe avec les banques, car vous passez par elles pour vos transactions. Si on les compare aux banques des autres pays, les banques canadiennes sont-elles bien organisées? [Traduction]

M. Ron Green:

Je pense que les banques canadiennes sont dans une situation assez favorable comparativement aux banques américaines ou européennes. J'ai vu des banques dans d'autres pays que je ne... [Français]

M. Pierre Paul-Hus:

Notre étude porte sur le système bancaire canadien et sur le système des compagnies d'assurances. Votre entreprise est en relation directe avec les banques partout dans le monde. Selon vous, les banques canadiennes font partie des banques qui sont bien protégées en matière de cybersécurité. Est-ce bien ce que vous dites? [Traduction]

M. Ron Green:

Je pense qu'elles sont bien protégées. Nous échangeons beaucoup avec un certain nombre de banques. Nous voyons cela comme une occasion de nous assurer que nous travaillons tous ensemble. Je pense aux gnous. Lorsque nous sommes ensemble, nous sommes moins une cible. Si nous sommes seuls, nous sommes davantage une cible. Un certain nombre de banques canadiennes — et même la chaîne Canadian Tire — sont venues examiner notre centre de fusion, et elles travaillent et collaborent avec nous. [Français]

M. Pierre Paul-Hus:

J'ai une dernière question rapide.

Monsieur Green, Mastercard a-t-elle des stratégies de cyberdéfense pour se protéger d'attaques venant du Web clandestin?

Monsieur Finlay, du côté universitaire, s'agit-il de sujets sur lesquels on se penche régulièrement? [Traduction]

M. Ron Green:

Nous avons une équipe chargée du renseignement qui surveille les menaces sur le Web caché. Nous payons des consultants pour qu'ils surveillent différentes choses sur le Web caché. Nous avons aussi différents partenaires au sein du gouvernement qui surveillent aussi certaines choses sur le Web caché pour déterminer comment les pirates s'y prennent pour attaquer afin que nous puissions empêcher des attaques. Nous communiquons cette information à notre clientèle. [Français]

M. Pierre Paul-Hus:

Merci. [Traduction]

Le président:

Madame Sahota.

Mme Ruby Sahota:

Tout cela est très fascinant, mais comme je suis députée de Brampton, je m'intéresse particulièrement au centre Cybersecure Catalyst, qui a déjà amorcé en partie ses activités et qui est en voie d'atteindre sa vitesse de croisière grâce à Ryerson. Je suis heureuse de voir que dans le budget de 2019 on a prévu des fonds pour Cybersecure Catalyst.

J'aimerais savoir, plus particulièrement, quels types de titres de compétence vous accorderez dans le cadre de la formation. S'agit-il de titres de compétence reconnus à l'échelle internationale? Est-ce que vos programmes de formation sont comparables à d'autres programmes offerts dans d'autres pays? Aussi, combien de personnes vont se recycler ou se perfectionner selon vous, et combien de cours d'introduction prévoyez-vous être en mesure de donner lorsque vous aurez atteint votre vitesse de croisière?

M. Charles Finlay:

En ce qui concerne les titres de compétence, notre objectif est d'accorder des titres reconnus à l'échelle internationale au terme de formations données par des organismes de formation en cybersécurité bien établis. Il s'agit d'organismes bien connus dans le marché. Il s'agit notamment de SANS, EC-Council et Palo Alto. Il y a de nombreux organismes qui offrent ces formations, et nous travaillons assez activement à établir des partenariats avec SANS et EC-Council pour offrir les cours en question.

Nous faisons cela parce que Cybersecure Catalyst est une entreprise axée sur l'industrie. Nous souhaitons vivement soutenir le secteur canadien de la cybersécurité grâce aux partenariats que nous voulons établir avec des universités et, bien entendu, grâce à la collaboration avec le gouvernement. Le secteur canadien de la cybersécurité a le potentiel de devenir le meilleur au monde, et il peut l'être. Nous allons travailler d'arrache-pied pour favoriser cela. Nous cherchons à offrir des titres de compétence utiles pour l'industrie.

Je peux vous donner quelques chiffres. Nous avons établi un plan quinquennal en ce qui concerne les cours d'introduction. Nous voulons aller chercher des groupes démographiques qui sont sous-représentés dans le secteur de la cybersécurité. Nous visons environ 500 personnes. En ce qui a trait aux formations offertes en collaboration avec nos partenaires du secteur privé, il s'agira de plusieurs milliers de personnes. Nous espérons aussi aller chercher des dizaines de milliers de jeunes. La cybersécurité est un grand problème, et nous devrons former de nombreuses personnes pour avoir une incidence importante.

Voilà ce que nous visons.

(1725)

Mme Ruby Sahota:

Je vous remercie.

Le président:

Chers collègues, il nous reste quatre minutes avant de devoir quitter la salle, car il y aura ensuite une réunion d'un sous-comité.

Comme je suis gentil à l'égard de M. Motz, malgré son commentaire sur l'âgisme, je vais permettre à M. Picard de partager son temps de parole avec lui.

Vous avez chacun deux minutes.

Monsieur Picard.

M. Michel Picard:

J'ai une seule question à poser.

Monsieur Davies et monsieur Green, quelle est votre compréhension des systèmes bancaires ouverts et quel est votre point de vue en ce qui concerne la sécurité?

M. Ron Green:

Les systèmes bancaires ouverts offriront beaucoup de nouvelles possibilités, mais nous devons veiller à assurer la sécurité de la nouvelle technologie qui y est associée; des nouveaux fournisseurs. Je crois que le gouvernement peut aider en veillant à ce qu'ils respectent de bonnes normes lorsqu'ils déploient des capacités.

Le président:

Monsieur Motz, la dernière question vous appartient.

M. Glen Motz:

Je veux qu'on poursuive dans la même veine.

Michel, je vous remercie, c'était une excellente question.

J'aimerais que M. Davies y réponde.

Le président:

Oh, je suis désolé. Est-ce que j'ai coupé la parole à quelqu'un? Pardonnez-moi.

M. Thomas Davies:

Non, il n'y a pas de problème.

Je sais que le ministère des Finances travaille actuellement sur un document spécial qui porte sur les systèmes bancaires ouverts du point de vue la réglementation et de la sécurité. Comme M. Green l'a dit, il sera important de songer à la sécurité dès le début. Le Royaume-Uni est assez avancé en ce qui concerne les systèmes bancaires ouverts, alors il nous appartient d'examiner ce qu'il a fait et les leçons qu'il en a tirées.

Le président:

Au nom du Comité, je remercie chacun de vous pour vos excellents témoignages. Ils ont été très instructifs.

La séance est levée.

Hansard Hansard

committee hansard secu 27278 words - whole entry and permanent link. Posted at 22:44 on April 01, 2019

2019-03-18 SECU 152

Standing Committee on Public Safety and National Security

(1545)

[English]

The Chair (Hon. John McKay (Scarborough—Guildwood, Lib.)):

It's my privilege to open the meeting and invite the Canadian Bankers Association and the Canadian Chamber of Commerce to address the committee. Both groups have been instructed on the parameters of their presentations.

Did you do rock, paper, scissors as to who will go first, or will we just go with the Canadian Bankers Association?

Mr. Docherty.

Mr. Charles Docherty (Assistant General Counsel, Canadian Bankers Association):

Thank you very much. Good afternoon.

I would like to thank the committee for the opportunity to speak with you today about cybersecurity in the financial sector.

My name is Charles Docherty. I am the assistant general counsel for the Canadian Bankers Association, or CBA. Joining me is my colleague Andrew Ross, director, payments and cybersecurity.

The CBA is the voice of more than 60 domestic and foreign banks that help drive Canada's economic growth and prosperity. The CBA advocates for public policies that contribute to a sound, thriving banking system to ensure Canadians can succeed in their financial goals.

Banks in Canada are leaders in cybersecurity and have invested heavily to protect the financial system and the personal information of their customers from cyber-threats. Despite the growing number of attempts, banks have an excellent record of protecting their systems from cyber-threats. Banks take seriously the trust that has been placed in them by Canadians to keep their money safe and to protect their personal and financial information.

Canadians have come to expect greater convenience when using and accessing financial services, and banks have embraced innovation to provide Canadians faster and more convenient ways to do their banking. Now consumers can bank any time from virtually anywhere in the world through online banking and mobile apps that provide real-time access to their financial information. Today 76% of Canadians primarily do their banking online or on their mobile device. That's up from 52% just four years ago. As more and more transactions are done electronically, networks and systems are becoming interconnected. This requires banks, government and other sectors to work together to ensure that Canada's cybersecurity framework is strong and able to adapt to the digital economy.

The CBA was an active participant in the Department of Public Safety's consultation on the new national cybersecurity strategy. Our industry is a willing and active partner that supports the government in working to achieve the outcomes outlined in the strategy with the common goal of improving cyber-resiliency in Canada.

The banking industry is strongly supportive of the federal government's move to establish the Canadian centre for cybersecurity under the Communications Security Establishment as a unified source of expert guidance, advice and support on cybersecurity operational matters. We also welcome the creation of the centralized cybercrime unit under the RCMP.

A key priority for the new centre will be to ensure cyber-resiliency across key industry sectors in Canada. Encouraging a collaborative environment with the centre providing a focus where the public and private sectors can turn for expertise and guidance will enhance Canada's cyber-resiliency.

The security of Canada's critical infrastructure sectors is essential in order to protect the safety, security and economic well-being of Canadians. The banking industry counts on other critical infrastructures such as telecommunications and energy to deliver financial services for Canadians. We encourage the government to leverage and promote common industry cybersecurity standards that would apply to those within the critical infrastructure sectors.

We recognize that critical infrastructures such as energy cross jurisdictional boundaries, and we recommend that the federal government work with the provinces and territories to define a cybersecurity framework across all critical infrastructure sectors. Having consistent, well-defined cybersecurity standards will provide for greater oversight and assurance that these systems are effective and protected.

Effective sharing of information about cyber-threats and expertise about cyber-protection is a critical component to cyber-resiliency and increasingly important to Canada's digital and data-driven economy. The benefits from sharing threat information extend beyond the financial sector to other sectors, the federal government and law enforcement agencies. Sharing information is a highly effective means of minimizing the impact of cyber-attacks. Banks are supportive and active participants in initiatives such as the Canadian Cyber Threat Exchange that promotes the exchange of cybersecurity information and best practices between businesses and government as a way to enhance cyber-resiliency across sectors.

To foster information sharing and for such forums to be effective, we recommend the government consider legislative options such as changes to privacy legislation and the introduction of safe harbour provisions to ensure that appropriate protections are in place when sharing information related to cyber-threats.

Protecting against threats from industries or other nations requires a defensive response that is coordinated between the government and the private sector. The government can play a pivotal role in coordinating among critical infrastructure partners and other stakeholders, building upon existing efforts to respond to cyber-threats. Establishing clear and streamlined processes among all major stakeholders will enhance Canada's ability to effectively respond to, and defend against, cyber-threats.

We understand that the government plans to introduce a new legislative framework that addresses the implications and obligations in a world that is increasingly connected. We look forward to engaging with the government on the framework.

The CBA also believes that raising awareness about cybersecurity among Canadians is imperative. Educating Canadian citizens is, and should be, a shared responsibility between the government and the private sector. General knowledge of the issues and an understanding of personal accountability to maintain a safe cyber environment are required to help ensure that comprehensive cybersecurity extends to the individual user level. The banking industry looks forward to further collaboration with the government on such common public awareness initiatives as incorporating online cybersecurity safety into federal efforts to promote financial literacy.

A skilled cybersecurity workforce that can adapt to a changing digital and data-driven economy is equally important, not only for our industry but for all Canadians as well. Every year the CBA works with members to organize one of Canada's largest cybersecurity summits, bringing banks together with leading experts to share the latest intelligence about threats and to deepen the knowledge of our cybersecurity professionals.

As cybersecurity threats continue to rise, there's a growing demand for cybersecurity talent in Canada and abroad. Canada's new cybersecurity strategy recognizes that the existing gap in cyber-talent is both a challenge and an opportunity for our country. To address this shortage, we encourage the federal government, in co-operation with provincial and territorial governments, to promote and establish cybersecurity curricula in grade schools, colleges, universities and continuing education programs to enable students to develop cybersecurity skills.

In conclusion, I want to reiterate that cybersecurity is a top priority for Canada's banks. They continue to collaborate and invest to protect Canadians' personal and financial information. Banks support the government's work to protect Canadians while promoting innovation and competition. However, the industry recognizes that threats and challenges are constantly evolving. We want to work more collaboratively with the government and with other sectors to ensure that Canada is a safe, strong and secure country to do business in.

Thank you very much for your time. I look forward to your questions.

(1550)

The Chair:

Thank you, Mr. Docherty.

We now have the Canadian Chamber of Commerce. [Translation]

Dr. Trevin Stratton (Chief Economist, Canadian Chamber of Commerce):

Thank you very much, Mr. Chair and members of the committee. It's a real pleasure to be here with you today.[English]

I'm Trevin Stratton. I'm the chief economist at the Canadian Chamber of Commerce. The Canadian chamber is the voice of business in Canada, and represents a network of over 200,000 firms from every sector and region and every size of business. I'm here with my colleague, Scott Smith, the senior director of intellectual property and innovation policy at the chamber.

Banking transactions are increasingly being conducted in new ways, with 72% of Canadians primarily doing their banking online or through their mobile device. Disruptive or destructive attacks against the financial sector could, therefore, have significant effects on the Canadian economy and threaten financial stability. This could occur directly through lost revenue, as well as indirectly through losses in consumer confidence and effects that reverberate beyond the financial sector, because it serves as the backbone of other parts of the economy. For example, cyber-attacks that disrupt critical services, reduce confidence in specific firms, or the market itself, or undermine data integrity could have systemic consequences for the Canadian economy as a whole.

Banks have invested heavily in state-of-the-art cybersecurity measures to protect the financial system and the personal information of their customers from cyber-threats. In fact, cybersecurity measures and procedures are part of the banks' overall security approach, which includes teams of security experts who monitor transactions, prevent and detect fraud and maintain the security of customer accounts.

The sophisticated security systems in place protect customers' personal and financial information. Banks actively monitor their networks and continuously conduct routine maintenance to help ensure that online threats do not harm their servers or disrupt service to customers.

However, cybersecurity issues are marked by significant information asymmetries, where a disproportionate amount of intelligence and capacity resides with large institutions like the federal government, the Bank of Canada and a few large private sector companies, including financial institutions. Yet, small and medium-sized enterprises are no less vulnerable. It is important for them to secure a cybersecurity ecosystem. They are also disproportionately subject to mounting asymmetries in resources, technologies and skills to defend against nefarious adversaries who, with relatively primitive skill sets and resourcing, can inflict excessive financial and reputational damage.

My colleague, Scott Smith, will now outline the cyber-threat landscape facing Canada's small and medium-sized enterprises.

(1555)

Mr. Scott Smith (Senior Director, Intellectual Property and Innovation Policy, Canadian Chamber of Commerce):

I believe you've heard from several witnesses over the past few months about the evolving cyber-threat landscape, some of the attacks that are being experienced across the board and how that's changing, and the challenge that represents. Instead, today I'm going to draw your attention to the growing attack surface and how economic disruption that impacts national security can come from unexpected places.

Canada depends on small business for economic well-being. There are 99.7% of businesses in Canada that have fewer than 500 employees, but they employ over 70% of the total private labour force. Small to medium-sized enterprises contribute 50% of Canada's GDP, 75% of the service-producing sector and 44% of the goods-producing sector. They also represent 39% of the financial, insurance and real estate sector.

Fintech has a projected continuous annual growth rate of 55% through 2020. Canada is a hot spot for fintech growth, especially in mobile payments, and most of the emerging companies are SMEs. SMEs collectively constitute a very large attack surface. This attack surface has attracted the attention of hackers.

With regard to some examples of the link between supply chains and major disruptions, in 2018, five natural gas pipeline operators in the U.S. had their operations disrupted when a third party supplier of electronic data and communications services was hacked in the spring of that year. The hacking of a third party vendor to more than 100 manufacturing companies was discovered in July 2018. Approximately 157 gigabytes of data that Level One Robotics was holding was exposed via rsynch, a common file transfer protocol used to mirror or back up large datasets.

The 2017 NotPetya malware outbreak forced shipping giant Maersk to replace 4,000 new servers, 45,000 new PCs and 25 applications over a period of 10 days, causing major disruption.

Why is this happening? Criminals are a bit like flood water; they follow the path of least resistance. Small to medium-sized enterprises have several challenges when it comes to security: limited financial resources, limited human resources and a culture of disbelief, the so-called “we're too small to be hacked” syndrome.

The digital economy has been a boon to small business growth, enabling rapid entry to global supply chains. However, this innovation and growth comes with significant risk if security concerns are not addressed, particularly given the increasing sophistication of cybercriminals. They've moved from the disruption of viruses, trojans and worms 10 years ago, which were common to hear about, to now generating usable digital trust certificates that bypass the human element.

The goal must be to reduce the attack surface, making Canadian business a less attractive target to criminals. The solution is a culture shift, through education, awareness and setting achievable industry-led standards, without stifling innovation. It's a big challenge. It also means investing in international criminal enforcement relationships and capabilities.

I'll stop there, and I'm happy to answer any questions.

The Chair:

Thank you to both of you.

Our first questioner is Monsieur Picard.[Translation]

You have seven minutes.

Mr. Michel Picard (Montarville, Lib.):

Thank you, Mr. Chair.

Gentlemen, welcome to our committee.[English]

I will ask my question in French, if you have your earpiece for translation.[Translation]

My question is for the representatives of the Canadian Bankers Association, since they work in the financial sector, which is the topic of our study.

What strategy did you use to develop your cybersecurity program? What are the aspects or operations of your clients' activities that you took into account to develop the steps of the cybersecurity measures?

(1600)

[English]

The Chair:

To whom are you directing the question?

Mr. Michel Picard:

It's addressed to the Bankers Association.

Mr. Charles Docherty:

The banking industry takes its responsibilities for protecting clients' information extremely seriously. We appreciate the trust that customers have put in us to protect their personal information.

In terms of a strategy, the banks—in addition to protecting their own systems and infrastructure—are contributors to ensuring cyber-resiliency across Canada as well. They're heavy contributors to the Canadian Cyber Threat Exchange, which allows not only banks but also other industries to access information related to cyber-incidents and threats. Of course, they've invested billions of dollars in ensuring that their IT infrastructures are safe and secure. [Translation]

Mr. Michel Picard:

I would like your approach to be more concrete.

The purpose of this study is to ask the private sector, including your association, to help us find ways to improve our financial services infrastructure.

You are in the financial sector. We know that you manage personal data. On the ground, you had to start somewhere; someone got up one morning and decided to begin by examining this or that operation, by using this tool, by examining this or that banking services sector. Indeed, there are a whole range of financial services. Could you summarize the process that led to the development of your cybersecurity strategy? [English]

Mr. Andrew Ross (Director, Payments and Cybersecurity, Canadian Bankers Association):

This is obviously an evolving space and our strategy continues to evolve with it.

At the end of the day the banks go through rigorous risk management frameworks to assess the various threats they see.

As my colleague mentioned, one thing we believe we are very good at is detecting cyber-threats. We've contributed to the government's strategy as well. I think one area where we can to do more is information sharing, not only to improve the financial sector itself but beyond the sector.

At the end of the day it comes down to risk mitigation, identifying those areas that need to be dealt with, and assessing and defending against those.

Mr. Michel Picard:

Okay.

I have a choice of two tricky questions.

First, why are banks asking for fees from their customers for additional insurance to protect their personal information from identification theft? I thought that when I was doing business with banks, since I have to give them all of my precious information, they would take care of it without my having to pay more to have the same information protected. Is it because your system does not protect my ID enough? Or is it just a marketing stunt?

Mr. Charles Docherty:

As I mentioned at the outset, banks take their responsibilities to protect the personal information of their clients very seriously. They do provide products and services to their clients to help ensure that their personal information remains safe.

I can't speak to exactly the economic model you're referring to of charging extra for personal identification monitoring specifically. But in some cases if a client wanted there to be more monitoring, then they should have that option to have their personal information monitored more closely. In that case, that is a product or service that a bank may be willing to offer to them.

Mr. Michel Picard:

So, as I understand it, it's safe to say that my personal information is quite safe in any bank in Canada, because they have all the means and tools to protect me.

Mr. Charles Docherty:

Absolutely.

Mr. Michel Picard:

Excellent.

On sharing information, we've talked more and more about open banking. What is your take on that?

Mr. Andrew Ross:

Certainly, we are involved in the consultations the Department of Finance is undertaking in looking at the merits of open banking.

From our perspective the sector supports innovation and competition in financial services. As we have outlined, we need to look not only at the benefits, but also at the risks that are associated with open banking. Cybersecurity is one of those areas. We feel that through the consultation, if we're able as a country to mitigate those risks and the benefits are identified and seen, then we would support open banking.

(1605)

Mr. Michel Picard:

What is the nature of the risks that you have identified in your firm?

Mr. Andrew Ross:

As mentioned earlier, there is the risk of others playing in the financial space that may not have the same resources as a bank. I think that's one.

Generally speaking, I think the more entities you have involved, the more interconnected channels that exist, then the greater the risk of a cyber-threat.

Mr. Michel Picard:

Thank you, gentlemen. [Translation]

The Chair:

Mr. Paul-Hus, you have the floor for seven minutes.

Mr. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, CPC):

Thank you, Mr. Chair.

Good afternoon, gentlemen. Thank you for being here with us.

Banks handle business banking and personal banking. Since I own some businesses, I know that technology like SecureKey is needed to access accounts. Access to a business account is very complex, as compared to accessing a personal account.

My colleague asked this question, but I would like to know whether, from the outside, it is easier to attack a business account than to attack a personal account, or whether it is the same thing. [English]

Mr. Charles Docherty:

Certainly, I believe the risks would be the same. Corporations would necessarily need to have controls in place, as there are more people working within a corporation who might have access to the banking system of the corporation.

Mr. Pierre Paul-Hus:

Do you know what I mean?[Translation]

I'd like to know whether in your opinion the protection of business accounts against cyber-attacks is superior to the protection of personal accounts. [English]

Mr. Charles Docherty:

No, it would be the same standard. Banks take their obligations seriously regardless of the type of entity involved. [Translation]

Mr. Pierre Paul-Hus:

Fine.

Some witnesses told us that in certain countries the disclosure of cyber-attacks is mandatory. Are banks here required to disclose cyber-attacks on their systems to the Government of Canada? [English]

The Chair:

Excuse me, Pierre. We lost translation for about 10 seconds there.

Could you go back and start again, please? Thank you. [Translation]

Mr. Pierre Paul-Hus:

Fine, I'll repeat my question.

Several witnesses mentioned that in some countries banks have to disclose cyber-attacks. Is that the case in Canada? Does the Royal Bank, for instance, have to inform the government within a prescribed time? [English]

Mr. Charles Docherty:

Yes, it would. Banks, like any other organization that's governed under PIPEDA, the federal privacy legislation, are obligated in the event of a breach of their security safeguards to notify the Office of the Privacy Commissioner and any impacted individuals. [Translation]

Mr. Pierre Paul-Hus:

Are the banks reluctant? If, for instance, the Bank of Montreal is subject to an attack, this could affect its reputation. Do you think they are reluctant, or is disclosure automatic, without being called into question? [English]

Mr. Charles Docherty:

They are not wary of disclosing the fact that they've been attacked. It's a statutory obligation. In addition to that, because of the trust that the customers have placed in the bank, they want to make sure their customers are aware in the rare circumstance that there's been a cyber-attack.

Mr. Andrew Ross:

May I add that OSFI also requires banks to report? [Translation]

Mr. Pierre Paul-Hus:

I would now like us to talk about individuals. [English]

The Chair:

We have a problem with translation, and I had better stop the clock or Pierre will get upset.

I'm told that the interpreters' booth has technical problems and that, absent translation, we'll be obliged to suspend, regrettably. It's Pierre's fault that this whole thing has fallen apart.

A voice: I hope you haven't been hacked.

Voices: Oh, oh!

(1610)

Mr. Pierre Paul-Hus:

I won't complain about the official language. I'll ask my question in English as well.

The Chair:

In order for me to proceed, I must have the unanimous consent of the committee to proceed in one official language.

Some hon. members: No.

The Chair: We're suspended.

(1610)

(1620)

The Chair:

Ladies and gentlemen, apparently we've fixed whatever difficulties we had.

We got started about 10 or 15 minutes late and we lost another five minutes with that exercise. This is inevitably going to bump us into our next panel. My thought is that we simply add 15 minutes on to this panel and start the other panel later. Is that acceptable? I believe we still have a vote here, so we're essentially not going anywhere anyways. This might work out.

Are you fine with that, Mr. Motz?

Mr. Glen Motz (Medicine Hat—Cardston—Warner, CPC):

I thought you were buying me supper in-between, so I was a little concerned about that.

The Chair:

Mr. Motz, the day I buy you supper will be....

Some hon. members: Oh, oh!

Mr. Glen Motz:

On your retirement.

The Chair:

Yes.

Mr. Paul-Hus, we'll give you four minutes. [Translation]

Mr. Pierre Paul-Hus:

Thank you, Mr. Chair.

In the brief presented by the Canadian Bankers Association, which you tabled earlier, you spoke about the security of Canada's essential infrastructures: “The banking industry counts on other critical infrastructure sectors such as telecommunications and energy to deliver financial services for Canadians”. This leads me to my next question, which is about critical infrastructures abroad, such as in the United States, Europe or elsewhere in the world.

Do you collaborate and hold discussions with the financial sector representatives of other countries to find out about appropriate techniques, and which entities are responsible for cyber-attacks against their systems? [English]

Mr. Andrew Ross:

Yes, our banks are involved in certain different international groups, one in particular in the U.S. called FS-ISAC, an information-sharing hub created in the U.S. but with a global reach. Our banks are certainly involved in that, as much as we share in Canada, as well. [Translation]

Mr. Pierre Paul-Hus:

Recently, the Americans expressed concerns regarding the infrastructure of telecommunications companies. Do you discuss issues that could arise from the integration of the 5G network in Canada with your American partners? [English]

Mr. Andrew Ross:

From a national security perspective, that's not something we would have a lot of insight about. Certainly, that question would be better asked of the telecom industry. [Translation]

Mr. Pierre Paul-Hus:

I see; but have the Canadian banks that are a part of your network ever expressed concerns with regard to telecommunications and banking information? [English]

Mr. Andrew Ross:

Again, we would rely on the proper diligence being performed from a national security perspective on any telecom provider introduced into Canada. Obviously, whatever telecommunication provider comes into Canada would be required to support more than just the financial sector, so we would really rely on the national security review and the telecom sector. [Translation]

Mr. Pierre Paul-Hus:

With respect to the protection of assets, those of enterprises and those of individuals, can the banks that are members of your association compensate the losses due to fraudulent transactions, attacks or phishing operations? How does that work? First, is it a major problem? Second, do your clients and your banks incur losses? [English]

Mr. Charles Docherty:

There's no problem. Banks, in the rare circumstance of a cyber-attack that results in a financial loss to their clients, will reimburse them.

(1625)

[Translation]

Mr. Pierre Paul-Hus:

I believe there is a $100,000 limit on compensation.

Is there a maximum for insurance, or the bank's liability? [English]

Mr. Charles Docherty:

You may be referring to the CDIC deposit insurance. That's not something related to cyber-threats or cyber-attacks. In terms of a cap for banks, if a fraud has been committed and the clients are not at fault, but the security safeguards have been breached, they will be reimbursed.

Mr. Pierre Paul-Hus:

Would it be 100%?

Mr. Charles Docherty:

Yes, sir: 100%.

Mr. Pierre Paul-Hus:

Okay.

Thank you. [Translation]

The Chair:

Mr. Dubé, you have seven minutes.

Mr. Matthew Dubé (Beloeil—Chambly, NDP):

Thank you Mr. Chair.

Gentlemen, thank you for being here.

I have a question about the banks and the credit card companies. That relationship is more complicated than people realize.

There is a belief that the banks are responsible for several of the steps in a credit card transaction, but in fact, it is the credit card company that is responsible.

The Privacy Commissioner shared concerns about the fact that the credit card company servers are located elsewhere, such as in the United States. The legal protections conferred on clients by citizenship are not necessarily the same. There is also the fact that an ill-intentioned actor could pose additional risks, should the relationship between two countries deteriorate. From that perspective, the servers that contain our data, for instance the ones in the United States, could become a target.

Do the banks that deal with those enterprises have a role to play in this? Can the Government of Canada do anything to protect the data and transactions of Canadians?

According to what I understand, credit card companies are independent from the banks. Nevertheless, the banks deal with those enterprises for certain important aspects of their activities. [English]

Mr. Andrew Ross:

I think it's fair to say that banks and credit card companies are interconnected. The data is shared. Credit card companies have data related to the transaction, but so do the banks. At the end of the day, if it's a Canadian-issued credit card, then obviously banks would be obligated to follow the requirements as set out by Canadian legislation. [Translation]

Mr. Matthew Dubé:

I want to make sure I understood.

Certain obligations are imposed on you. If you do business with the credit card company, whether Visa or Mastercard or another company, the data on clients' credit card transactions are kept on the servers of the credit card company. Does this create a problem with respect to the legal protection offered in countries where the data are kept? Do the same obligations apply? If Visa, for instance, knows about a leak on American servers, is it the Canadian bank that is responsible for that leak? [English]

Mr. Charles Docherty:

I can speak to the fact that banks remain responsible and accountable for the personal information of their clients. When they contract with a third party, let's say, and outsource the processing of data, they are responsible in those circumstances to ensure that the privacy and security safeguards are in place. They would inform their clients that their data was being stored in another jurisdiction and was subject to that jurisdiction's laws.

The important thing to remember is that when they've outsourced their data, it doesn't mean they've outsourced their obligations. Canadians can feel confident and secure that their data is being protected by the banking industry.

Mr. Matthew Dubé:

I just want to make sure I understand that answer correctly. I apologize; I'm not trying to lay out a trap or anything. This is just to try to get a better understanding of this, with data transiting all over the place. That's part of the objective of this study.

Let's say a bank has an agreement with a credit card company and that credit card company is in the United States. We'll assume that the majority of them operate primarily in the States. If their servers are there, per the agreement you have with them, you would then respect your obligations under Canadian law for the bank if something happened in another jurisdiction relating to the credit card company that affected Canadian clients.

(1630)

Mr. Charles Docherty:

If it's an outsourcing arrangement, then yes, definitely. If it's an independent third party, then the laws of the country where the information is being held by that third party may apply.

Mr. Matthew Dubé:

When you say “independent third party”, would that be similar to how we talk about open banking and things such as that?

Mr. Charles Docherty:

Yes, but I want to just reiterate that when it comes to the banks and protecting their clients' information, in the event of a breach of the bank's security safeguards—which would be a rare circumstance—they would comply with Canadian law and take all steps necessary to make their customers whole.

Mr. Matthew Dubé:

If there's a breach at a credit card company that deals with multiple banks, do the banks consider it their responsibility if they have consumers that are affected? Am I understanding that correctly?

Mr. Andrew Ross:

Yes, the banks would hold the customer relationship directly in that circumstance. [Translation]

Mr. Matthew Dubé:

That is fine, thank you.

There's another point I'd like to discuss.

In your presentation, you mentioned that 72% of Canadians use the Internet or mobile applications to do their banking transactions.

One aspect that is brought up frequently concerns wireless networks. You may well have the most secure network in the world, but if software updates on our equipment or our cell phones are not done on time, this may create breaches and cause serious problems with respect to financial transactions.

In the past, your organization has said that we should adopt standards for the products people use to access their data. Could you tell us more? We often hear about the concept of the Internet of Things, an expression I like. It may have consequences on financial transactions. [English]

Mr. Andrew Ross:

When it comes to things such as Wi-Fi, again, that falls under the telecom sector specifically and whatever safeguards they would be required to undertake. Again, Wi-Fi would affect things beyond financial services and financial transactions. That said, we've been very vocal in terms of sharing information with our customers. It comes back to educating customers in terms of where they should and should not perform financial transactions. We continue to share that message with them. Public awareness is one area where we would certainly encourage the government to do more, so that again, Canadians can feel safe in whatever type of transaction they are doing through Wi-Fi, financial or otherwise.

The Chair:

Thank you, Mr. Dubé.

Madam Sahota, for seven minutes, please.

Ms. Ruby Sahota (Brampton North, Lib.):

I'd like to start by saying to the Canadian Bankers Association that so far this committee has heard only really great things about the effectiveness of the banks in the area of cybersecurity. Most witnesses have told us that the banks are basically leading the way.

I'm very curious about how much of an investment this has been for the banks, how you work with other banks overseas and what partnerships you have. You mentioned in your introduction that you think it's important for the government to invest in academia—I believe you were saying to establish a cybersecurity curriculum and to invest in that area.

Have you already been doing that on the private side as well? If so, can you elaborate on what institutions you've been working with and where your cybersecurity experts train and upgrade and get their skills?

There's a whole bunch of questions in there, I know, but you can tackle them one by one.

Mr. Charles Docherty:

I'll speak to some of that, certainly.

In terms of skills development, the banks are heavy investors in hackathons and these types of events that are aimed at promoting cyber-skills within Canada.

Andrew, is there anything you'd like to add?

(1635)

Mr. Andrew Ross:

Certainly, the banks are fortunate to have the resources to put against cybersecurity risks. As we mentioned in our remarks, trust is at the forefront of everything we do in banking, so we need to invest significantly in cyber. We do a number of things in the private sector. We mentioned our own CBA cybersecurity summit, where we have a thousand security experts from the various banks come in for a one-day session. As well, many of the banks have invested in partnerships with universities across the country and around the world.

Ms. Ruby Sahota:

What universities are leading the way in this area?

Mr. Andrew Ross:

There are a number of them. Waterloo is one, with quantum computing. We also see a lot of work being done out west. New Brunswick has had a significant focus on cybersecurity. There are various hubs that continue to pop up. Obviously, Canadian banks want to support it. We do think there is a good story in Canada; we're starting from a good place. But there is a worldwide shortage, and we see a continued shortage of cybersecurity expertise. It's important to get it into the everyday psyche of Canadians, which is why we suggested starting with public school education and getting people thinking about cybersecurity as a first order of business.

Mr. Charles Docherty:

In terms of specific examples of investment, our members have funded cybersecurity labs at the University of Waterloo. Members have invested internationally, including in Ben-Gurion University in Israel, which is a globally renowned cybersecurity hub. Another member has a strategic alliance with the Israeli bank, Leumi, and the National Australia Bank to collaborate in areas of digital banking, financial technology and cybersecurity. We've got a few examples of investment both with Canadian institutions and abroad.

Ms. Ruby Sahota:

Where do your members hire professionals in-house? Are they able to find people in Canada or are they hiring from overseas? If so, where?

Mr. Charles Docherty:

They're not restricted in whom they hire. Certainly there is a global shortage of cyber-skills out there, so they're looking in every country to try to find cyber-talent to protect the personal information of the clients we serve.

Ms. Ruby Sahota:

Have there been repercussions in terms of fines, or has it been just in the interest of public security and in the interest of keeping business going? What has motivated the banks to be leading the way in cybersecurity?

Mr. Andrew Ross:

I think it's maintaining the trust that Canadians have come to expect from the banking sector. I think it's the whole financial stability of the economy in general.

We've been very vocal in our interest in sharing our knowledge with other sectors. We mentioned in our earlier remarks that the banks are strong supporters of the Canadian Cyber Threat Exchange. This will essentially allow the banks, which are very good at detecting cyber-incidents, to share with others who may not be as capable.

Ms. Ruby Sahota:

How much time do I have?

The Chair:

A little less than two minutes.

Ms. Ruby Sahota:

Okay.

Recently there was some news about a digital currency company called Quadriga. I was wondering if you've heard a little about that. After the owner died they discovered that the digital currency that people had invested in was completely empty. Apparently they were called “wallets” or something—it's like a Bitcoin, I guess.

How do you feel about the current regulations these companies operate within versus the regulations the banking industry is required to operate within? Do you have any comments on that?

(1640)

Mr. Andrew Ross:

As far as I'm aware, the government is looking at some cryptocurrency legislation. Those entities currently fall outside the financial sector, or at least the requirements and regulations under which banks operate.

Ms. Ruby Sahota:

I know the government is looking at it. Do you have any suggestions or opinions as to how these companies can be regulated so they can better protect the digital currency they're involved with?

Mr. Andrew Ross:

My only general comment would be that, as we move into a digital world, these sectors that continue to move into that space need to make sure they have the proper oversight to ensure that things like cybersecurity provisions are established.

The Chair:

Mr. Motz, you have five minutes.

Mr. Glen Motz:

Thank you, Chair.

Thank you for being here.

You indicated earlier that education is a big component of improving cybersecurity and the cyber-frauds that are perpetrated. Do your banks support any specific organizations that work on improving education or best practices for your consumers, or for Canadians at large?

Mr. Charles Docherty:

Certainly the Canadian Bankers Association supports initiatives aimed at financial literacy. Part of that education relates to not falling for fraud scams and those sorts of things. We also have information on our website. It's Fraud Prevention Month right now so we're certainly involved in that.

I know we're heavy contributors to the Canadian Cyber Threat Exchange, so we're sharing information about cyber-threats.

Mr. Andrew Ross:

We also partner with Public Safety on Cyber Security Awareness Month.

Mr. Glen Motz:

Okay.

When this study was initiated, my colleague Michel Picard wanted us to focus on the.... When we talked about cybersecurity, we said we wanted to focus on the economic impacts on Canadians and on the financial end of this from a cybersecurity perspective. From many of the witnesses we've had to date, we've heard, almost exclusively, technical information about how it happens and some of the vulnerabilities that exist in our Internet and infrastructure.

I guess from a Canadian consumer perspective, from the Canadian public's perspective, there has to be, from both of your organizations, a perspective on how we can leverage this whole study, if you will, or the whole concept of cybersecurity to reduce the risk of identity theft for Canadian consumers. We all know that data's the biggest theft commodity on the black market, on the dark web. Obviously, then, that leads into financial gain.

With that in mind, what things do you see that we as a committee can do or recommend to ensure that the Canadian public is.... I know they play a role in their own vulnerabilities—we get that—but from a government perspective, what can be done to try to mitigate that risk?

Mr. Andrew Ross:

To me it comes down to public awareness. If the government is able, and the financial sector is willing to work with government, to spread the word, at the end of the day, we do our best within the sector to share with our customers the vulnerabilities that exist. We need to recognize that there are a lot of vulnerabilities beyond the financial sector. If we as Canadian companies across sectors and with the public sector can get the message out on the risks that exist, that, to me, would be the number one step.

Mr. Glen Motz:

That said, if companies on either side, chamber members or banking companies, identify a vulnerability in their own systems, are they prone to having that reported or would they try to cover it up? If we're talking about protecting Canadians, there's a line, and we have to make sure that we're all in the same boat together and try to fix a vulnerability. What are you seeing industries and businesses doing to deal with their own vulnerabilities in order to protect Canadians?

(1645)

Mr. Scott Smith:

If you don't mind, I might like to tackle this one. CCTX, the Canadian Cyber Threat Exchange, was mentioned a couple of times. It's a group of businesses that have gathered together under one umbrella to share information about vulnerabilities.

Maybe we want to just focus on the language here for a second. There's a big difference between a vulnerability and a breach. A vulnerability means there's a back door open somewhere and I don't know about it. There may be a threat existing on my network, but that doesn't necessarily mean there's been a breach or any significant harm from a breach. It means there's a hole I need to close up. Sharing of information is important. That's happening with a group of large businesses right now, like the banks and the insurance companies and some of the telecom companies. They're sharing information right now. What's happening is that it's not making it out to the large majority of businesses out there, which don't have a concept of what some of those threats are. I think that's the hurdle government could help cross, by getting some of that information out to those small businesses.

I know that at the CCTX they're looking for ways to engage small businesses—they've certainly come to us, and we're trying to find ways to help them do that—and to get that information out to the business community, beyond just the major banks, the telecom companies and the major transportation companies, which are all doing an excellent job right now of protecting Canadians.

The Chair:

Thank you, Mr. Motz. That does bring our questioning to a close, unfortunately.

We are going to have Mr. David Masson in the next panel. In his paper he argues that industries are currently more at risk than they imagine. He says that at Fortune 500 companies, his own company has detected 80% of the time a cyber-threat or a vulnerability the Fortune 500 company didn't know about, whether dormant malware, a misconfigured network, or so on. In smaller companies the risk went up to 95%.

Mr. Smith, what would you say to Mr. Masson? He's sitting back there, right behind you.

Mr. Scott Smith:

I'd say he's probably right on the smaller companies. I think the average number of days that a threat exists on a network before it's discovered is 271 days. That's probably less true of larger organizations. Honestly, I couldn't tell you what that number is. There are a number of different surveys that scatter about on what that numbers is, but it's bigger than it should be.

The Chair:

With that, I unfortunately have to bring this panel to a close.

We'll suspend for a couple of minutes while we re-empanel.

Thank you.

(1645)

(1650)



The Chair: Ladies and gentlemen, the meeting is back on.

We have with us Professor Andrew Clement by video conference from Salt Spring Island, British Columbia.

You're in a better place, Professor.

We also have with us Mr. David Masson.

Given that we've had some technical difficulties today with various things, I think we should probably go with Professor Clement first so that we don't have any potential technical difficulties.

Professor Andrew Clement (Professor Emeritus, Faculty of Information, University of Toronto, As an Individual):

I thank the committee for this opportunity to contribute to your important deliberations on cybersecurity in the financial sector as a national economic security issue.

l'm pleased to respond to your invitation requesting insights into the context of critical infrastructure, internet routing, routing of data and communications technologies.

ln previous hearings you've heard many valuable points, notably that Internet infrastructure is critical infrastructure not just for the financial sector but for the Canadian economy more generally; that this infrastructure is changing quickly in ways that are risky and not generally transparent or well understood; that threats to security of this infrastructure are multi-faceted, complex and growing.

ln addressing these risks, I particularly endorse Professor Leuprecht's earlier recommendation: that Canada should pursue a sovereign data localization strategy, reinforced by legislative and tax incentives to require critical data to be retained only in Canadian jurisdictions; set clear standards and expectations for the resilience of Canadian communication infrastructure; monitor that resilience; and impose penalties on critical communication infrastructure players who fail to adhere to standards or fail to make adjustments without which they would be left vulnerable.

I will elaborate on this recommendation made in the context of 5G networks, but will apply it to reducing the threats posed by excessive volumes of Canadians' domestic data communications, including financial data, flowing outside of Canada even when headed for Canadian destinations. These flows add a host of unnecessary cybersecurity risks while undermining Canadian economic security more generally.

To be sovereign economically and politically a nation must exercise effective control over its Internet infrastructure, ensuring that critical components remain within its territory, under its legal jurisdiction and operated in the public interest. Most obviously, this refers to locating databases. Less obviously, though no less critical, are the routes data takes between databases, users and processing centres. This latter area of vital concern is much less well understood and the one to which I direct my comments.

I'm Andrew Clement, a professor emeritus in the Faculty of Information at the University of Toronto. Beginning in the 1960s, l was trained as a computer scientist, so l've seen a lot of remarkable changes, good and bad, in the digital infrastructure that is now an essential part of our daily lives. Much of my academic life has focused on trying to understand the societal and policy implications of computerization. I co-founded the cross-disciplinary ldentity, Privacy and Security lnstitute to address in a practical, holistic, manner some of the thorniest issues raised by the digitization of everyday life. Currently l'm a member of the digital strategy advisory panel advising Waterfront Toronto on its smart city project with Sidewalk Labs.

One of my main research pursuits has been to map Internet communication routes to reveal where data travels and the risks it faces along the way. My research team developed a tool, called IXmaps, short for Internet Exchange mapping, that enables internet users to view the routes their data follows when accessing websites.

Early in our research we generated a trace route, found on the first image, called Boomerang, which shows the data path between my office at the University of Toronto and the website of the Ontario student assistance program that is hosted in the provincial government complex a short walk away.

This route surprised us, especially since the route to and from the U.S. went through the same building in Toronto, Canada's largest Internet exchange, at 151 Front Street. At the very least it challenged presumptions of maximal efficiency of Internet routing, prompting our further investigations into how widespread this phenomenon was as well as into the reasons for this counterintuitive behaviour. We dubbed this type of path—data leaving Canada before returning—“boomerang” routing. It turns out to be quite common. We estimate at least 25% of Canadian domestic traffic boomerangs to the U.S. The Canadian Internet Registration Authority, CIRA, recently put the figure much higher.

There are several problems related to Internet routing that are relevant to this committee.

The longer route adds risk from physical threats, even as banal as a backhoe cutting through the fibre optic cable. The extra distance adds both expense and latency, undermining economic efficiency and opportunity.

(1655)



Data passing through major switching centres faces bulk interception by the United States National Security Agency, the NSA. Even before the Snowden revelations, we knew that New York and Chicago were prime sites for NSA surveillance operations. It not only poses risks for Canadians' personal privacy, but also for financial and other critical institutions. At your latest meeting, Dr. Parsons pointed you to a Globe and Mail report that the NSA was monitoring the Royal Bank of Canada and Rogers' private networks, to mention only those beginning with the letter R. The article suggested that the NSA's activities could be a preliminary investigative step in broader efforts to “'exploit' organizations' internal communication networks”.

Boomerang poses a further, more general threat to national sovereignty. If one country depends on another for its critical cyber-infrastructure, as Canada does with the U.S., it makes itself vulnerable in multiple respects—and not just from their spy agencies or to shifts in the political relationship, as we're seeing now. Will even the best ally keep the interests of its friends in the fore, when its own critical infrastructure is threatened? If the U.S. experiences a cyber-attack, might it not feel compelled to shut down its external connections, leaving Canada high and dry? Previously, you've heard that some see Canada as a softer target than the U.S. and, hence, potentially, as an entry route into the U.S. At some point, might the U.S. see Canada as a source of threat and disconnect us?

So far I've focused on the risks from routing Canadian domestic traffic through the U.S. A similar argument applies to Canada's communications with third countries, but even more so. Our mapping data suggests that approximately 80% of Canadian internet communications with countries other than the U.S. pass physically through the U.S. This is related to the relative lack of transoceanic fibre cabling that lands on Canadian shores, as shown clearly in the maps produced by the authoritative TeleGeography mapping service. You can see the slides, I hope.

Only three transatlantic fibre cables land on our eastern coast, compared with much greater capacity south of the border. Most of our traffic with Europe goes via the U.S. Remarkably, on our west coast there are no trans-Pacific cables, so all traffic with Asia transits the U.S. One way of assessing how well banks can withstand severer financial downturns is subjecting them to stress tests. What would a stress test of Canada's cyber-infrastructure reveal? If, for whatever reason, our connection with the U.S. was cut, even in its own legitimate self-defence, how resilient would Canada's Internet prove to be? We should know the answer, but we don't. However, the evidence available suggests very poorly.

What should we do about this? Broadly speaking, the appropriate policy response, as mentioned, is to pursue a strategy of “sovereign data localization” that includes data routing. More concretely, this would involve a coordinated set of technical, regulatory and legislative measures designed to achieve greater resilience.

First, we should require that all sensitive and critical Canadian domestic data be stored, routed and processed within Canada. Second, we should support the development and use of Canada's Internet exchange points for direct inter-network data exchange to avoid U.S. routing. CIRA has lead the way on this. Third, we should increase fibreoptic capacity as needed within Canada, as well as between Canada and other continents. Fourth, we should include transparency and accountability reporting requirements in cybersecurity standards for financial institutions and telecom providers, in relation to routing practices. Fifth, we should establish a Canadian cyber-infrastructure observatory, with responsibility for monitoring Canadian cyber-infrastructure performance and resilience, responding to research requests and reporting publicly.

Thank you for your attention and I look forward to your questions.

(1700)

The Chair:

Thank you, Professor Clement.

Mr. Masson, you have 10 minutes, please.

Mr. David Masson (Director, Enterprise Security, Darktrace):

For the sake of brevity, I won't read it all because I believe you've all got a copy on your desk.

Good afternoon, Mr. Chair, members of the committee and ladies and gentlemen. My name is David Masson, and I'm the country manager for Canada of Darktrace, a cybersecurity company.

We are the world's leading AI company for cyber-defence. We have thousands of customers worldwide, and our self-learning AI can defend the entire digital estate that people have. We've more than 800 employees—actually, it's 900 now—and 40 offices worldwide, and here in Canada we have three offices.

Prior to joining Darktrace and establishing the company in Canada in 2016, it was my immense privilege and honour, as an immigrant to Canada, to serve my country at Public Safety Canada for several years. Prior to that, I had worked inside the United Kingdom's national security and intelligence machinery, and had done so since the Cold War. I've been a witness, as the previous witness just said, to cyber's evolution over time, from before the Internet to its current mass prevalence and ubiquity in our society today.

In earlier meetings of this committee, I think you heard an awful lot about the scale and size of the cyber-threat that exists in this country, so I'm going to focus on three things. First I plan to share with you some reasons why cybersecurity poses a seemingly insurmountable challenge, and I'll dive into some specific threats. I'll close by offering some suggestions and solutions to these issues.

What we're seeing at Darktrace is that most organizations, unfortunately, aren't as secure as they think they are. When we install our artificial intelligence software in the networks of a Fortune 500 company—sir, you mentioned this earlier—80% of the time we detect a cyber-threat or vulnerability that the company simply did not know about. Outside of the Fortune 500, when we look at smaller businesses, this percentage of companies compromised in some way jumps up to 95%, so that's pretty much all the time.

These statistics highlight two things. First and foremost, obviously, no organization is perfect or immune. Organizations of every size and every industry not only are vulnerable to cyber attacks but are currently more at risk than they imagine. Successful attacks against some of the biggest companies in recent years have revealed that something isn't working. Even Fortune 500 companies, which have budgets, resources and staff to deal with cyber-threats, are still found wanting.

Second, this raises the question: Why are so many companies and organizations unaware they are under attack or vulnerable? The legacy approach that businesses have previously taken to cybersecurity does not work in the face of today's threat landscape and increasingly complex business environments.

In brackets, it's not just the cyber-threat that we're facing. It's actually just business complexity that's bamboozling people.

In the past, companies were focused on securing their networks from the outside in, hardening their perimeter with firewalls and end-point security solutions. Today, migration to the cloud and the rapid adoption of the Internet of things has made securing the perimeter nearly impossible. Another traditional approach, known as rules and signatures, relied on searching for known bad. However, attackers evolve constantly, and this technique fails to detect novel and targeted attacks. Most importantly, these historical approaches fail to provide businesses with visibility and awareness into what is taking place on their networks, making it hard, if not impossible, to identify threats already on the inside.

I'll now look at two potential types of attack that have far-reaching impacts.

Attacks against critical national infrastructure are increasing around the world. When one mentions critical infrastructure, people commonly think of power grids, energy and utilities, companies, dams, transportation, ports, airports, roads. However, Canada's financial sector, the purpose of this committee, the big banks, etc., are also part of a nation's critical infrastructure. Just as roads connect our country physically, these organizations connect the national economy. A successful cyber-attack against these core institutions could dramatically disrupt the rhythms of commerce. The security of financial institutions should be discussed in the same breath and with the same severity as the security of our power grids.

Another type of attack that's more common in recent years is trust attacks. These attacks are not waged for financial gain. As a company, we haven't been able to work out what the financial gain of these attacks is. Instead, they're waged to compromise data and data integrity. Imagine an attacker is looking to target an oil and gas company. One tactic would be just to shut down an oil rig, but another more insidious type of attack would be to target the seismic data used to identify new locations to drill. Effectively, what they do is they get the company to drill in the wrong place.

I also want to touch briefly on what we at Darktrace think we can expect from the future of cyber-attacks. We use artificial intelligence to protect networks, but as artificial intelligence becomes ubiquitous in seemingly every industry, it is falling into the hands of malicious actors as well. Although there's some debate as to when exactly we'll see AI-driven attacks, we think it might be this year, but others think 2020 or 2025. They're something that we will no doubt have to contend with in the near future.

(1705)



Darktrace has already detected attacks so advanced that they can blend into the everyday activity of a company's network and slip under the radar of most security tools.

Up until now, highly targeted advanced attacks could only be carried out by nation-states or very well-resourced criminal organizations. Artificial intelligence lowers the bar of entry for these kinds of attacks, allowing less-skilled actors to carry them out. AI is able to learn about its target environment, mimic normal machine behaviours and even impersonate trusted people within organizations.

Companies will soon be faced with advanced threats on an unprecedented scale. We think it's critical that companies and government—both in Canada and around the world—consider what this will mean and what steps need to be taken to ensure that they can defend against AI-driven attacks.

As this committee and the broader industry looks for answers and solutions, I want to propose a few.

In October 2018, (ISC)2 announced that the shortage of cybersecurity professionals around the globe had soared to three million. I saw this figured repeated again this morning on LinkedIn. Roughly 500,000 of these unfilled positions are located in North America. In Canada, I think we're seeing 8,000, but I suspect it's more. This shortage is only expected to increase. Businesses are struggling to hire professionals. Those individuals they can hire are struggling to keep up.

Threats are moving at machine speeds now. In the time that an analyst steps away to grab cup of coffee, ransomware can enter a network and encrypt thousands of files. Beyond these machine-speed attacks, analysts are faced with a deluge of alerts around supposed threats that they need to investigate, handle and remediate. We need to find a way to lighten the burden for cybersecurity professionals, expand the field of potential candidates by hiring more diversely, and arm them with the technology and tools to succeed.

I'll skip the next two paragraphs.

Collaboration between the private and public sector will also be key to solving the challenges we face. The previous witnesses spoke to some of that. Governments around the world collect a wealth of information on adversaries' attacks and attack techniques. Although certain limitations about what governments can share is understandable and necessary, I'd urge the Canadian government and the intelligence community to share what information they can with corporations. Information is an asset. If companies understand the attacks they are facing, they can better defend against them. The Canadian economy is better ensured from the impacts of these cyber attacks.

On the other hand, it's critical that private companies like mine share insights and lessons-learned with the government. The private sector's ability to pivot quickly and trial new technologies make it in some ways a testing ground for new cybersecurity technologies and techniques. Through discussions around what's working and what isn't, the government can learn what's necessary for companies to succeed, compile and disseminate this information—perhaps through CCTX, which I know has been mentioned several times—and help entire industries quickly improve their security practices.

I want to close with a call for innovation. Attackers are constantly coming up with new ways to infiltrate networks, attack businesses and wreak havoc. It's critical that we, the defenders, are innovative as well. Whether this be by developing novel technologies, adopting cutting-edge techniques or enacting new regulation, creative thinking and collaboration are going to be the key. At the end of the day, it's not just about keeping up with attackers, but getting one step in front of them.

I look forward to your questions.

Thank you.

(1710)

The Chair:

Thank you so much, both of you, for your presentations.

With that, we'll go to Ms. Sahota for seven minutes, please.

Ms. Ruby Sahota:

Thank you for both of your presentations. They were very insightful.

Recently the Diplomat & International Canada magazine published a survey in which sources said they were concerned about their online privacy. Their top concern was cybercriminals; the second was Internet companies themselves attacking their privacy.

Do you think that companies, especially social media companies and any that you probably have as clients, could be doing more, not only to ensure that their users' data is protected but also to ensure that users have a sense of protection? From your presentation, it seems like things are very grim. With all of the technology we're using, everything is in the cloud now. It seems like it's more unsafe than ever.

Where do we go from here? I know you've proposed a couple of solutions. In terms of innovation and investment by the government, you talked about exchanging information between the private sector and the government. How do you think a government can spur innovation?

You mentioned regulations as well. How do you think they can regulate it? Is there something we can do? Is there a jurisdiction that's doing it better than us at this point? What lessons should we learn from them?

Mr. David Masson:

Those are a lot of questions.

On the social media bit, can I ask the professor to step in first? I think his take will be slightly more interesting than mine.

Prof. Andrew Clement:

Well, I don't know about that, but yes, there has been a great deal of press recently about the role that social media companies play, particularly Google and Facebook, because of their business model, which requires the monetization of personal information and the communications between individuals.

I would say that they in particular need to be subject to much greater regulation and we need to understand much better what they are doing. This is a moment, particularly in the case of Facebook, when this can be pressed because we are learning almost daily about the behind-the-scenes work they have been doing of resisting oversight, and also of how they are trying to monetize this. That would be one place to start, with the largest of those.

Ms. Ruby Sahota:

Is any jurisdiction ahead of us in regulating these companies?

Prof. Andrew Clement:

Well, certainly Europe is, with their recent GDPR, the General Data Protection Regulation, which I believe you've heard about and that imposes stiff penalties. They have fined some of these companies for various offences. I would look to Europe as not necessarily being ideal, but they are doing a much better job in grappling with this than Canada or the United States.

Ms. Ruby Sahota:

They are definitely imposing major fines. Do you have an data on the effectiveness of creating regulations that impose fines? Has there been an increase in the number of companies stepping up and increasing their security when it comes to—

Mr. David Masson:

I will give you a quick example of GDPR working. When Facebook got hacked last year, they told the Irish data commissioner within 24 hours that they had been hacked, and the provision under the GDPR is 72 hours. They didn't hang about. They admitted it pretty damn quick. So there you go: It's that's an effective piece of legislation, I would suggest.

Ms. Ruby Sahota:

Yes.

Did you want to say something.

Prof. Andrew Clement:

Oh, I would just say that these are still early days for the GDPR. It only came into effect in May last year. It certainly got people's attention. I don't think there has been time to study its effectiveness, but I would say that the signs are good that it is beginning to grapple with the issues. Canada faces the challenge of determining whether its own privacy legislation, PIPEDA, will be considered substantially equivalent to the GDPR. Hopefully, PIPEDA will be strengthened so that an equivalency determination can be maintained.

(1715)

Mr. David Masson:

I go to a lot of conferences and trade shows, and for the last couple of years everybody has been talking about the GDPR. As a new immigrant to Canada, I was a bit upset that nobody seemed to be concerned about the Digital Privacy Act and the upgrade to PIPEDA that we were going to do. People were more worried about the effect of GDPR than our own legislation. They are probably right to have been worried because the GDPR is more draconian than ours, I believe.

In ours, you don't have to report by a specific time other than “as soon as possible, please”. There was talk of fines of up to $100,000, but I haven't actually seen it actually saying what you have to pay. At the end of day, it's about breaches of personal information; it's not about breaches in general, whereas GDPR, I think, covers both of them.

Ms. Ruby Sahota:

Okay, thank you.

Do I have another minute?

The Chair:

You have a little more than a minute.

Ms. Ruby Sahota:

Okay, perfect.

A lot of this work comes down to money and how much the government has to spend on making investments in the right place. We definitely put a lot of money towards cybersecurity in our last budget, over $500 million, so it's definitely a step in the right direction the government is taking.

Where would you like to see the funds spent, and if there is more funding needed, where should that funding go?

Mr. David Masson:

I think one of the best steps in the right direction was absolutely setting up the Canadian Centre for Cyber Security as a one-stop shop, because prior to that, there was a bit of confusion about whom to talk to. I mean, if anybody gets hacked, whom do you call? Nobody is really sure about that. That's not a great place to be.

They probably want to put some more money into considering some more regulation. History shows that large conglomerations never do anything until they are forced to, but I've shown you that Facebook certainly jumped to it with GDPR when they got hacked, so you probably want to look into that. In addition, you probably want to look into some more legislation to stop foreign influence in elections, looking at fake news and foreign influence activity. That's actually in there. You probably want to do a bit more on that front.

The Chair:

We'll have to leave it there, unfortunately. Ms. Sahota's time is up.[Translation]

Mr. Paul-Hus, you have the floor for seven minutes.

Mr. Pierre Paul-Hus:

Thank you, Mr. Chair.

My colleague's question is in keeping with my approach to this matter.

You mentioned that Canadians always say “please”. I think that we Canadians are very naive when it comes to cybersecurity. We always think it is someone else's problem, or we don't dare act.

Mr. Masson, regarding Canada's general stance on cybersecurity, without mentioning artificial intelligence and future issues, do you think we are seriously behind with regard to protection?

Our current study is about banks and the financial system. On a scale of one to ten, how would you rate the vulnerability of our banking system? [English]

Mr. David Masson:

I'll go first, Professor, but I'll be very quick.

A lot of effort in Canada goes into what we'll do after it happens. We'll wait until it happens and then we'll deal with it. A lot of effort goes into dealing with it afterwards. I really would like to see Canada put more effort into not having the hack in the first place, into making sure it doesn't happen, or into doing our best to make sure it doesn't happen. A lot more effort could be done that way.

In terms of the banking system, outside of government there's not a lot of information about the scale of the threat we face in Canada. Inside government, where I used to be, there's a lot. I'm sure you've heard talk about the millions of hacks at the government, but outside of government we don't really know. With the DPA coming out last week, with the provisions for reporting breaches of privacy through cyber-activity to the Office of the Privacy Commissioner, we probably have a chance now to get a better evaluation of what the scale of the threat is outside of government. I'm not entirely sure if the Office of the Privacy Commissioner is the right place for that, to do evaluations, but that's where it will be that they will gain that information.

To give you a scale of one to 10 on the banks, who pretty much keep to themselves—albeit I'm sure they're very open with the Bank of Canada—I'd be swimming it to come up with an assessment for the banks, to be honest with you. I'm going to say that they're probably better than most western liberal democracies that we live in. The fact is that Canada has a history of fairly good regulation of the financial system, which is why Canada didn't suffer the way everybody else did in 2008. They were still buffeted by it afterwards, but they came out reasonably okay. So I would go for about a seven or an eight. There you go.

(1720)

[Translation]

Mr. Pierre Paul-Hus:

I'd like to go back to the matter of attitude. As you confirmed, it's important today to understand the Canadian attitude to the problem. Do you think it is important to put out the message that we have to have a firm attitude?

You worked for another government in the past and you now work in the private sector. I know that people who worked for the government and are now in the private sector have a very different view of the issues. People who came to meet with us from HackerOne, for instance, or other enterprises, have a clear vision of things.

From a governmental perspective, there are always obstacles, and people only talk about investment. It is true that investment is important, but should our attitude to the problem be very different, starting now? [English]

Mr. David Masson:

Yes; I will say yes. I mean, you need a carrot and a stick, but you probably do need a bigger stick. The DPA is saying that you have to report breaches as soon as possible. Really? Why not go for the 72 hours like everybody else? Yes, definitely you could beef up the stick part; absolutely.

For a carrot in terms of investment, replying to something that Ms. Sahota said earlier, it would certainly be directing your investment into those parts of the Canadian private sector, but probably more academia, that are doing some really innovative work right now in combatting this problem and allowing the private sector, who, as I said before, can pivot quite quickly, to fail forward and fail fast. We do that all the time. We're not bothered about it; you know, failure's success. Put that investment in those companies who are prepared to do that to try to get to where we need to be as quickly as possible.

The professor might have a comment on that.

Mr. Pierre Paul-Hus:

I have another question for him, if I may.[Translation]

Mr. Clement, you wrote an article entitled “Addressing mass state surveillance through transparency and network sovereignty, within a framework of international human rights law—a Canadian perspective”, which was published in a special issue of the Chinese Journal of Journalism and Communication Studies. I'd like to know how that article was received in China. [English]

Prof. Andrew Clement:

That's an interesting question. I can't really speak to that specifically. I was invited to an Internet governance session in Beijing, and I've been writing about network sovereignty for some time, but I was also aware in going to China that Chairman Xi Jinping used the term “network sovereignty” in a very, very different sense about Chinese Internet infrastructure.

I took pains to make it clear that the sovereignty needed to be understood within an international framework of human rights, and that's what I developed in that. My presentation was very well received by some of the people in the audience. I got compliments for it, and the editors were keen to have it published in the journal that came out of it, but it was published in Chinese, and, unfortunately, I have not heard anything further from them.

I don't know if it was met with stony silence, or whether people are quietly appreciating it, which is what I hope. Thank you for finding that paper.

(1725)

The Chair:

Thank you, Mr. Paul-Hus.

Mr. Dubé, you have seven minutes, please.

Mr. Matthew Dubé:

Thank you, both, for being here.

Mr. Masson, sticking with machine learning and AI.... In this study, we've looked a lot at the implications of non-state actors—people trying to steal money, and things of that nature. It's a very abstract idea, but I'm just wondering where your thoughts are on the uses of AI by state actors. In other words, we've clearly delineated what the boundaries are for use of force and, for example, when there's a conflict between countries, what a war crime is, and things like that. Unless I'm mistaken, I don't think that delineation is quite as clear when it comes to attacking critical infrastructure, particularly if we're using this kind of machine.

I'm just wondering—and this question is kind of open-ended—what your thoughts are on how state actors are deploying this and what kinds of concerns there could be in the financial sector, or others that could potentially be affected, where those rules of engagement don't necessarily exist yet.

Mr. David Masson:

I used to be a British diplomat. I remember 12 or 14 years ago having it explained to me that a cyber-attack by a nation state or another state was an act of war. However, ever since then, it seems to have become a very, very grey issue. I was at a conference the other week where it cropped up again, and nobody could actually define at what point you reach that stage. Maybe it's because a lot of the time it's been easier, particularly for western democracies, to just ignore that issue, for obvious reasons.

State actors are investing heavily in AI because everybody is investing heavily in AI. The witnesses who were here before invest a lot in AI for their banking systems. This isn't about cybersecurity or cyber-attacks. They're just using AI because AI can do so much more so much more quickly and so much more accurately.

We use AI because we are saying that human beings can't keep up with the scale of this threat, so we use AI to do all the heavy lifting for human beings. It's a bit of a myth to say that AI is going to replace people. That is not the case. There is no broad AI [Editor—Inaudible]. That doesn't exist.

What you see at the moment is AI being used for specific purposes for specific tools in specific areas. We use it for cybersecurity, but the bad guys—and I'm happy to say “bad guys” because we get stuck with the Internet of things—are going to use it because it's going to make things easier for them. In my statement, I pointed out how some of the nation state attacks that we used to see, such as the attack against Sony—a lot of resources went into that—or some of the attacks we've seen in Ukraine, need people, time, money and effort. However, if you use AI to do that, you need less money, time and effort, and, as I say, it will lower the bar for entry to these kinds of attacks.

When we see the first AI attack—we, as a company, think it might be this year; we've been seeing hints of it for quite a few years, but it could be later on—many of the current techniques and systems that are used for protecting networks from cyber-threats will become redundant overnight. That will happen very, very quickly.

Some state-threat actors and others are using AI in the foreign influence field, in the misinformation campaigns that go on. There's a lot of stuff about that. You may have noticed that some of the media platforms have been heavily criticized following the horrendous attacks in New Zealand because they didn't do anything about it quickly enough. But now, if you use AI—we can do it now—you can construct a lie at scale and at speed. It doesn't matter how palpably untrue it is. When you do that, that sort of quantity develops a quality all of it's own, and people will believe it. That's why bad guys are going to start investing in AI.

Mr. Matthew Dubé:

So, my question becomes this: If we look at Bill C-59, for example, where you're giving CSE defensive and offensive capabilities—and part of that is proactively shutting down malware that might be...or an IP, or things like that—is there concern about escalation and where the line is drawn?

Part of this study.... The problem is that we're all lay people, or most of us anyway—I won't speak for all—when it comes to these things. My understanding of AI—because I've heard that, too—is that it's not what we think of it as being from popular culture. Does that mean that if, due to employing AI to use some of these capabilities that the law has conferred on different agencies, AI is continuing...? How much human involvement is there in the adjustments? If that line is so blurry as to what the rules of engagement are, is there concern that AI is learning how to shut something down, that the consequences can be graver than they were initially, but the system is sort of evolving on its own? I don't want to get lost. I don't know what the proper jargon is there, but....

(1730)

Mr. David Masson:

It's already the case that some attacks that large actors carry out might be targeted against a particular target, but they don't consider collateral damage. There was an attack a few years called NotPetya. It targeted Ukraine, but it spread worldwide and caused havoc absolutely everywhere.

With regard to the way that people are using AI now—when I talk about narrow AI, that is specific tools for specific occasions—if your concern is that they'll launch an AI attack and it will develop a mind of its own and do its own thing, that's not the case. This is the kind of AI where there's still a pilot in the cockpit. There are still human beings running it and deciding to let it loose. You're still going to get collateral damage, particularly if it's unregulated state actors that are doing it—

Mr. Matthew Dubé:

If I may, because my time is running out....

My intention was less about humans losing control and that caricature of it, and more just wondering about if they're learning the best pathways to be on the offensive, for example.

Mr. David Masson:

Any offensive that a country like Canada is likely to have will have been thought through very carefully. It's not just a case of being able to judge the impact you're going to have; that's absolutely what they'll be doing before they launch this.

Mr. Matthew Dubé:

The pathways you're perhaps unintentionally shutting off aren't at random.

Mr. David Masson:

You will have to be absolutely accurate on what they're going to do.

The Chair:

You unfortunately have about 20 seconds. You can save it for the final round. Thank you.

Mr. Graham, welcome to the committee. Bear in mind the translators are trying to translate whatever language you're speaking.

Mr. David de Burgh Graham (Laurentides—Labelle, Lib.):

If they can encrypt me in real time, we'll be all set.

I have a lot of questions, so I'll ask you to keep your answers as short as my speaking, if it's possible. They're to both of you, not specifically to one or the other.

To start with, what's the life expectancy of an unpatched or unmaintained server on the Internet? If somebody puts a server on the Internet and doesn't touch it again, how long is that going to be online?

Mr. David Masson:

Minutes.

Mr. David de Burgh Graham:

That's an important point.

Mr. David Masson:

When you talk of a patch, you should patch the minute they tell you.

Mr. David de Burgh Graham:

For the record, what's a zero-day?

Mr. David Masson:

A zero-day is an attack that nobody has seen before. It's completely new and novel.

Mr. David de Burgh Graham:

You mentioned earlier there's a shortage of about a half a million cybersecurity employees or professionals. I've been involved in the free software community for about 20 years and the people around me today are very much the same people who were around me 20 years ago. How do we modernize the people in the software industry and the cybersecurity industry? How do we get the next generation to be interested in it and to learn it?

Mr. David Masson:

I would highly recommend the efforts of the Province of New Brunswick, which has has been teaching cybersecurity in school for some years now, to the point where major companies are now snapping up kids when they graduate at 18.

Mr. David de Burgh Graham:

Okay. Do we generally do security by design or are we more reactive as a society?

Mr. David Masson:

Right now, it's reactive. I'm a big fan of Dr. Ann Cavoukian when she talks about privacy by design—and it should be “security by design”.

A new term has come out called Sec and DevSecOps and DevOps—that is, as you're writing your code, you should be considering security, absolutely.

Mr. David de Burgh Graham:

Dr. Clement, make sure that if you have something to say, you speak up, because I'm going through this fairly quickly. Don't be shy.

Prof. Andrew Clement:

Sure.

Mr. David de Burgh Graham:

Are there advantages in security of open source versus closed source that you know of? Is there any security in having a closed-source system, where there's no public access to that code?

Mr. David Masson:

Professor?

Prof. Andrew Clement:

Being able to keep a code open so it can be checked is an important means for ensuring confidence and security.

Mr. David de Burgh Graham:

We've heard a lot of security concerns about Huawei devices and a lot of discussion about whether we should ban Huawei in Canada. Is the issue with Huawei that their hardware may have Chinese back doors, as opposed to back doors endorsed by Five Eyes agencies, for example. Where is the source of the issue and is there such a thing as an uncompromised or uncompromisable system?

Mr. David Masson:

Professor?

Prof. Andrew Clement:

I don't think there are uncompromisable systems, and I would caution that in some ways Huawei is mirroring what's happened to the undermining of security in western-developed technologies.

(1735)

Mr. David de Burgh Graham:

There has been a lot of talk over the years about software and having back doors. Once a back door is in place, is there any way to ensure that only the organization that asked for it to be there can use it, or once the back door is there, can anybody get to it?

Prof. Andrew Clement:

I wouldn't say anybody could get to it, but once you've created a back door, you've opened the possibility that people you don't know and don't want can access it.

Mr. David de Burgh Graham:

Right. Do we know how much of our Internet infrastructure is compromised at the manufacturing point? A couple of months ago there was a story about a motherboard found to have an extra chip inserted on it at the factory. I don't remember who it was, but you've probably run across this.

Prof. Andrew Clement:

I don't know of any estimates. I think it would be extremely hard to find, and we are discovering things that were buried in code ages ago. It's a very difficult thing. We need much more transparency and ability to interrogate code and devices.

Mr. David Masson:

And interrogate the supply chain.

Mr. David de Burgh Graham:

That makes sense.

Professor Clement, in your opening comments, you talked about our ability to move data within the country versus outside the country. Do we have the network capacity to move all our data within Canada today, or is expanding our Internet infrastructure a question of national security?

Prof. Andrew Clement:

I don't have a measure on the actual capacity versus what we need, but my guess is that we have unused capacity that would be available and that we would need to assess our internal domestic requirements and then make the decision about investing in capacity. The investment will be very small compared with the kinds of investments we've made previously in other network infrastructure, starting with the railway.

Mr. David de Burgh Graham:

Fair enough.

Are either of you familiar with Quintillion and their project in the Arctic?

Prof. Andrew Clement:

I'm not.

Mr. David de Burgh Graham:

I'll come back to this at a later date.

Do you have any servers in Canada, because all of the traffic at base essentially starts with a DNS request? Do you have any servers besides .ca in Canada?

Prof. Andrew Clement:

I don't know of any.

Mr. David Masson:

I don't know of any.

Mr. David de Burgh Graham:

All traffic at some point has to at least communicate with outside of the country to at least express the initial intention of who wants to talk to whom. That metadata is available to whoever has the route service, which is mostly in the U.S.

Prof. Andrew Clement:

Yes.

Mr. David Masson:

If the server is not here, somebody else has access to it. Remember that when it comes to the cloud. It's not a cloud; it's a server somewhere.

Mr. David de Burgh Graham:

Oh, that's right. It's not a cloud; it's somebody else's computer.

Are we sure that AI base attacks are not already running?

Mr. David Masson:

We thought we saw an algorithm fight an algorithm in 2015, and we've seen hints of it since, but we haven't actually seen a full on AI attack yet. That's we, the company. I can't speak for anybody else.

Mr. David de Burgh Graham:

So it's clearly in development. The black hatting of AI base attack is definitely in development.

In the study we've talked an awful lot about privacy but a whole lot less, I find, about security. I want to know, in the root causes of cyber-mobility—I know I don't have much time left—what's the role of default passwords and default back doors? I talked about back doors earlier. There's a huge amount of hardware out there that has “admin” as the login, “admin” as the password to log into it, and you can do anything you want with it. How big a problem is that side of things?

Mr. David Masson:

It's a major problem. It's one of the things I talk about all the time. I say, if you buy an Internet of things device, for God's sake, change the default password as soon as you get it in the house, if you can change the default password.

Mr. David de Burgh Graham:

Do I have time for one more?

The Chair:

No more.

David, you've got in about three committee meetings' worth of questions in seven minutes.

Mr. David de Burgh Graham:

I like to question the witnesses.

The Chair:

Yes, high compression. David was compressing you.

Mr. Motz, a lower compression rate, for sure, thankfully.

Mr. Glen Motz:

Dr. Clement, you wanted to speak on a number of occasions there and didn't get an opportunity. I want to give you an opportunity to interrupt David and say what you want to say.

Prof. Andrew Clement:

Partly, I might have given expressions of interest because I was supporting some of the statements that Mr. Masson was making. I guess the one comment that I wanted to get in had to do with the question of investments. I guess the question was whether the Canadian government was well-enough prepared to deal with these cyber-threats.

My view is that a big part of the problem we encounter now has been the way in which the development of the Internet and services on it have been driven almost entirely by the business interests of entrepreneurs. Obviously, in many cases, they're doing wonderful things, but governments have explicitly had a hands-off approach, and I think we are reaping some of the costs of that. Part of that is that now I would say that public institutions have lost an image of what a publicly oriented infrastructure would even look like. That, I think, is a deep, structural problem that needs a lot of education and talk. That, I think, would have protected us quite a bit.

Go a bit slower, but do things more carefully and more transparently so that they can be held more accountable. The urgency of more innovation, pile-on innovation, very often deepens the problem, because we're fixing problems that we should have thought about more carefully.

(1740)

Mr. Glen Motz:

That's a great segue to a comment that both of you alluded to just a few minutes ago, which was the interrogation of the supply chain. How do we go about that? How do we best ensure that the supply chain we talk about is secure and safe? How is that best accomplished? Is it accomplished as you suggest, Dr. Clement, through government intervention, or is it best accomplished in some other way?

I ask both of you the question.

Mr. David Masson:

I'll let the professor go first.

Prof. Andrew Clement:

Go ahead.

Mr. David Masson:

Okay.

What I would suggest you do is to accept that threats are going to get inside. In fact, accept that a threat has already arrived. Maybe it arrived through your supply chain, through your third party vendors and all that kind of thing. Expect that it's going to happen and start coming up with some systems that expect this to happen but can find it without having to know what it is and without having to know what the bad stuff is.

There are a lot of stringent regulations right now. I think CSE publishes a lot of stuff about what you have to abide by when you get a government contract, but at the end of the day, if somebody got at the chip in the factory, as one of the MPs mentioned earlier, the only way you're going to find out about it is once you've plugged the chip in and have seen what has happened.

Prof. Andrew Clement:

This gets into oversight mechanisms. While there are some, I would say that they are lagging behind in the development of these complex systems. I would be particularly careful when you develop highly tightly coupled systems, so that when something goes wrong, the damage can spread quickly. Allow for some buffers in there. That's not the nature of competitive supply chains, because speed is primary, but if we take a longer strategic view, then we need to slow down a bit and pay closer attention.

Mr. Glen Motz:

I have one last question for both of you.

We know that in this country and across the globe there are higher rates and a higher incidence of cyber-intrusion. The theft of data and the theft of finances seem almost inevitable. I think the Canadian public almost seems immune—it's going to happen anyway—unless or until it happens happens to them, and then it's a big problem.

I hate to be a doomsdayer, but should we be preparing for this to be a common occurrence, in that if you're hooked up to the Internet, you're going to get hacked and you're going to get stuff stolen, so get used to it? Or are we saying that there's hope on the way?

The Chair:

Very briefly, please.

Mr. David Masson:

Can I go first? I'll just say that if you use AI, there's hope. All right? If you use AI, you can get ahead of the attackers and put the advantage back in the hands of the defender.

Professor.

Prof. Andrew Clement:

Yes, I would say that we don't accept that kind of approach in other areas of our vital infrastructure. As in the development of other infrastructure, we need to look much more closely and carefully at what's being put in place and have it meet public interest requirements, so that we're not just loading things onto the public and expecting them to suck it up, which is basically what's happening now.

(1745)

The Chair:

Thank you very much, Mr. Motz.

Mr. Picard, please, for five minutes.

Mr. Michel Picard:

As a government, if I ask what are the steps I should look for in terms of building my cybersecurity, it's as if I'm assuming that I don't have a system in place. I think it's fair to say that my system should be fair to good somewhere, because I do have agencies that work with me. I have protection. I have systems. I have tools. I'll just twist my question. What are the steps that I should make sure I have covered and on which I can build something strong and improve on that? What are the main parentheses?

The Bankers Association said that the best solution for good cybersecurity was awareness. If I base my cybersecurity on publicity, I'm in trouble, I think. I need more than just publicity and awareness. What are the main topics that I should address in order to make sure that I have at least the basis for a good cybersecurity system?

Mr. David Masson:

I'll let you go first, Professor.

Prof. Andrew Clement:

An important point in that, I think, is independent expert review that's independent of the organization and that has the capacity to actually examine what has been proposed and the possible threats and to advise on that. That's the one general thing you can say. Otherwise, you have to get more specific about what kinds of systems you're talking about.

Mr. David Masson:

In terms of looking at the future, I've spoken a lot about bad actors using AI, so let's move on. I would be advising the government to really focus big-time on critical national infrastructure attacks, absolutely, and particularly attacks on what are known as OT systems. Most of what we've talked about there was IT systems. I'm talking about OT systems, the things that run the robots in a car factory and that kind of thing. There should be a big major focus on that, absolutely, particularly on those systems inside critical national infrastructure.

Mr. Michel Picard:

A very old question that I ask quite often—and I asked the same question in the ethics committee where we talked about something similar—refers to one risk that I will never be able to control, namely the human risk. What do you suggest by way of solutions to reduce or just minimize the risk of human resources? I can't eliminate it.

Prof. Andrew Clement:

Well, yes, you can never eliminate risks. You can mitigate and minimize them. For human resources, it's a general precept that when you hire, when you train, when you manage people, they be given respect and be signed-up for the mission of the organization.

It's only through people acting carefully, with attention to the wider picture, that they are going to serve the interests of that organization. It's a basic question about any kind of organization.

Mr. David Masson:

Yes, people always say that humans are the weakest link, but sometimes I feel as though that's a derogation of responsibility by larger organizations. They just blame it on the people all the time.

Absolutely, more education and awareness is needed, but also the development of a proper security culture inside organizations, not just the people down below. Everybody must have this kind of security culture and make sure it's delivered in a sincere manner. It's not a case of people barking commands at you, but a genuine prevalence and leadership by people who are trying to promote a security culture.

Mr. Michel Picard:

When the Chamber of Commerce commented on small businesses, they said that some of them perceive themselves as too small to be hacked. I think it's a case of their being too small to have a budget to be secure. These are companies that do deal with the Internet, web services and the virtual world.

As an individual, someone who hacks my phone can anticipate whether I'm home or not, because I can control my heating system from my phone. When they see that I am not on the scheduled heating system, it's because I am not there and I keep my temperature low, so my phone is not safe.

Apparently, my fridge is not safe, because it can talk to me. Everything with a chip in it can talk to me, so as a person, the presentation we heard scared the hell out of everyone. Sorry, I almost said it.

Is it too late for me?

(1750)

The Chair:

It probably is. You're past your five minutes.

We're going to have to leave Mr. Picard in a state of anxiety.

We have about five minutes left and a number of questions. Mr. Motz has very generously decided to split his time with me.

When you made your presentation, Mr. Masson, you were very concerned about the data, the network, the transmission staying in Canada. You essentially adopted Professor Clement's recommendation.

The Bankers Association, however, seemed to be a bit more relaxed about it and their argument was, “Well, we still have jurisdiction over the data.”

What would your response be to the Bankers Association? It felt perfectly comfortable with the current situation, which may mean that the data goes from Toronto to Chicago to New York, and back to Toronto to be stored, or stays in New York to be stored, or wherever. What would your response be?

Prof. Andrew Clement:

I think I heard that exchange at the end of their session. They said they relied on the contractual arrangements with the outsourcing party that they could insist on, and that they would then take full responsibility for making good to individual consumers. I'm not questioning the ability of the banking companies to fulfill that in narrow and specific cases, but if there's a major problem, what are they going to do when their data is outside the country? Are they going to be able to sue the outsourcer? They're going to have to go to another jurisdiction. I don't think contractual arrangements are adequate. As they mentioned or alluded to, these arrangements don't deal with the laws of the country that the data is in. Those laws apply, and any outsourcer is going to have to comply with them, even if it means breaking their contract—or they're going to be in a dilemma there.

I was much less reassured by their confidence that they could just outsource to other countries and rely on the contracts. I think they'd be much better off if they could bring that service within Canadian jurisdiction and Canadian territory. I don't see any major reason why they can't, at least in the long term, hit that goal—have their cake and eat it too, so to speak.

The Chair:

The final question has to do with the maps that you very kindly provided to us. They reminded me of a trip I took on a Canadian frigate this summer. We went from Iqaluit down Frobisher Bay and to Greenland. In Greenland we met with the Danish general in charge of NATO and, of course, there was some commentary on Russian intrusions into NATO territories, etc. Apparently the Russians have an immense fascination with scientific investigation of the cables that connect Europe and North America. That seems to speak to your concern, Professor Clement, that one of the ways all of these networks could easily be hacked is by attaching devices in some manner or another to those cables.

You graphically demonstrated the vulnerability of all of our data.

(1755)

Prof. Andrew Clement:

Yes, the cables going across the ocean do present a point of vulnerability for several thousand kilometres. I know that the U.S. has the capability of pulling up those cables and splicing in and intercepting. I wouldn't be surprised if the Russians and the Chinese do as well. One of the ways to get around that is through redundancy: You build over-capacity so that if one link goes down, you have others that are working. That is the case for at least one of the cables that land in Nova Scotia—the Hibernia cable. It's a sort of loop.

I think we need to invest in redundancy to minimize the number of critical points of failure, so that if there is an attack, it is much harder for everything to come down at once, and if one thing comes down, you can reroute around it. Unfortunately, the emphasis and imperative toward efficiency and speed means that very often there's a tendency to put too many eggs in a few baskets. I'd say a general approach to security is through redundancy and duplication—and that needs to be invested in. We need to be aware of that and not discover too late that when one thing goes down, everything goes down.

The Chair:

Regrettably, that is going to have to be the end of our discussion with you. It's been absolutely fascinating. We appreciate your contributions to our study and wish both of you well.

With that, we'll adjourn.

Comité permanent de la sécurité publique et nationale

(1545)

[Traduction]

Le président (L'hon. John McKay (Scarborough—Guildwood, Lib.)):

J'ai le privilège d'ouvrir la séance et d'inviter les représentants de l'Association des banquiers canadiens et de la Chambre de commerce du Canada à s'adresser au Comité. On a informé les deux groupes des paramètres pour les exposés.

Avez-vous joué à roche-papier-ciseaux pour savoir qui commencera, ou allons-nous tout simplement donner la parole à l'Association des banquiers canadiens.

Allez-y, monsieur Docherty.

M. Charles Docherty (avocat général adjoint, Association des banquiers canadiens):

Merci beaucoup. Bonjour.

Je tiens à remercier le Comité pour cette occasion de pouvoir vous parler aujourd'hui de cybersécurité et du secteur financier.

Je m'appelle Charles Docherty. Je suis avocat général adjoint de l'Association des banquiers canadiens, ou l’ABC. Se joint à moi mon collègue Andrew Ross, directeur, Paiements et Cybersécurité.

L'ABC est la voix de plus de 60 banques canadiennes et étrangères qui contribuent à l'essor et à la prospérité économiques du pays. L'ABC préconise l'adoption de politiques publiques favorisant le maintien d’un système bancaire solide et dynamique capable d'aider les Canadiens à atteindre leurs objectifs financiers.

Les banques au Canada sont des chefs de file de la cybersécurité. Elles ont massivement investi dans les mesures de protection du système financier et des renseignements personnels de leurs clients contre les cybermenaces. Malgré le nombre croissant de tentatives, les banques affichent un excellent bilan en matière de protection de leurs systèmes contre les cybermenaces. En effet, elles prennent au sérieux la confiance que les Canadiens leur accordent pour garder en sécurité leurs dépôts ainsi que leurs renseignements personnels et financiers.

Par ailleurs, les Canadiens s'attendent à plus de simplicité dans I'obtention de services financiers. Les banques ont innové en vue d'assurer à leurs clients des modes d’accès et d'utilisation plus rapides et plus pratiques lorsqu'il s'agit de services bancaires. Les consommateurs peuvent accéder aux services bancaires pratiquement n'importe quand et de n'importe où dans le monde grâce aux services en ligne et aux applications mobiles qui leur donnent un accès en temps réel à leurs renseignements financiers. Aujourd'hui, au Canada, 76 % des consommateurs utilisent principalement les services bancaires en ligne et sur leurs appareils mobiles, une hausse par rapport aux 52 % d’il y a tout juste quatre ans. Avec l’augmentation des opérations effectuées électroniquement, les réseaux et les systèmes deviennent de plus en plus interconnectés. Ainsi, les banques, le gouvernement et d'autres secteurs doivent collaborer pour veiller à ce que le cadre de la cybersécurité au Canada soit solide et capable de s'adapter à l'économie numérique.

L'ABC a participé activement aux consultations lancées par Sécurité publique Canada sur l'examen de la Stratégie nationale de cybersécurité. Notre secteur est un partenaire actif, motivé à faire cause commune avec le gouvernement fédéral pour atteindre les objectifs décrits dans la stratégie, l'objectif commun étant de faire évoluer la cyberrésilience au Canada.

Le secteur bancaire appuie vivement la démarche du gouvernement fédéral visant la mise sur pied du Centre canadien pour la cybersécurité, sous la gouverne du Centre de la sécurité des communications, à titre de point de contact unique où obtenir, auprès de spécialistes, des avis, des conseils et du soutien au sujet de questions opérationnelles de sécurité. Nous accueillons également la création de l'unité centralisée de lutte contre la cybercriminalité de la GRC.

Une des priorités clés du nouveau centre sera de veiller à ce que les secteurs clés au Canada soient cyberrésilients. Pour ce faire, le Centre devra encourager un environnement de collaboration et agir comme point de contact vers lequel les secteurs public et privé pourront se tourner pour obtenir conseils et directives en la matière.

La sécurité des infrastructures essentielles du Canada doit être assurée afin de protéger la sécurité et le bien-être économique des Canadiens. Le secteur bancaire compte sur d'autres secteurs qui représentent des infrastructures névralgiques, comme les télécommunications et l'énergie, pour offrir des services financiers aux Canadiens. Nous encourageons le gouvernement à utiliser et à promouvoir des normes de cybersécurité sectorielles communes qui s'appliqueraient aux entités formant ces secteurs névralgiques.

Nous sommes conscients que certaines infrastructures essentielles, comme l'énergie, relèvent de diverses autorités. Ainsi, nous recommandons au gouvernement fédéral de collaborer avec les provinces et les territoires à la définition d’un cadre de cybersécurité qui s'applique à l'ensemble des secteurs infrastructurels essentiels. Des normes de cybersécurité cohérentes et bien définies permettront une supervision plus rigoureuse et donneront l'assurance que les systèmes sont efficaces et bien protégés.

Une communication efficace des renseignements sur les cybermenaces et de l'expertise sur la protection est une composante essentielle de la cyberrésilience, qui devient de plus en plus importante dans l'économie canadienne axée sur le numérique et les données. Les avantages de la communication des renseignements sur les cybermenaces s’étendent à d'autres secteurs que les finances, au gouvernement et aux forces de l'ordre notamment, en leur permettant de minimiser l'impact des cyberattaques. Les banques appuient des initiatives — et y participent activement — comme l'Échange canadien des menaces cybernétiques, un organisme qui fait la promotion de l'échange d'information sur la cybersécurité et les pratiques exemplaires entre le gouvernement fédéral et les entreprises en vue d'améliorer la cyberrésilience à travers l’ensemble des secteurs.

Afin d'encourager la communication de renseignements et d’assurer l'efficacité de tels forums, nous recommandons au gouvernement d’envisager la voie législative, par exemple en modifiant la législation en matière de renseignements personnels et en ajoutant des dispositions refuge, ce qui ajoutera les protections adéquates lors de la communication d'information sur les cybermenaces.

La protection contre les menaces posées par les entreprises ou par d'autres pays nécessite une bonne défense coordonnée entre le gouvernement et le secteur privé. Le gouvernement peut donc jouer un rôle central dans la coordination entre les partenaires représentant des infrastructures essentielles et les autres intervenants, mettant à profit les efforts en cours pour limiter les cybermenaces. L'établissement de processus clairs et simplifiés entre les principaux acteurs augmentera la capacité du Canada à répondre efficacement aux cybermenaces et à s'en protéger.

Nous comprenons que le gouvernement compte introduire un nouveau cadre législatif qui traitera des répercussions et des obligations dans un monde de plus en plus interconnecté. Nous serons ravis de discuter de ce cadre avec le gouvernement.

Par ailleurs, l’ABC est d’avis que la sensibilisation à la cybersécurité auprès des Canadiens est essentielle. La sensibilisation de la population est, et doit être, la responsabilité à la fois du gouvernement et du secteur privé. Veiller à ce que les particuliers participent activement aux efforts de lutte contre les cybermenaces passe par des connaissances générales du sujet et par une prise de conscience individuelle de la responsabilité de chacun à ce sujet. Le secteur bancaire sera heureux de collaborer davantage avec le gouvernement sur les initiatives publiques de sensibilisation et de responsabilisation, comme l'ajout de la cybersécurité aux efforts fédéraux de promotion de la littératie financière.

Une main-d’oeuvre compétente en matière de cybersécurité capable de s’adapter à une économie axée sur le numérique et les données est également importante non seulement pour notre secteur, mais aussi pour tous les Canadiens. Chaque année, l’ABC travaille avec ses membres à l'organisation de l’un des plus grands sommets sur la cybersécurité au Canada réunissant les responsables des banques avec les principaux experts pour parler des plus récentes menaces et consolider ainsi les connaissances de nos professionnels de la cybersécurité.

La hausse des cybermenaces engendre une plus grande demande de talent en cybersécurité au Canada et ailleurs. La nouvelle stratégie canadienne en matière de cybersécurité reconnaît que les lacunes actuelles de talent dans ce domaine représentent à la fois un défi et une occasion pour notre pays. Afin de remédier à ce manque, nous encourageons le gouvernement fédéral, en collaboration avec les provinces et territoires, à promouvoir l'établissement de programmes de cybersécurité dans les écoles, les collèges et les universités, ainsi que des programmes d'éducation permanente dans l'objectif de permettre aux étudiants de développer leurs compétences en cybersécurité.

Pour conclure, j'aimerais rappeler que la cybersécurité est en haut des priorités des banques au Canada qui continuent à collaborer et à investir dans la protection des renseignements personnels et financiers de leurs clients. Aussi, les banques appuient le travail du gouvernement dans la protection des consommateurs tout en encourageant l’innovation et la concurrence. Toutefois, le secteur est conscient du fait que les menaces et les défis évoluent constamment. Nous désirons collaborer davantage avec le gouvernement et les autres secteurs pour que le Canada demeure un lieu stable, solide et sécuritaire où faire des affaires.

Merci beaucoup de votre temps. Je suis impatient de répondre à vos questions.

(1550)

Le président:

Merci, monsieur Docherty.

Nous passons maintenant à la Chambre de commerce du Canada. [Français]

M. Trevin Stratton (économiste en chef, Chambre de commerce du Canada):

Merci beaucoup, monsieur le président et membres du Comité. C'est un grand plaisir d'être parmi vous aujourd'hui.[Traduction]

Je m'appelle Trevin Stratton. Je suis économiste en chef à la Chambre de commerce du Canada. La Chambre de commerce est la porte-parole du milieu des affaires au Canada et représente un réseau de plus de 200 000 entreprises de toutes tailles, de tous les secteurs et de toutes les régions. Je suis accompagné de mon collègue de la chambre, Scott Smith, qui est directeur principal, Propriété intellectuelle et politique d'innovation.

Les transactions bancaires se font de plus en plus souvent de nouvelles façons, alors que 72 % des Canadiens les effectuent surtout en ligne ou à l'aide d'un appareil mobile. Des attaques perturbatrices ou destructrices contre le secteur financier pourraient donc avoir des répercussions importantes sur l'économie canadienne et menacer la stabilité financière. Cette situation pourrait survenir directement sous forme de pertes de revenu, ainsi qu'indirectement avec la détérioration de la confiance des consommateurs et des répercussions qui se feront sentir au-delà du secteur financier, sur lequel reposent d'autres secteurs de l'économie. Par exemple, les cyberattaques qui perturbent les services essentiels, qui minent la confiance envers certaines entreprises, ou le marché proprement dit, ou qui nuisent à l'intégrité des données pourraient avoir des conséquences systémiques sur l'ensemble de l'économie canadienne.

Les banques ont investi massivement dans des mesures ultramodernes de cybersécurité pour protéger le système financier et les renseignements personnels de leurs consommateurs contre les cyberattaques. En fait, les mesures et les procédures de cybersécurité font partie de l'approche globale des banques en matière de sécurité, ce qui comprend des équipes d'experts qui surveillent les transactions, qui préviennent et détectent les fraudes, et qui assurent la sécurité des comptes clients.

Les systèmes de sécurité sophistiqués qui sont en place protègent les renseignements personnels et financiers des clients. Les banques surveillent activement leurs réseaux et effectuent sans cesse une maintenance de routine pour faire en sorte que les menaces en ligne n'endommagent pas leurs serveurs et ne perturbent pas les services offerts aux clients.

Cependant, les questions de cybersécurité sont caractérisées par d'importantes asymétries de l'information, alors que de grandes institutions comme le gouvernement fédéral, la Banque du Canada et quelques entreprises du secteur privé, y compris des institutions financières, possèdent une quantité disproportionnée du renseignement et de la capacité. Pourtant, les PME sont aussi vulnérables. Il est important pour elles de mettre en place un écosystème de cybersécurité. Elles sont également confrontées à des asymétries croissantes sur le plan des ressources, de la technologie et des compétences pour se défendre contre des adversaires malveillants qui, avec des compétences et des ressources relativement rudimentaires, peuvent causer d'importants dommages financiers et nuire grandement à leur réputation.

Mon collègue, Scott Smith, va maintenant décrire les cybermenaces auxquelles font face les PME du Canada.

(1555)

M. Scott Smith (directeur principal, Propriété intellectuelle et politique d'innovation, Chambre de commerce du Canada):

Je crois que vous avez entendu au cours des derniers mois plusieurs témoins au sujet des cybermenaces en constante évolution, de certaines des attaques subies de façon générale, de la façon dont la situation change et du problème que cela pose. Aujourd'hui, je vais plutôt attirer votre attention sur la surface d'attaque croissante et sur la façon dont les perturbations économiques ayant une incidence sur la sécurité nationale viennent parfois d'endroits inattendus.

Le bien-être économique du Canada repose sur les petites entreprises. Même si 99,7 % des entreprises au Canada comptent moins de 500 employés, elles emploient plus de 70 % de la main-d’œuvre du secteur privé. Les PME représentent 50 % du PIB du Canada, 75 % du secteur des services et 44 % du secteur de la production de biens. Elles représentent également 39 % du secteur des finances, des assurances et des biens immobiliers.

On s'attend à ce que le taux de croissance continue annuel du secteur de la technologie financière soit de 55 % en 2020. Le Canada est un centre névralgique de la croissance du secteur de la technologie financière, surtout pour ce qui est des paiements mobiles, et la majorité des nouvelles entreprises sont des PME. Ensemble, elles constituent une très grande surface d'attaque, qui a d'ailleurs attiré l'attention des pirates informatiques.

Pour donner des exemples du lien entre les chaînes d'approvisionnement et les perturbations majeures, en 2018, cinq exploitants de gazoducs ont vu leurs activités être perturbées lorsqu'un fournisseur tiers de données électroniques et de services de communication a été victime d'un piratage au printemps. Le piratage d'un fournisseur tiers de plus de 100 entreprises manufacturières a été découvert en juillet 2018. Environ 157 gigaoctets de données que possédait Level One Robotics ont été exposés au moyen de la synchronisation à distance, qui est un protocole de transfert de fichiers couramment utilisé pour copier ou sauvegarder de grands ensembles de données sur d'autres serveurs.

En 2017, l'infection par le maliciel NotPetya a forcé le géant du transport Maersk à remplacer 4 000 serveurs, 45 000 ordinateurs personnels et 25 applications sur une période de 10 jours, ce qui a entraîné d'importantes perturbations.

Qu'est-ce qui explique le problème? Les criminels sont un peu comme les eaux de crue, qui empruntent la voie de la moindre résistance. Les PME font face à plusieurs difficultés en matière de sécurité: des ressources financières limitées, des ressources humaines limitées et une culture d'incrédulité, à savoir la fausse idée selon laquelle elles sont trop petites pour être victimes de piratage.

L'économie numérique s'est révélée être une bénédiction pour la croissance des petites entreprises, car elle leur a permis d'entrer dans les chaînes d'approvisionnement mondiales. Cependant, cette innovation et cette croissance s'accompagnent d'un risque si on ne donne pas suite aux préoccupations en matière de sécurité, surtout compte tenu de la sophistication des cybercriminels. Ils sont passés des perturbations attribuables aux virus, aux chevaux de Troie et des vers informatiques il y a 10 ans, dont on entendait couramment parler, à la production de certificats numériques de sécurité qui permettent de contourner le facteur humain.

L'objectif doit être la réduction de la surface d'attaque, en faisant des entreprises canadiennes des cibles moins intéressantes pour les criminelles. La solution est un changement de culture, grâce à l'éducation, à la sensibilisation et à l'établissement de normes de l'industrie, sans étouffer l'innovation. C'est un grand défi. Cela signifie qu'il faut investir dans les relations et les capacités relatives à l'application de la loi pénale à l'échelle internationale.

Je vais m'arrêter ici. C'est avec plaisir que je répondrai aux questions.

Le président:

Merci à vous deux.

Notre premier intervenant est M. Picard.[Français]

Vous avez sept minutes.

M. Michel Picard (Montarville, Lib.):

Merci, monsieur le président.

Messieurs, bienvenue à notre comité.[Traduction]

Je vais poser ma question en français, si vous voulez bien mettre votre oreillette pour entendre la traduction.[Français]

Ma question s'adresse d'abord aux gens de l'Association des banquiers canadiens, puisqu'ils travaillent dans le secteur financier, qui est l'objet de notre étude.

Quelle stratégie avez-vous utilisée pour élaborer votre programme de cybersécurité? Quels sont les angles ou les opérations de vos clients que vous avez pris en compte pour établir les étapes menant à l'établissement de mesures de cybersécurité?

(1600)

[Traduction]

Le président:

À qui posez-vous la question?

M. Michel Picard:

Elle s'adresse à l'association des banquiers.

M. Charles Docherty:

Le secteur bancaire prend très au sérieux ses responsabilités pour protéger les renseignements des clients. Nous sommes reconnaissants de la confiance qu'ils nous accordent pour protéger leurs renseignements personnels.

Sur le plan stratégique, les banques — qui protègent déjà leurs propres systèmes et leur propre infrastructure — contribuent aussi à la cyberrésilience partout au Canada. Ils apportent une énorme contribution à l'Échange canadien des menaces cybernétiques ce qui permet non seulement aux banques, mais aussi à d'autres secteurs d'avoir accès à de l'information concernant les cyberincidents et les menaces. Bien entendu, elles ont investi des milliards de dollars pour que leurs infrastructures informatiques soient sûres et sécuritaires. [Français]

M. Michel Picard:

J'aimerais que votre approche soit plus concrète.

Le but de cette étude est de demander au secteur privé, notamment à votre association, de nous aider à trouver des moyens d'améliorer notre infrastructure de services financiers.

Vous êtes dans le secteur financier. Nous savons que vous gérez des données personnelles. Sur le terrain, vous avez commencé quelque part: quelqu'un s'est réveillé un matin et a décidé de commencer par examiner tel type d'opérations, par utiliser tels outils, par se pencher sur tel secteur des services bancaires. En effet, vous avez toute une diversité de services financiers. Pouvez-vous résumer le processus qui a mené à l'élaboration de votre stratégie en cybersécurité? [Traduction]

M. Andrew Ross (directeur, Paiements et Cybersécurité, Association des banquiers canadiens):

De toute évidence, c'est un milieu en constante évolution et notre stratégie évolue parallèlement.

Au bout du compte, les banques ont recours à des cadres rigoureux de gestion des risques pour évaluer les différentes menaces qu'elles observent.

Comme mon collègue l'a mentionné, nous croyons notamment être doués pour détecter les cybermenaces. Nous avons également contribué à la stratégie du gouvernement. Je pense qu'un aspect pour lequel nous pouvons en faire plus est celui de la communication de l'information, pour apporter des améliorations non seulement au secteur financier proprement dit, mais aussi au-delà.

Au bout du compte, c'est une question d'atténuation des risques. Il faut cerner les menaces sur lesquelles il faut se pencher, les évaluer et se défendre contre elles.

M. Michel Picard:

Bien.

J'ai le choix entre deux questions épineuses.

Tout d'abord, pourquoi les banques demandent-elles à leurs clients de payer des frais pour souscrire une protection supplémentaire contre le vol d'identité? Je croyais que lorsque je faisais affaire avec les banques, comme je dois leur donner tous mes précieux renseignements, elles allaient s'en occuper sans que je doive payer davantage pour faire protéger les mêmes renseignements. Est-ce parce que votre système ne protège pas assez mon identité? Ou est-ce tout simplement une opération de marketing?

M. Charles Docherty:

Comme je l'ai mentionné d'emblée, les banques prennent très au sérieux leurs responsabilités pour protéger les renseignements personnels de leurs clients. Elles offrent des produits et des services à leurs clients afin que leurs renseignements personnels demeurent en sécurité.

Je ne peux pas parler précisément du modèle économique auquel vous faites allusion et qui consiste à demander des frais supplémentaires pour la surveillance de renseignements sur l'identité. Cela dit, dans certains cas, si un client veut qu'une surveillance supplémentaire soit exercée, il devrait pouvoir opter pour une surveillance plus étroite de ses renseignements personnels. Dans ce cas, c'est un produit ou un service qu'une banque pourrait être disposée à lui offrir.

M. Michel Picard:

Donc, si je comprends bien, je peux dire sans me tromper que mes renseignements personnels sont en sécurité dans les banques au Canada, puisqu'elles ont tous les moyens et tous les outils pour les protéger.

M. Charles Docherty:

Tout à fait.

M. Michel Picard:

Excellent.

À propos de la communication de l'information, nous parlons de plus en plus du système bancaire ouvert. Quelle est votre opinion à ce sujet?

M. Andrew Ross:

Nous participons certainement aux consultations entamées par le ministère des Finances pour examiner le bien-fondé du système bancaire ouvert.

De notre point de vue, le secteur appuie l'innovation et la concurrence dans les services financiers. Comme nous l'avons expliqué, nous devons examiner non seulement les avantages, mais aussi les risques associés au système bancaire ouvert. La cybersécurité est un de ces éléments. Si ces consultations nous permettent en tant que pays d'atténuer ces risques ainsi que de cerner et de voir les avantages, nous pensons que nous serons favorables à un système bancaire ouvert.

(1605)

M. Michel Picard:

Quelle est la nature des risques que vous avez cernés dans votre entreprise?

M. Andrew Ross:

Comme je l'ai dit précédemment, il risque d'y avoir, dans l'espace financier, d'autres joueurs qui n'ont peut-être pas les mêmes ressources qu'une banque. Je crois que c'en est un.

En général, plus il y a d'entités qui interviennent, plus il y a une multitude de canaux interconnectés, plus les risques de cybermenace sont grands.

M. Michel Picard:

Merci, messieurs. [Français]

Le président:

Monsieur Paul-Hus, vous avez la parole pour sept minutes.

M. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, PCC):

Merci, monsieur le président.

Bonjour, messieurs. Je vous remercie d'être parmi nous.

En matière de banques, il y a le volet qui s'adresse aux entreprises et le volet qui s'adresse aux particuliers. Comme je possède des entreprises, je sais que des technologies comme celles de SecureKey sont requises pour accéder aux comptes. L'accès à un compte d'entreprise est très complexe, comparativement à l'accès à un compte personnel.

Mon collègue a posé cette question, mais j'aimerais savoir si, de l'extérieur, il est plus facile d'attaquer un compte d'entreprise que d'attaquer un compte personnel ou si cela revient au même. [Traduction]

M. Charles Docherty:

Je crois que les risques seraient certainement les mêmes. Il faudrait nécessairement que les sociétés aient mis en place des contrôles, car il y a au sein d'une société un plus grand nombre de personnes qui peuvent avoir accès au système bancaire de la société.

M. Pierre Paul-Hus:

Comprenez-vous ce que je veux dire ?[Français]

J'aimerais savoir si, selon vous, la protection des comptes d'entreprises contre les cyberattaques est supérieure à la protection des comptes de particuliers. [Traduction]

M. Charles Docherty:

Non. Ce serait la même chose. Les banques prennent leurs obligations au sérieux, peu importe le type d'entité dont il est question. [Français]

M. Pierre Paul-Hus:

D'accord.

Des témoins nous ont dit que, dans certains pays, il était obligatoire de divulguer les cas de cyberattaque. Ici, les banques sont-elles tenues de divulguer au gouvernement du Canada les cyberattaques dont leurs systèmes font l'objet? [Traduction]

Le président:

Excusez-moi, Pierre. Nous avons perdu l'interprétation pendant 10 secondes environ.

Pourriez-vous répéter ce que vous avez dit ? Je vous remercie. [Français]

M. Pierre Paul-Hus:

D'accord, je reprends ma question.

Plusieurs témoins nous ont mentionné que, dans certains pays, les banques étaient tenues de divulguer les cyberattaques. Est-ce la même chose au Canada? Par exemple, la Banque Royale doit-elle, dans un délai prescrit, en avertir le gouvernement? [Traduction]

M. Charles Docherty:

Oui. Les banques, comme n'importe quelle autre organisation soumise à la LPRPDE, la loi fédérale sur la protection des renseignements personnels, sont obligées d'informer de toute atteinte à leurs mécanismes de sécurité le Commissariat à la protection de la vie privée et tous les particuliers touchés. [Français]

M. Pierre Paul-Hus:

Y a-t-il de la réticence de la part des banques? Si, par exemple, la Banque de Montréal subit une attaque, cela peut nuire à sa réputation. Pensez-vous qu'il y a de la réticence ou que, au contraire, cela se fait de façon automatique sans que ce soit remis en question? [Traduction]

M. Charles Docherty:

Les banques ne sont pas réticentes à dévoiler les attaques qu'elles subissent. C'est une obligation imposée par la loi. De plus, parce que les clients font confiance aux banques, ces dernières veulent que leurs clients soient mis au courant des rares cas de cyberattaque.

M. Andrew Ross:

Puis-je ajouter que le Bureau du surintendant des institutions financières, le BSIF, exige aussi que les banques signalent tout incident? [Français]

M. Pierre Paul-Hus:

J'aimerais que nous parlions maintenant des particuliers, des individus. [Traduction]

Le président:

Nous avons un problème avec l'interprétation, et il vaudrait mieux que j'arrête la minuterie, sans quoi Pierre va se fâcher.

On me dit qu'il y a des problèmes techniques dans la cabine d'interprétation et que faute d'interprétation, nous allons être obligés de nous arrêter, malheureusement. C'est la faute de Pierre, si tout s'écroule.

Une voix: J'espère que vous n'avez pas été piratés.

Des voix: Ha, ha!

(1610)

M. Pierre Paul-Hus:

Je ne vais pas faire de plainte au sujet de la langue officielle. Je vais poser ma question dans l'autre langue également.

Le président:

Pour que nous puissions continuer de cette façon, je dois avoir le consentement unanime du Comité.

Des députés: Non.

Le président: Nous allons suspendre la séance.

(1610)

(1620)

Le président:

Mesdames et Messieurs, apparemment, nous avons réglé les problèmes que nous avions.

Nous avons commencé avec environ 10 ou 15 minutes de retard, et nous venons de perdre encore 5 minutes à cause de cela. Notre prochain groupe de témoins sera inévitablement retardé. Je pense que nous pourrions simplement ajouter 15 minutes pour le groupe actuel et commencer plus tard avec l'autre groupe. Est-ce acceptable? Je crois que nous devrons encore voter, alors nous n'allons nulle part de toute façon. Cela pourrait fonctionner.

Est-ce que cela vous convient, monsieur Motz?

M. Glen Motz (Medicine Hat—Cardston—Warner, PCC):

Je croyais que vous alliez me payer à souper entre les deux, alors cela me préoccupait un peu.

Le président:

Monsieur Motz, le jour où je vais vous payer à souper, ce sera…

Des députés: Ha, ha!

M. Glen Motz:

À votre retraite.

Le président:

Oui.

Monsieur Paul-Hus, nous allons vous donner quatre minutes. [Français]

M. Pierre Paul-Hus:

Merci, monsieur le président.

Dans le mémoire de l'Association des banquiers canadiens, que vous avez déposé tantôt, vous parlez de la sécurité des infrastructures essentielles du Canada: « Le secteur bancaire compte sur d'autres secteurs qui représentent des infrastructures névralgiques, comme les télécommunications et l'énergie, pour offrir des services financiers aux Canadiens. » Cela m'amène à la question suivante, qui traite d'infrastructures essentielles à l'étranger, soit aux États-Unis, en Europe ou ailleurs dans le monde.

Collaborez-vous et discutez-vous avec des entités qui représentent le secteur financier d'autres pays pour savoir quelles sont les techniques appropriées et quelles entités étrangères commettent des cyberattaques contre leurs systèmes? [Traduction]

M. Andrew Ross:

Oui. Nos banques collaborent à divers groupes internationaux, dont un en particulier aux États-Unis, qui s'appelle FS-ISAC. C'est un centre de mise en commun de l'information qui a été créé aux États-Unis, mais dont la portée est mondiale. Nos banques participent à cela, tout comme nous collaborons à l'intérieur du Canada. [Français]

M. Pierre Paul-Hus:

Récemment, les Américains ont exprimé des inquiétudes au sujet de compagnies de télécommunications en ce qui concerne les infrastructures. Discutez-vous avec vos partenaires américains des problèmes qui pourraient être liés à l'intégration du réseau 5G au Canada? [Traduction]

M. Andrew Ross:

Du point de vue de la sécurité nationale, ce n'est pas une chose au sujet de laquelle nous avons beaucoup de renseignements. Il vaudrait certainement mieux poser cette question à l'industrie des télécommunications. [Français]

M. Pierre Paul-Hus:

D'accord, mais les banques canadiennes qui sont membres de votre association ont-elles déjà exprimé des inquiétudes à l'égard des télécommunications et des informations bancaires? [Traduction]

M. Andrew Ross:

Encore là, nous attendrions de tout fournisseur de services de télécommunications faisant son entrée au Canada qu'il fasse preuve de diligence raisonnable du point de vue de la sécurité nationale. De toute évidence, tout fournisseur de services Internet faisant son entrée au Canada serait tenu de faire plus que soutenir le secteur financier seulement. Nous miserions donc sur l'examen des activités de sécurité nationale et sur le secteur des télécommunications. [Français]

M. Pierre Paul-Hus:

En ce qui concerne la protection des avoirs, autant pour les entreprises que pour les particuliers, les banques qui sont membres de votre association disposent-elles de moyens pour compenser les pertes découlant de transactions frauduleuses, d'attaques ou d'hameçonnage? Comment cela fonctionne-t-il? Premièrement, est-ce un problème majeur? Deuxièmement, les clients de vos banques subissent-ils des pertes financières? [Traduction]

M. Charles Docherty:

Il n'y a pas de problème. Dans les rares cas de cyberattaques causant des pertes financières à leurs clients, les banques vont rembourser les clients.

(1625)

[Français]

M. Pierre Paul-Hus:

Je crois qu'un maximum de 100 000 $ est fixé pour le remboursement.

Y a-t-il un maximum quant à l'assurance ou l'obligation de la banque? [Traduction]

M. Charles Docherty:

Vous parlez peut-être de l'assurance-dépôts de la SADC. Ce n'est pas lié aux cybermenaces ou aux cyberattaques. En ce qui concerne la limite pour les banques, s'il y a eu une fraude et que les clients ne sont pas fautifs, mais que les mécanismes de sécurité ont été compromis, les clients seront remboursés.

M. Pierre Paul-Hus:

Est-ce que ce serait le montant total?

M. Charles Docherty:

Oui, monsieur: 100 %.

M. Pierre Paul-Hus:

D'accord.

Je vous remercie. [Français]

Le président:

Monsieur Dubé, vous avez sept minutes.

M. Matthew Dubé (Beloeil—Chambly, NPD):

Merci, monsieur le président.

Messieurs, merci d'être ici.

J'ai une question sur la relation entre les banques et les entreprises de cartes de crédit. Cette relation est plus compliquée que les gens ne le pensent.

Il y a cette croyance selon laquelle c'est la banque qui est responsable de plusieurs éléments d'une transaction par carte de crédit, mais, dans les faits, c'est l'entreprise de cartes de crédit qui l'est.

Le commissaire à la protection de la vie privée nous a fait part d'inquiétudes liées au fait que les serveurs des entreprises de cartes de crédit se trouvent souvent ailleurs, notamment aux États-Unis. Les protections légales auxquelles les clients ont droit en raison de leur citoyenneté n'y sont pas nécessairement les mêmes. Il y a aussi le fait qu'un acteur malveillant pourrait poser des risques additionnels, si jamais les relations entre deux pays se dégradaient. Dans cette optique, des serveurs sur lesquels nos données se trouvent, par exemple des serveurs américains, pourraient devenir une cible.

Les banques, qui font affaire avec ces entreprises, ont-elles un rôle à jouer dans cela? Le gouvernement canadien peut-il faire quelque chose pour protéger les données et les transactions des Canadiens?

Selon ce que je comprends, les entreprises de cartes de crédit sont indépendantes des banques. Néanmoins, les banques font affaire avec ces entreprises pour certains aspects importants de leurs activités. [Traduction]

M. Andrew Ross:

Je crois pouvoir dire que les banques et les sociétés émettrices de cartes de crédit sont interreliées. Il y a des échanges de données. Les sociétés émettrices de cartes de crédit possèdent des données relatives à la transaction, mais c'est également le cas des banques. Au bout du compte, si la carte de crédit est émise au Canada, de toute évidence, les banques sont obligées de respecter les exigences énoncées dans la loi canadienne. [Français]

M. Matthew Dubé:

Je veux m'assurer de bien comprendre.

Il y a les obligations qui vous sont imposées. Si vous faites affaire avec une entreprise de cartes de crédit, que ce soit Visa, Mastercard ou une autre, les données sur les transactions des clients par carte de crédit sont maintenues sur les serveurs de l'entreprise de cartes de crédit. Cela pose-t-il un problème relativement à la protection légale offerte dans le pays où les données sont entreposées? Est-ce toujours la même obligation qui s'applique? Si Visa, par exemple, a connaissance d'une fuite sur des serveurs américains, est-ce la banque canadienne qui porte la responsabilité de cette fuite? [Traduction]

M. Charles Docherty:

Je peux vous affirmer que les banques demeurent responsables de l'information personnelle de leurs clients. Quand elles établissent un contrat avec un tiers, par exemple, et qu'elles externalisent le traitement des données, elles ont alors la responsabilité de veiller à ce qu'il y ait en place des mécanismes de sécurité et de protection des renseignements personnels. Elles le feraient savoir à leurs clients si leurs données étaient conservées à l'étranger et soumises aux lois de ce pays.

Ce qu'il est important de ne pas oublier, c'est que quand les banques externalisent le traitement des données, cela ne signifie pas qu'elles se dégagent de leurs obligations. Les Canadiens peuvent avoir la certitude que leurs données sont protégées par le secteur bancaire.

M. Matthew Dubé:

Je veux simplement m'assurer de bien comprendre votre réponse. Je m'excuse; je ne cherche pas à vous piéger de quelque façon que ce soit. J'essaie simplement de mieux comprendre ce qui se passe avec les données qui transitent un peu partout. Cela fait partie de l'objectif de notre étude.

Disons qu'une banque a conclu une entente avec une société émettrice de cartes de crédit qui se trouve aux États-Unis. Nous allons présumer que ces sociétés se trouvent en majorité aux États-Unis. Si les serveurs de la société émettrice de cartes de crédit sont là-bas, qu'il se produit quelque chose à l'étranger, avec cette société, et que des clients canadiens en subissent les effets, conformément à l'entente que vous avez avec elle, vous respecteriez les obligations imposées aux banques par la loi canadienne.

(1630)

M. Charles Docherty:

S'il s'agit d'un accord d'impartition, oui, absolument. S'il s'agit d'un tiers indépendant, les lois du pays où l'information est détenue par ce tiers pourraient s'appliquer.

M. Matthew Dubé:

Quand vous le dîtes « tiers indépendant », est-ce que c'est semblable à ce que nous disons dans le contexte du système bancaire ouvert et ce genre de choses?

M. Charles Docherty:

Oui, mais je tiens à vous rappeler que quand il est question des banques et de la protection des renseignements de leurs clients, si les mécanismes de sécurité de la banque ont été compromis — ce qui est très rare —, la banque se conformerait à la loi canadienne et prendrait toutes les mesures nécessaires pour indemniser entièrement ses clients.

M. Matthew Dubé:

Si les mécanismes de sécurité d'une société émettrice de cartes de crédit faisant affaire avec de multiples banques sont compromis, est-ce que les banques estiment que la responsabilité relative aux clients touchés leur incombe? Est-ce que je comprends bien?

M. Andrew Ross:

Oui. Les banques assumeraient la responsabilité directe de leurs relations avec les clients en pareilles circonstances. [Français]

M. Matthew Dubé:

C'est parfait, merci.

Il y a un autre élément que je veux aborder.

Dans votre présentation, vous avez mentionné que 72 % des Canadiens utilisent Internet ou des applications mobiles pour effectuer leurs transactions bancaires.

Un aspect qui revient souvent concerne les réseaux sans fil. On peut bien avoir le réseau le plus sécurisé au monde, mais, si les mises à jour des logiciels sur notre équipement ou notre téléphone cellulaire ne sont pas faites à temps, cela peut créer des brèches et causer des ennuis assez importants relativement aux transactions financières.

Par le passé, votre organisation a dit qu'on devrait adopter des normes pour les produits que les gens utilisent afin d'accéder à leurs données. Pourriez-vous nous en dire un peu plus? On évoque souvent le concept d'Internet des objets, une expression que j'aime bien. Cela peut avoir des conséquences sur les transactions financières. [Traduction]

M. Andrew Ross:

En ce qui concerne les réseaux sans fil, encore là, cela relève du secteur des télécommunications et des mécanismes que le secteur serait tenu d'adopter. L'utilisation de réseaux sans fil a des effets qui dépassent les services financiers et les transactions financières. Cela étant dit, nous parlons très clairement à nos clients de la question de la communication des renseignements. Cela nous ramène à l'éducation des clients, qui doivent savoir où faire et ne pas faire des transactions financières. Nous continuons de leur transmettre ce message. L'information du public est un aspect pour lequel nous encouragerions certainement le gouvernement à en faire plus, de sorte que les Canadiens puissent se sentir en sécurité, sans égard au type de transaction qu'ils réalisent au moyen de réseaux sans fil, qu'il s'agisse de transactions financières ou autres.

Le président:

Merci, monsieur Dubé.

Madame Sahota, vous avez sept minutes.

Mme Ruby Sahota (Brampton-Nord, Lib.):

J'aimerais commencer par dire aux gens de l'Association des banquiers canadiens que jusqu'à maintenant, le Comité n'a entendu que d'excellentes choses à propos de l'efficacité des banques dans le domaine de la cybersécurité. La plupart des témoins nous ont dit que les banques sont en fait des chefs de file.

J'aimerais beaucoup que vous me disiez ce que cela représente comme investissement pour les banques, et que vous me décriviez la façon dont vous travaillez avec d'autres banques à l'étranger ainsi que les partenariats que vous avez. Vous avez mentionné, dans votre exposé, que vous trouvez important que le gouvernement investisse dans le milieu universitaire. Je crois que vous parliez de la création d'un programme d'études sur la cybersécurité et de la nécessité d'investir dans ce domaine.

Est-ce que vous le faites déjà du côté du secteur privé? Dans l'affirmative, pouvez-vous nous en dire plus sur les institutions avec lesquelles vous travaillez et où vos experts de la cybersécurité obtiennent leur formation ou leur perfectionnement?

Je sais que je vous pose beaucoup de questions, mais je vous en saurais gré de répondre à chacune.

M. Charles Docherty:

Je vais certainement répondre à certains éléments.

En ce qui concerne le perfectionnement, les banques investissent massivement dans des événements comme des marathons de programmation, qu'on appelle des hackathons, dont l'objectif est de faire la promotion des compétences cybernétiques au Canada.

Andrew, est-ce que vous voudriez ajouter quelque chose?

(1635)

M. Andrew Ross:

Bien sûr, les banques ont la chance d'avoir les ressources nécessaires pour contrer les risques relatifs à la cybersécurité. Comme nous l'avons dit dans notre exposé, la confiance est au cœur de tout ce que nous faisons dans le domaine bancaire. Nous devons donc investir beaucoup en matière de cybernétique. Nous faisons diverses choses dans le secteur privé. Nous avons mentionné le sommet sur la cybersécurité au Canada que l'ABC organise et qui réunit un millier d'experts de la sécurité venant de diverses banques pour une séance d'une journée. De plus, de nombreuses banques ont investi dans des partenariats avec des universités de partout au pays de même qu'à l'étranger.

Mme Ruby Sahota:

Quelles sont les universités qui pavent la voie dans ce domaine?

M. Andrew Ross:

Il y en a plusieurs. Waterloo en est une, avec l'informatique quantique. Il se fait aussi beaucoup de travail dans l'Ouest. Le Nouveau-Brunswick accorde beaucoup d'attention à la cybersécurité. Divers centres continuent d'apparaître. De toute évidence, les banques canadiennes veulent offrir leur soutien à cela. Nous pensons fermement qu'il y a de bons résultats à relater au Canada; les choses vont bien. Il y a cependant une pénurie à l'échelle mondiale, et il y a une pénurie chronique d'experts en cybersécurité. Il faut veiller à ce que cela soit constamment présent à l'esprit des Canadiens, et c'est la raison pour laquelle nous suggérons que ce soit intégré dans les programmes d'enseignement public, pour amener les gens à penser avant toute chose à la cybersécurité.

M. Charles Docherty:

Pour ce qui est d'exemples précis d'investissements, nos membres ont financé des laboratoires de cybersécurité à l'Université de Waterloo. Des membres ont investi à l'étranger, notamment à l'Université Ben-Gurion, en Israël, un centre de cybersécurité de renommée mondiale. Un autre membre a conclu une alliance stratégique avec la Banque Leumi, d'Israël, ainsi qu'avec la Banque nationale d'Australie, afin de coopérer dans les domaines des services bancaires numériques, de la technologie financière et de la cybersécurité. Nous avons quelques exemples d'investissements dans des institutions canadiennes et étrangères.

Mme Ruby Sahota:

Où vont vos membres pour embaucher des professionnels? Sont-ils capables de trouver des gens au Canada ou doivent-ils aller à l'étranger? S'ils doivent aller à l'étranger, où vont-ils précisément?

M. Charles Docherty:

Ils ne sont pas limités concernant les gens qu'ils embauchent. Il y a assurément une pénurie mondiale d'experts en cybernétique. Ils doivent donc aller voir dans tous les pays pour trouver des talents en cybernétique qui soient capables d'assurer la protection des renseignements personnels de nos clients.

Mme Ruby Sahota:

Est-ce qu'il y a eu des répercussions sous la forme d'amendes ou est-ce que la seule motivation est la sécurité publique et le maintien des activités commerciales?

M. Andrew Ross:

Je crois que c'est parce que les Canadiens en sont venus à s'attendre à ce que le secteur bancaire soit digne de leur confiance. Je crois que c'est la stabilité financière de l'économie en général.

Nous exprimons très clairement que nous souhaitons faire profiter d'autres secteurs de nos connaissances. Nous l'avons mentionné dans nos déclarations précédentes, que les banques sont d'ardents partisans de l'Échange canadien de menaces cybernétiques. Cela permettra essentiellement aux banques, qui détectent très efficacement les cyberincidents, de faire profiter de leurs compétences d'autres organisations qui n'ont pas les mêmes capacités.

Mme Ruby Sahota:

Combien de temps me reste-t-il?

Le président:

Un peu moins de deux minutes.

Mme Ruby Sahota:

D'accord.

Récemment, nous avons entendu parler d'une société de monnaie numérique appelée Quadriga. Je me demande si vous en avez entendu parler. Au décès du propriétaire, on a découvert que la monnaie numérique dans laquelle des gens avaient investi n'avait aucune valeur et qu'il n'y avait pas un sou. On appelait cela des « portefeuilles », apparemment, ou quelque chose de ce genre. C'est comme le Bitcoin, je pense bien.

Que pensez-vous de la réglementation à laquelle ces sociétés sont soumises, par rapport à la réglementation à laquelle l'industrie bancaire est soumise? Avez-vous des observations ce sujet?

(1640)

M. Andrew Ross:

Que je sache, le gouvernement envisage des mesures législatives visant les cryptomonnaies. Ces entités ne relèvent pas pour le moment du secteur financier. Du moins, elles ne sont pas soumises aux exigences et règlements qui visent les banques.

Mme Ruby Sahota:

Je sais que le gouvernement envisage cela. Avez-vous des suggestions ou des opinions sur les façons dont ces entreprises pourraient être réglementées de sorte qu'elles puissent mieux protéger la cryptomonnaie qu'elles offrent?

M. Andrew Ross:

Je ne ferai qu'un commentaire général. Alors que nous passons à un environnement numérique, les secteurs qui continuent de faire leur entrée dans cet espace doivent s'assurer d'exercer une surveillance pertinente garantissant l'adoption de dispositions relatives à la cybersécurité.

Le président:

Monsieur Motz, vous avez cinq minutes.

M. Glen Motz:

Merci, monsieur le président.

Je vous remercie de votre présence.

Vous avez indiqué précédemment que l'éducation est un élément important pour améliorer la cybersécurité et contrer la cyberfraude. Est-ce que vos banques soutiennent des organisations particulières qui travaillent à améliorer l'éducation ou les meilleures pratiques de vos consommateurs ou des Canadiens en général?

M. Charles Docherty:

L'Association des banquiers canadiens appuie en effet des initiatives visant la littératie financière. Cette éducation vise en partie à empêcher les gens de tomber dans les pièges des fraudeurs, entre autres choses. Nous avons également de l'information sur notre site Web. Nous sommes en plein Mois de la prévention de la fraude, et nous participons à cela.

Je sais que nous contribuons dans une très grande mesure à l'Échange canadien de menaces cybernétiques et que nous communiquons de l'information au sujet des cybermenaces.

M. Andrew Ross:

Nous travaillons aussi avec Sécurité publique Canada au Mois de la sensibilisation à la cybersécurité.

M. Glen Motz:

D'accord.

Quand cette étude a été lancée, mon collègue Michel Picard voulait que nous portions notre attention sur… Quand nous avons parlé de cybersécurité, nous avons dit que nous voulions nous concentrer sur les incidences économiques que cela avait sur les Canadiens et sur les aspects financiers de cela, du point de vue de la cybersécurité. À ce jour, ce que nous avons entendu de la part de nombreux témoins, presque exclusivement, c'est de l'information technique au sujet de la façon dont cela se produit et au sujet des vulnérabilités de notre Internet et de notre infrastructure.

Je pense bien que du point de vue du consommateur canadien, du point de vue du public canadien, il faut que vos deux organisations aient une idée de la façon dont nous pouvons tirer le maximum de toute cette étude, si vous le voulez, ou de l'ensemble du concept de la cybersécurité, afin de réduire les risques de vol d'identité pour les consommateurs canadiens. Nous savons tous que le vol de données est le plus important élément du marché noir, du Web invisible. De toute évidence, il y a des gains financiers à faire.

Compte tenu de cela, d'après vous, qu'est-ce que le comité devrait recommander pour garantir que le public canadien est… Je sais que les Canadiens contribuent à leur propre vulnérabilité — nous comprenons cela —, mais du point de vue du gouvernement, comment pouvons-nous atténuer ce risque?

M. Andrew Ross:

Pour moi, c'est une question de sensibilisation du public. Si le gouvernement est capable de diffuser le message et que le secteur financier est prêt à travailler avec le gouvernement, au bout du compte, nous faisons de notre mieux dans le secteur pour informer les consommateurs des vulnérabilités qui existent. Nous devons reconnaître qu'il y a beaucoup de vulnérabilité en dehors du secteur financier. Si les sociétés canadiennes de tous les secteurs peuvent, avec le secteur public, diffuser le message sur les risques qui existent, ce serait pour moi la première étape.

M. Glen Motz:

Cela étant dit, si des entreprises d'un côté ou de l'autre, qu'il s'agisse de membres de la chambre ou d'institutions bancaires, détectent une vulnérabilité dans leurs propres systèmes, seraient-elles portées à les signaler ou tenteraient-elles de les camoufler? S'il est question de protéger les Canadiens, il y a une frontière, et nous devons nous assurer que nous sommes tous sur la même longueur d'onde afin de tenter de corriger une vulnérabilité. Selon vos observations, que font les industries et les entreprises pour corriger leurs propres vulnérabilités afin de protéger les Canadiens?

(1645)

M. Scott Smith:

Si vous n'y voyez pas d'objection, je voudrais répondre à cette question. L'Échange canadien de menaces cybernétiques, ou ECMC, a été évoqué à quelques reprises. Il s'agit d'un regroupement d'entreprises qui se sont réunies sous une seule enseigne pour échanger des renseignements sur les vulnérabilités.

Peut-être devrions-nous nous attarder au vocabulaire un instant. Il existe une différence substantielle entre une vulnérabilité et une atteinte à la sécurité. Une vulnérabilité est une porte arrière dont on ignore l'existence. Le fait qu'une menace existe sur un réseau ne signifie toutefois pas nécessairement qu'il y a une atteinte à la sécurité ou qu'une atteinte cause des torts considérables; cela veut dire qu'il existe une lacune qu'il faut corriger. L'échange de renseignements est important, et c'est une activité à laquelle s'adonne actuellement un groupe de grandes entreprises, dont des banques, des compagnies d'assurances et des entreprises de télécommunications. Elles échangent des renseignements actuellement. À l'heure actuelle, le message n'atteint pas la vaste majorité des entreprises, lesquelles n'ont aucune idée des menaces auxquelles elles sont exposées. Je pense que c'est un problème que le gouvernement pourrait contribuer à éliminer en favorisant la transmission de certaines informations aux petites entreprises.

Je sais que l'ECMC cherche des moyens de mobiliser les petites entreprises afin de faire passer l'information au milieu des affaires, au-delà des grandes banques, des compagnies de télécommunications et des grandes entreprises de transport, qui protègent toutes fort bien les Canadiens à l'heure actuelle. L'ECMC s'est d'ailleurs adressé à nous et nous cherchons des moyens de l'aider à cet égard.

Le président:

Merci, monsieur Motz. Cela nous amène malheureusement à la fin de notre période de questions.

Notre prochain témoin est M. Masson, lequel avance, dans son mémoire, que les industries sont plus à risque qu'elles ne le pensent. Il indique que chez les entreprises du palmarès Fortune 500, son entreprise a détecté dans 80 % des cas une cybermenace ou une vulnérabilité dont la compagnie n'était pas consciente, qu'il s'agisse de maliciels, d'une mauvaise configuration du réseau ou d'un autre problème. Chez les petites entreprises, ce risque bondit à 95 %.

Monsieur Smith, que diriez-vous à M. Masson? Il est assis juste derrière vous.

M. Scott Smith:

Je dirais qu'il a probablement raison à propos des petites entreprises. Je pense qu'une menace perdure pendant 271 jours en moyenne sur le réseau avant d'être détectée. Le problème est probablement moindre dans les grandes entreprises. Honnêtement, je ne pourrais pas avancer de chiffre. Les chiffres diffèrent selon les sondages, mais ils sont plus élevés qu'ils ne le devraient.

Le président:

Sur ce, je vais malheureusement devoir mettre fin à cette partie de la séance.

Nous suspendrons brièvement la séance pendant qu'un nouveau groupe de témoins s'installe.

Merci.

(1645)

(1650)



Le président: Mesdames et messieurs, nous reprenons la séance.

Nous recevons M. Andrew Clement, qui témoigne par vidéoconférence depuis Salt Spring Island, en Colombie-Britannique.

La température est plus clémente là où vous vous trouvez, monsieur.

Nous recevons également M. David Masson.

Comme nous éprouvons aujourd'hui des problèmes techniques à divers égards, je pense qu'il serait probablement préférable d'entendre M. Clement en premier pour éviter toute difficulté technique potentielle.

M. Andrew Clement (professeur émérite, Faculty of Information, University of Toronto, à titre personnel):

Je remercie le Comité de m'offrir l'occasion de contribuer à ses importantes délibérations sur la cybersécurité dans le secteur financier comme un enjeu de sécurité économique nationale.

C'est avec plaisir que je réponds à votre invitation à formuler des observations sur les infrastructures essentielles, le routage Internet, le routage de données et les technologies de l'information.

Vous avez entendu un grand nombre d'observations pertinentes au cours des séances précédentes, notamment sur le fait que les infrastructures essentielles ne concernent pas que le secteur financier, mais aussi l'économie canadienne en général; que ces infrastructures évoluent rapidement, de manières risquées qui ne sont, de façon générale, pas transparentes ou bien comprises; et que les menaces à la sécurité de ces infrastructures comportent de multiples facettes, sont complexes et se multiplient.

En ce qui concerne ces risques, j'appuie particulièrement la recommandation que M. Leuprecht a formulée précédemment, à savoir: que le Canada mette en oeuvre une stratégie de localisation de données souveraines, renforcée par des incitatifs législatifs et fiscaux, qui obligerait les données essentielles à être conservées uniquement sur le territoire canadien, qui établirait des normes et des attentes claires pour la résilience des infrastructures de communication canadiennes, qui surveillerait cette résilience et qui imposerait des pénalités aux entreprises d'infrastructures de communication essentielles qui ne respectent pas les normes ou ne prennent pas les mesures nécessaires pour éliminer leur vulnérabilité.

J'en dirai davantage sur cette recommandation qui concerne les réseaux 5G, mais je l'appliquerai à la réduction des menaces que posent les volumes excessifs de communications de données canadiennes, notamment les données financières qui passent par l'extérieur du pays même lorsqu'elles sont envoyées vers des destinations canadiennes. Ces flux de données ajoutent une kyrielle de risques superflus à la cybersécurité, des risques qui affaiblissent la sécurité économique du Canada de manière générale.

Pour être souverain sur les plans économique et politique, un pays doit exercer un contrôle efficace sur ses infrastructures Internet, veillant à ce que les éléments essentiels restent sur son territoire, sous son autorité juridique, et soient exploités dans l'intérêt public. À l'évidence, cela concerne l'emplacement des bases de données. Le lien avec les voies que les données empruntent entre les bases de données est moins évident, mais ce facteur est tout aussi important. Or, ce domaine primordial est bien moins bien compris; j'en traiterai donc dans mon exposé.

Je m'appelle Andrew Clement, professeur émérite à la faculté de l'information de l'Université de Toronto. Ayant étudié en informatique au début des années 1960, j'ai été témoin de changements remarquables, des bons et des mauvais, dans l'infrastructure numérique qui est maintenant essentielle à notre vie quotidienne. J'ai passé une bonne partie de ma vie universitaire à tenter de comprendre les conséquences sociétales et stratégiques de l'informatisation. J'ai cofondé une entité multidisciplinaire appelée ldentity, Privacy and Security lnstitute afin de m'attaquer de façon concrète et holistique aux questions les plus épineuses soulevées par la numérisation de la vie quotidienne. À l'heure actuelle, je suis membre du comité consultatif sur la stratégie numérique qui prodigue des conseils à Waterfront Toronto sur le projet de ville intelligente qu'il élabore avec Sidewalk Labs.

Dans le cadre de mes recherches, j'ai principalement cherché à cartographier les voies d'acheminement des données sur Internet afin de révéler les endroits par lesquels passent les données et les risques qui se posent en chemin. Mon équipe de recherche a mis au point un outil appelé IXmaps, une sorte d'instrument de cartographie des échanges Internet qui permet aux internautes de voir le chemin que leurs données suivent quand ils accèdent à des sites Web.

Au début de nos recherches, nous avons détecté un cheminement appelé routage boomerang, qui figure sur la première image. Il montre le chemin que parcourent les données entre mon bureau à l'Université de Toronto et le site Web du programme d'aide aux étudiants de l'Ontario, lequel est hébergé dans le complexe du gouvernement provincial, qui se trouve à quelques minutes de marche.

Ce chemin nous a étonnés, d'autant plus que la voie que les données empruntaient pour entrer aux États-Unis et en revenir passait par le même édifice de Toronto, soit le plus grand centre d'échange Internet du Canada, sis au 151, rue Front. Voilà qui était pour le moins contraire à la présomption d'efficacité optimale du routage Internet; cela nous a incités à pousser plus loin notre étude afin de voir à quel point le phénomène était répandu et de comprendre les raisons de ce comportement contre-intuitif. Nous avons baptisé cet aller-retour entre l'étranger et le Canada « routage boomerang », un phénomène qui s'avère fort commun. Nous estimons qu'au moins 25 % du trafic de données canadien passe par les États-Unis. Selon l'Autorité canadienne pour les enregistrements Internet, ou ACEI, ce chiffre serait bien plus élevé.

Plusieurs problèmes qui touchent le routage Internet concernent le Comité.

Plus long est le chemin, plus nombreux sont les risques de menaces physiques, même s'il s'agit de quelque chose d'aussi banal qu'une pelle rétrocaveuse qui coupe un câble à fibres optiques. La distance supplémentaire fait augmenter les coûts et la latence, minant par le fait même l'efficacité et les possibilités économiques.

(1655)



Les données qui passent par les grands centres de communication sont interceptées en lots par la National Security Agency des États-Unis, ou NSA. Avant même les révélations de M. Snowden, nous savions que c'est à New York et à Chicago que s'effectuent principalement les activités de surveillance de cet organisme. Voilà qui pose un risque non seulement pour la protection de la vie privée des Canadiens, mais aussi pour les institutions financières et d'autres organisations importantes. Lors de votre dernière séance, M. Parsons vous a parlé d'un article du Globe and Mail révélant que la NSA surveillait les réseaux privés de la Banque Royale du Canada et de Rogers, pour n'en nommer que deux. Selon cet article, les activités de la NSA pourraient constituer les prémisses de démarches d'investigation s'inscrivant dans un effort global visant à « exploiter » des réseaux de communication interne organisationnels.

Le routage boomerang constitue une autre menace de nature plus générale à la souveraineté nationale. Si un pays dépend d'un autre pour ses cyberinfrastructures essentielles, comme c'est le cas pour le Canada à l'égard des États-Unis, il se rend vulnérable à bien des égards, et pas seulement en raison des organismes espions ou de l'évolution des relations politiques, comme celle que l'on observe actuellement. Le meilleur allié lui-même protégera-t-il les intérêts de ses amis si ses propres infrastructures sont menacées? Si les États-Unis sont la cible d'une cyberattaque, ne seraient-ils pas tentés de couper toute connexion externe, laissant ainsi le Canada en plan? Vous avez entendu dire précédemment que certains considèrent que le Canada constitue une cible plus facile que les États-Unis et pourrait ainsi servir de voie d'accès vers nos voisins du Sud. Les États-Unis pourraient-ils en arriver à voir le Canada comme une source de menace et à couper nos liens?

Jusqu'à présent, j'ai traité du risque que pose le passage du trafic canadien par les États-Unis. Or, un argument semblable s'applique encore plus aux communications du Canada avec des pays tiers. Nos données cartographiques donnent à penser qu'environ 80 % des communications canadiennes avec d'autres pays que les États-Unis passent physiquement par les États-Unis, une situation attribuable au manque relatif de câbles optiques transocéaniques sur les côtes canadiennes, illustré clairement dans les cartes dressées par TeleGeography, un service de cartographie qui fait figure d'autorité dans le domaine. J'espère que vous pouvez voir les diapositives.

Seulement trois câbles optiques transatlantiques arrivent sur la côte Est canadienne, alors que la capacité est de loin supérieure au sud de la frontière. La plus grande partie de notre trafic à destination de l'Europe passe par les États-Unis. Fait remarquable, il n'y a aucun câble optique transpacifique sur notre côte Ouest; tout le trafic vers l'Asie passe donc par les États-Unis. La meilleure manière d'évaluer la capacité des banques à résister à une débâcle financière consiste à les soumettre à une épreuve de tolérance. Que révélerait la mise à l'épreuve des cyberinfrastructures canadiennes? Si, pour une raison quelconque, notre connexion avec les États-Unis était coupée, même si c'était pour des motifs légitimes d'autodéfense, à quel point le réseau Internet du Canada s'avérerait-il résilient? Nous devrions le savoir, mais nous l'ignorons. Les preuves disponibles laissent penser qu'il serait très peu résilient.

Que devrions-nous faire à cet égard? De façon générale, la bonne manière de réagir stratégiquement consiste, comme M. Leuprecht l'a indiqué, à adopter une stratégie de « localisation des données souveraines » incluant le routage des données. Concrètement, il faudrait coordonner un ensemble de mesures techniques, réglementaires et législatives visant à renforcer la résilience.

Nous devrions d'abord exiger que toutes les données de nature essentielle et délicate du Canada soient entreposées, acheminées et traitées au Canada. Nous devrions ensuite soutenir l'établissement et l'utilisation de points d'échange direct de données entre les réseaux en évitant le routage aux États-Unis. L'ACEI montre la voie à cet égard. Nous devrions également accroître la capacité au chapitre de la fibre optique au Canada et entre le Canada et d'autres continents. En outre, nous devrions inclure des exigences de reddition de comptes dans les normes de cybersécurité des institutions financières et des fournisseurs de services de télécommunications en ce qui concerne les pratiques de routage. Enfin, nous devrions établir un observatoire des cyberinfrastructures canadiennes qui serait chargé de surveiller le rendement et la résilience de ces dernières, de répondre aux demandes de recherche et de publier des rapports.

Je vous remercie de votre attention. Je répondrai à vos questions avec plaisir.

(1700)

Le président:

Merci, monsieur Clement.

Monsieur Masson, vous disposez de 10 minutes.

M. David Masson (directeur, Sécurité d'entreprise, Darktrace):

Pour rester bref, je ne lirai pas mon exposé en entier, car je pense que vous en avez un exemplaire sur votre bureau.

Monsieur le président, distingués membres du Comité, mesdames et messieurs, bonjour. Je m'appelle David Masson et je suis directeur national du Canada chez Darktrace, une entreprise de cybersécurité.

Il s'agit du chef de file des entreprises d'intelligence artificielle dans le domaine de la cyberdéfense. Elle sert des milliers de clients dans le monde, et notre intelligence artificielle qui apprend d'elle-même peut défendre tout le parc numérique que les gens possèdent. Notre entreprise compte plus de 800 employés — en fait, il y en a maintenant 900 — et 40 bureaux à l'échelle internationale, dont 3 au Canada.

Avant de me joindre à Darktrace et d'établir l'entreprise au Canada en 2016, j'ai eu le privilège et l'honneur immenses, à titre d'immigrant au Canada, de servir mon pays au sein du ministère de la Sécurité publique pendant plusieurs années. J'ai auparavant travaillé dans le secteur du renseignement et de la sécurité nationale du Royaume-Uni, et ce, à partir de la guerre froide. À l'instar du témoin précédent, j'ai assisté à l'évolution de la cybersécurité au fil du temps, de l'époque précédant l'avènement d'Internet jusqu'à aujourd'hui, alors qu'Internet est omniprésent dans notre société.

Au cours de vos séances antérieures, je pense que vous avez énormément entendu parler de l'ampleur et de la taille de la cybermenace qui plane sur le pays; je vais donc m'attarder à trois points. Je veux d'abord vous faire part de certaines raisons pour lesquelles la cybersécurité constitue un défi apparemment insurmontable, puis je parlerai de menaces précises. Je terminerai en présentant des suggestions et des solutions aux problèmes évoqués.

Selon ce que nous observons à Darktrace, la plupart des organisations ne sont malheureusement pas aussi en sécurité qu'elles le croient. Comme vous l'avez fait remarquer plus tôt, monsieur, quand nous installons notre logiciel d'intelligence artificielle dans les réseaux d'une entreprise du palmarès Fortune 500, nous détectons dans 80 % des cas une cybermenace ou une vulnérabilité que l'entreprise ne connaissait tout simplement pas. Chez les autres entreprises, notamment celles de petite taille, le pourcentage d'entreprises compromises de quelconque manière bondit à 95 %. Il y a donc un problème presque tout le temps.

Ces statistiques font ressortir deux faits. Tout d'abord, il est évident qu'aucune organisation n'est parfaite ou à l'abri. Des organisations de toutes les tailles et de toutes les industries sont non seulement vulnérables aux cyberattaques, mais elles courent plus de risque qu'elles ne le pensent. Les attaques qui ont réussi à atteindre certaines des plus grandes entreprises du monde ces dernières années ont révélé que quelque chose ne fonctionne pas. Même les entreprises du palmarès Fortune 500, qui disposent des budgets, des ressources et de l'effectif pour contrer les cybermenaces, s'avèrent encore vulnérables.

Il y a donc lieu de se demander pourquoi un si grand nombre d'entreprises et d'organisations ignorent qu'elles sont la cible d'attaques ou qu'elles sont vulnérables. L'approche traditionnelle que les entreprises adoptaient par le passé pour assurer la cybersécurité ne fonctionne pas face aux menaces et aux environnements d'affaires de plus en plus complexes d'aujourd'hui.

Autrement dit, le problème ne vient pas que de la cybermenace, mais aussi de la complexité du domaine des affaires qui fait que les gens y perdent leur latin.

Par le passé, les entreprises cherchaient à protéger leurs réseaux contre l'extérieur, renforçant leur périmètre au moyen de pare-feux et de solutions de sécurité des points terminaux. Aujourd'hui, la migration vers le nuage et l'adoption rapide de l'Internet des objets rendent presque impossible la protection du périmètre. Une autre approche traditionnelle connue sous le nom de « règles et signatures », reposait sur le principe de la recherche de problèmes connus. Les attaquants sont toutefois en constante évolution, et cette technique ne réussit pas à détecter les attaques nouvelles et ciblées. Mais surtout, ces approches traditionnelles ne permettent pas aux entreprises de savoir ce qu'il se passe sur leurs réseaux, ce qui rend difficile, voire impossible, la détection des menaces qui s'y trouvent déjà.

Je vais maintenant traiter de deux types potentiels d'attaques qui ont des répercussions d'envergure.

Les attaques ciblant les infrastructures nationales essentielles augmentent de par le monde. Quand il est question d'infrastructures essentielles, on pense habituellement aux réseaux de distribution d'électricité et d'énergie, aux services publics, aux compagnies, aux barrages, aux transports, aux ports, aux aéroports et aux routes. Cependant, l'objet de votre étude, soit le secteur financier du Canada, notamment les grandes banques, fait également partie des infrastructures nationales du pays. Tout comme les routes assurent physiquement les liens au pays, ces organisations assurent les liens au sein de l'économie nationale. Une attaque réussie contre ces institutions de base pourrait perturber dramatiquement le rythme du commerce. La sécurité des institutions financières devrait faire l'objet d'une discussion d'une envergure et d'une gravité aussi importantes que celle portant sur la sécurité de nos réseaux électriques.

Les attaques visant à miner la confiance constituent un autre type d'attaques de plus en plus courant ces dernières années. Le gain financier n'en constitue pas l'objectif. Notre entreprise n'a pu découvrir quel pourrait être le gain financier de ces attaques. Elles visent plutôt à compromettre les données et leur intégrité. Imaginez un attaquant qui cherche à cibler une société pétrolière et gazière. Il pourrait simplement faire cesser les activités d'une installation de forage, mais il pourrait aussi recourir à une tactique plus insidieuse en ciblant les données sismiques permettant de trouver de nouveaux lieux de forage, faisant ainsi en sorte que la société creuserait au mauvais endroit.

Je veux aussi traiter brièvement de ce que nous, à Darktrace, pensons pouvoir attendre du futur des cyberattaques. Nous utilisons l'intelligence artificielle pour protéger les réseaux, mais cet outil s'immisce partout, apparemment dans toutes les industries, tombant également entre les mains d'acteurs malintentionnés. Même si le moment où des attaques perpétrées à l'aide de l'intelligence artificielle fait l'objet de débats, nous pensons qu'il pourrait s'en produire une cette année, alors que d'autres pensent que cela pourrait survenir en 2020 ou en 2025. Nous serons certainement confrontés à de telles attaques dans un proche avenir.

(1705)



Darktrace a déjà détecté des attaques si sophistiquées qu'elles peuvent se fondre parmi les activités quotidiennes du réseau d'une entreprise et passer sous le radar de la majorité des outils de sécurité.

Jusqu'à maintenant, des attaques sophistiquées hautement ciblées ne pouvaient être perpétrées que par des États-nations ou des organisations criminelles très bien dotées en ressources. L'intelligence artificielle abaisse la barre pour ce type d'attaques, permettant à des acteurs moins qualifiés de les perpétrer. L'intelligence artificielle permet d'apprendre à propos de cet environnement cible, de reproduire les comportements normaux des machines et même de se faire passer par des personnes dignes de confiance dans ces organisations.

Les entreprises seront bientôt confrontées à des menaces sophistiquées sans précédent. Nous estimons qu'il est essentiel que les entreprises et le gouvernement — au Canada et dans le monde entier — réfléchissent aux répercussions que ces menaces auront et aux mesures qui doivent être prises pour s'assurer qu'elles peuvent se défendre contre les attaques pilotées par l'intelligence artificielle.

Puisque ce comité et l'industrie se penchent sur des réponses et des solutions, je veux formuler quelques recommandations.

En octobre 2018, (ISC)2 a annoncé que la pénurie de professionnels de la cybersécurité dans le monde avait atteint les trois millions. J'ai vu ce chiffre à répétition ce matin sur LinkedIn. Près de 500 000 de ces postes vacants sont en Amérique du Nord. Au Canada, je pense que c'est 8 000, mais je présume que c'est plus. On s'attend à ce que cette pénurie augmente. Les entreprises ont du mal à embaucher des professionnels. Les gens qu'elles embauchent ont dû mal à suivre le rythme.

Les menaces évoluent très rapidement à l'heure actuelle. Pendant le temps qu'un analyste fait une pause pour aller se chercher une tasse de café, un rançongiciel peut pénétrer un réseau et chiffrer des milliers de fichiers. En plus de ces attaques rapides, les analystes sont aux prises avec une quantité monstre d'alertes concernant des supposées menaces qu'ils doivent examiner, gérer et éliminer. Nous devons trouver un moyen d'alléger le fardeau des professionnels de la cybersécurité, d'élargir le bassin de candidats éventuels en augmentant la diversité dans les processus d'embauche, ainsi que d'outiller ces professionnels en leur fournissant les technologies et les outils nécessaires pour réussir.

Je vais sauter les deux prochains paragraphes.

La collaboration entre les secteurs privé et public sera également essentielle pour résoudre les défis auxquels nous sommes confrontés. Les témoins précédents en ont parlé notamment. Les gouvernements dans le monde entier colligent une mine de renseignements sur les attaques et les techniques d'attaque de leurs adversaires. Bien que certaines restrictions sur ce que les gouvernements peuvent communiquer soient compréhensibles et nécessaires, j'exhorterais le gouvernement canadien et la communauté du renseignement à communiquer les renseignements qu'ils peuvent aux entreprises. L'information est un atout. Si les entreprises comprennent les attaques auxquelles elles sont confrontées, elles pourront mieux se défendre contre ces attaques. L'économie canadienne est mieux protégée contre les répercussions de ces cyberattaques.

Par ailleurs, il est essentiel que les entreprises privées comme la mienne fassent part au gouvernement de leurs points de vue et des leçons qu'elles ont tirées. La capacité du secteur privé de réagir rapidement et de mettre à l'essai de nouvelles technologies crée en quelque sorte un terrain d'essai pour les nouvelles technologies et techniques en matière de cybersécurité. En discutant de ce qui fonctionne ou pas, le gouvernement peut déterminer ce dont les entreprises ont besoin pour recueillir et diffuser ces renseignements — peut-être par l'entremise de l'ECMC qui, je sais, a été mentionné à plusieurs reprises — et aider des industries entières à améliorer rapidement leurs pratiques en matière de sécurité.

Je veux conclure mes remarques en faisant un appel à l'innovation. Les attaquants trouvent constamment de nouveaux moyens d'infiltrer les réseaux, de s'en prendre aux entreprises et de faire des ravages. Il est crucial que nous fassions preuve d'innovation pour nous défendre également. Que ce soit en élaborant de nouvelles technologies, en adoptant des techniques de pointe ou en promulguant de nouveaux règlements, la créativité et la collaboration seront essentielles. Au final, ce n'est pas une question de soutenir le rythme des attaquants, mais d'avoir une longueur d'avance sur eux.

J'ai hâte d'entendre vos questions.

Merci.

(1710)

Le président:

Merci à vous deux de vos exposés.

Sur ce, nous allons passer à Mme Sahota pour sept minutes, s'il vous plaît.

Mme Ruby Sahota:

Merci à tous les deux de vos exposés. Ils nous ont beaucoup éclairés.

Récemment, la revue Diplomat & International Canada a publié un sondage dans lequel des sources ont dit être préoccupées par la protection de la vie privée en ligne. Leur première préoccupation était les cybercriminels et la deuxième, les entreprises Internet qui s'en prennent à leurs renseignements personnels.

Pensez-vous que les sociétés, surtout les entreprises de médias sociaux et celles qui sont vos clients, pourraient faire plus, non seulement pour veiller à ce que les données de leurs utilisateurs soient protégées mais aussi pour veiller à ce que les utilisateurs se sentent protégés? À la lumière de votre exposé, le tableau est très sombre. Avec toute la technologie que nous utilisons, tout est maintenant stocké dans le nuage. Le danger est plus élevé que jamais.

Qu'allons-nous faire? Je sais que vous avez proposé quelques solutions. Pour ce qui est de l'innovation et des investissements par le gouvernement, vous avez parlé d'échange de renseignements entre le secteur privé et le gouvernement. À votre avis, comment un gouvernement peut-il stimuler l'innovation?

Vous avez mentionné la réglementation également. Pensez-vous que l'on peut réglementer cela? Est-ce quelque chose que nous pouvons faire? Y a-t-il un pays qui s'en tire mieux que nous à l'heure actuelle? Quelles leçons pourrions-nous tirer?

M. David Masson:

Vous avez posé de nombreuses questions.

En ce qui concerne les médias sociaux, puis-je demander au professeur de vous répondre en premier? Je pense que sa position sera un peu plus intéressante que la mienne.

M. Andrew Clement:

Eh bien, je ne le sais pas, mais il y a eu de nombreux articles parus récemment sur le rôle que jouent les entreprises de médias sociaux, et plus particulièrement Google et Facebook, en raison de leur modèle d'affaires, qui requiert la monétisation des renseignements personnels et la communication entre personnes.

Je dirais qu'elles doivent plus particulièrement faire l'objet d'une réglementation beaucoup plus stricte et que nous devons beaucoup mieux comprendre ce qu'elles font. C'est un moment, plus particulièrement dans le cas de Facebook, où l'on peut exercer des pressions car on entend parler presque tous les jours du travail que ces entreprises font dans les coulisses pour résister à la surveillance et de la façon dont elles essaient de monétiser les données. Ce serait un point de départ, en commençant avec la plus importante de toutes.

Mme Ruby Sahota:

Y a-t-il un pays qui a une longueur d'avance sur nous pour ce qui est de réglementer ces entreprises?

M. Andrew Clement:

Eh bien, il y a certainement l'Europe, avec la mise en oeuvre récente du RGPD, le Règlement général sur la protection des données, dont vous avez sans doute entendu parler et qui impose des pénalités sévères. Certaines de ces entreprises ont reçu des amendes pour diverses infractions. La situation en Europe n'est pas forcément idéale, mais l'Europe réussit beaucoup mieux que le Canada et les États-Unis à gérer ce problème.

Mme Ruby Sahota:

D'importantes amendes sont certainement imposées. Avez-vous des données sur l'efficacité de créer des règlements qui imposent des amendes? Y a-t-il eu une hausse du nombre d'entreprises qui sont intervenues et qui ont accru leur sécurité en ce qui concerne...

M. David Masson:

Je vais vous donner un exemple rapide du fonctionnement du RGPD. Lorsque Facebook a été piraté l'an dernier, le commissaire aux données irlandais en a été informé dans un délai de 24 heures, et la disposition prévue dans le RGPD s'applique dans un délai de 72 heures. L'entreprise n'a pas tardé à intervenir. Elle a reconnu la situation très rapidement. C'est donc un instrument efficace, à mon avis.

Mme Ruby Sahota:

Oui.

Vouliez-vous intervenir?

M. Andrew Clement:

Oh, je dirais simplement qu'il est encore trop tôt pour tirer des conclusions en ce qui concerne le RGPD. Il n'est entré en vigueur qu'en mai de l'an dernier. Il a certainement attiré l'attention des gens. Je ne pense pas qu'on ait eu le temps d'évaluer son efficacité, mais je dirais que tout indique que c'est un bon premier pas pour régler les problèmes. Le Canada est confronté au défi de déterminer si sa loi sur la protection des renseignements personnels, la LPRPDE, est sensiblement équivalente au RGPD. Il est à espérer que la LPRPDE sera renforcée pour qu'elle soit considérée comme étant équivalente à ce règlement.

(1715)

M. David Masson:

J'assiste à de nombreuses conférences et foires commerciales et, depuis quelques années, tout le monde parle du RGPD. En tant que nouvel immigrant au Canada, j'étais un peu contrarié que personne ne semblait se soucier de la Loi sur la protection des renseignements personnels numériques et de la mise à jour de la LPRPDE que nous allions effectuer. Les gens se souciaient davantage de l'incidence du RGPD que de nos propres lois. Ils avaient probablement raison d'être inquiets, car le RGPD est plus radical que notre réglementation, à mon avis.

En vertu de notre règlement, nous ne sommes pas tenus de signaler les atteintes dans un délai précis; il faut que ce soit fait le plus tôt possible. On a discuté d'amendes allant jusqu'à 100 000 $, mais je n'ai pas vu dans les faits que des montants à payer ont été fixés. Au final, ce sont des atteintes à la vie privée; ce ne sont pas des violations en général. Je pense que le RGPD couvre les deux.

Mme Ruby Sahota:

D'accord, merci.

Me reste-t-il une minute?

Le président:

Il vous reste un peu plus d'une minute.

Mme Ruby Sahota:

D'accord, parfait.

Pour bon nombre de ces travaux, c'est une question d'argent et d'investissements que le gouvernement doit injecter au bon endroit. Nous avons certainement prévu des fonds pour la cybersécurité dans notre dernier budget, à savoir plus de 500 millions de dollars, si bien que c'est un pas dans la bonne direction.

Où voudriez-vous que nous investissions les fonds et, s'il faut plus d'argent, où devrions-nous l'investir?

M. David Masson:

Je pense que l'une des meilleures mesures était de créer le Centre canadien pour la cybersécurité en tant que guichet unique, car avant cela, on ne savait pas trop à qui s'adresser. Si on se fait pirater, à qui doit-on s'adresser? Personne ne le sait vraiment. Ce n'est pas une situation idéale.

Les parties intéressées veulent probablement investir plus d'argent pour examiner l'adoption de règlements additionnels. L'histoire nous révèle que d'importants groupes ne font rien jusqu'à ce qu'ils soient contraints d'agir, mais je vous ai signalé que Facebook a certainement fait appel au RGPD lorsqu'il s'est fait pirater, si bien que vous voudrez probablement vous pencher là-dessus. De plus, vous voudrez peut-être examiner la possibilité d'adopter d'autres lois pour mettre fin à l'influence de pays étrangers dans les élections, notamment aux fausses nouvelles et à l'ingérence étrangère. C'est une réalité. Vous voudrez probablement en faire un peu plus à cet égard.

Le président:

Nous devons malheureusement vous interrompre. Votre temps de parole est écoulé, madame Sahota.[Français]

Monsieur Paul-Hus, vous avez la parole pour sept minutes.

M. Pierre Paul-Hus:

Merci, monsieur le président.

La question de ma collègue correspond à la façon dont je voulais aborder la question.

Vous avez mentionné que les Canadiens disent toujours « s'il vous plaît ». Je pense que nous, les Canadiens, sommes très naïfs lorsqu'il est question de cybersécurité. Nous croyons toujours que c'est le problème des autres ou nous n'osons pas agir.

Monsieur Masson, quand vous observez le comportement général du Canada à l'égard du problème de cybersécurité, sans compter l'intelligence artificielle et les problèmes à venir, constatez-vous qu'il accuse un retard important au chapitre de sa protection?

Notre étude actuelle porte sur les banques et le système financier. Sur une échelle de 1 à 10, quel est le degré de vulnérabilité de notre système bancaire? [Traduction]

M. David Masson:

Je vais intervenir en premier, monsieur, mais je serai très bref.

Nous déployons beaucoup d'efforts au Canada pour établir ce que nous ferons après coup. Nous attendons qu'une attaque soit perpétrée pour gérer la situation. Nous menons de nombreux efforts pour gérer les attaques après coup. J'aimerais que le Canada consacre plus d'efforts ou fasse de son mieux pour prévenir les piratages. Nous pourrions déployer plus d'efforts en ce sens.

Pour ce qui est du système bancaire, en dehors du gouvernement, il y a de nombreux renseignements sur la portée des menaces auxquelles nous sommes confrontés au pays. Au gouvernement, où je travaillais, les menaces sont nombreuses. Je ne sais pas si vous avez entendu parler des millions de piratages qui surviennent au gouvernement, mais en dehors du gouvernement, nous ne savons pas trop ce qu'il en est. Avec la LPD qui est entrée en vigueur la semaine dernière et les dispositions pour signaler au Commissariat à la protection de la vie privée les atteintes à la vie privée par l'entremise de cyberactivités, nous avons probablement une occasion de mieux évaluer la portée des menaces en dehors du gouvernement. Je ne suis pas tout à fait certain que le Commissariat à la protection de la vie privée soit le forum approprié pour faire des évaluations, mais il recueillera des renseignements.

Sur une échelle de 1 à 10, je doute que les banques, qui communiquent peu de renseignements — bien qu'elles doivent sans doute faire preuve d'une grande ouverture avec la Banque du Canada —, produiront une évaluation, pour être honnête avec vous. Je dirais qu'elles sont probablement meilleures que la majorité des démocraties occidentales libérales. En fait, le Canada est connu pour avoir d'assez bons règlements pour son système financier, et c'est la raison pour laquelle il a souffert comme tout le monde en 2008. Les banques ont été secouées, mais elles s'en sont raisonnablement bien sorties. Je leur donnerais donc la note de sept ou huit. Voilà.

(1720)

[Français]

M. Pierre Paul-Hus:

J'aimerais revenir sur la question de l'attitude. Comme vous l'avez confirmé, il est important aujourd'hui de comprendre l'attitude canadienne à l'égard du problème. Croyez-vous qu'il est important de faire passer le message selon lequel nous devons avoir une position robuste?

Vous avez travaillé dans un autre gouvernement auparavant et vous travaillez maintenant dans le secteur privé. Je sais que les gens ayant travaillé au gouvernement et qui sont maintenant dans le secteur privé ont une vision très différente des problèmes. Des gens qui sont venus nous rencontrer, par exemple d'HackerOne ou d'autres entreprises, ont une vision claire du problème.

D'un point de vue gouvernemental, il y a toujours des difficultés et on parle seulement d'investissement. Oui, l'investissement est important, mais l'attitude que nous devons adopter relativement au problème doit-elle être très différente, et ce, dès maintenant? [Traduction]

M. David Masson:

Oui; je dirai oui. Vous avez besoin de la technique du bâton et de la carotte, mais il vous faudra probablement un plus gros bâton. La LPD prévoit que vous devez signaler les atteintes le plus tôt possible. Vraiment? Pourquoi ne pas prévoir un délai de 72 heures comme tout le monde? Oui, vous pourriez certainement allonger le bâton.

Pour ce qui est des investissements, en réponse à ce que Mme Sahota a dit plus tôt, j'investirais dans ces volets du secteur privé canadien, mais probablement davantage dans le milieu universitaire, qui effectue des travaux novateurs à l'heure actuelle pour lutter contre ce problème et qui permet au secteur privé, comme je l'ai déjà dit, de se retourner très rapidement et de tirer des leçons de leurs échecs. C'est ce que nous faisons constamment. Cela ne nous dérange pas; l'échec devient une réussite. Investissez dans ces entreprises qui sont disposées à faire cela pour essayer d'atteindre notre objectif le plus rapidement possible.

Le professeur a sans doute des observations à faire à ce sujet.

M. Pierre Paul-Hus:

J'ai une autre question pour lui, si vous me le permettez.[Français]

Monsieur Clement, vous avez écrit un article intitulé « Addressing mass state surveillance through transparency and network sovereignty, within a framework of international human rights law — a Canadian perspective », dans une édition spéciale du Chinese Journal of Journalism and Communication Studies. Je voudrais savoir comment votre article a été reçu en Chine. [Traduction]

M. Andrew Clement:

C'est une question intéressante. Je ne peux pas vraiment me prononcer à ce sujet. J'ai été invité à une séance sur la gouvernance d'Internet à Beijing, et j'écris à propos de la souveraineté des réseaux depuis un certain temps, mais lors de mon séjour en Chine, je sais que le président Xi Jinping a utilisé l'expression « souveraineté des réseaux » dans une perspective très différente à propos de l'infrastructure Internet chinoise.

J'ai pris la peine de préciser que la souveraineté doit être comprise dans un cadre international des droits de la personne, et c'est ce que j'ai fait. Mon exposé a été très bien reçu par certaines personnes de l'auditoire. J'ai reçu des compliments, et les éditeurs étaient impatients de publier mon article dans la revue, mais c'était en chinois et, malheureusement, je n'ai pas eu d'autres nouvelles d'eux.

Je ne sais pas si c'était le mutisme absolu ou si les gens l'ont apprécié discrètement, et c'est ce que j'espère. Merci d'avoir trouvé cet article.

(1725)

Le président:

Merci, monsieur Paul-Hus.

Monsieur Dubé, vous avez sept minutes, s'il vous plaît.

M. Matthew Dubé:

Merci à vous deux d'être ici.

Monsieur Masson, pour revenir à l'apprentissage automatique et à l'intelligence artificielle... Dans cette étude, nous avons examiné les répercussions des acteurs non étatiques — des gens qui essaient de voler de l'argent et ce genre de choses. C'est une idée très abstraite, mais je me demande quel est votre avis sur l'utilisation de l'intelligence artificielle par des acteurs non étatiques. Autrement dit, nous avons clairement défini les limites relativement au recours à la force et, par exemple, les limites dans le cadre d'un conflit entre pays, ce qu'est un crime de guerre, etc. Sauf erreur, je ne pense pas que la distinction soit très claire pour ce qui est des attaques à l'égard des infrastructures essentielles, plus particulièrement si nous utilisons ce type de machine.

Je me demande simplement — et cette question est ouverte — comment, d'après vous, les acteurs étatiques déploient ces attaques et quelles sont les préoccupations pour le secteur financier ou d'autres secteurs qui pourraient être touchés, où ces règles d'engagement n'existent pas encore forcément.

M. David Masson:

J'ai déjà été diplomate britannique. Je me rappelle qu'il y a 12 ou 14 ans, on m'a expliqué qu'une cyberattaque perpétrée par un État-nation ou un autre État était un acte de guerre. Toutefois, depuis ce temps, il semble que la zone soit devenue bien grise. L'autre semaine, j'ai participé à une conférence durant laquelle le sujet a été amené, et personne ne pouvait dire à quel moment on en est là. C'est peut-être parce que bien souvent, et pour des raisons évidentes, il est plus facile, en particulier pour les démocraties occidentales, de simplement ne pas tenir compte de cette question.

Les acteurs étatiques investissent massivement dans l'intelligence artificielle parce que tout le monde le fait. Les témoins qui ont comparu devant vous précédemment investissent beaucoup dans l'intelligence artificielle pour leurs systèmes bancaires. Cela n'a rien à voir avec la cybersécurité ou les cyberattaques. Ils utilisent l'intelligence artificielle simplement parce qu'elle permet de faire tellement plus de choses, tellement plus rapidement et tellement mieux.

Nous utilisons l'intelligence artificielle parce que nous disons que les êtres humains ne peuvent pas suivre l'ampleur de cette menace, de sorte que nous utilisons l'intelligence artificielle pour accomplir le gros du travail. Dire que l'intelligence artificielle remplacera les gens relève en quelque sorte du mythe. Ce n'est pas le cas. Il n'y a pas de [Inaudible]. Cela n'existe pas.

Ce qu'on voit en ce moment, c'est que l'intelligence artificielle est utilisée à des fins précises pour des outils précis dans des domaines précis. Nous nous en servons pour la cybersécurité, mais les méchants — et je suis heureux de dire « les méchants » parce que nous sommes coincés avec l'Internet des objets — l'utiliseront parce qu'elle leur facilitera les choses. Dans ma déclaration, j'ai signalé à quel point certaines des attaques qui ont été perpétrées par un État-nation, comme l'attaque contre Sony — beaucoup de ressources y ont été consacrées —, ou certaines des attaques en Ukraine, ont nécessité des gens, du temps, de l'argent et des efforts. Cependant, en utilisant l'intelligence artificielle, on a moins besoin d'argent, de temps et d'efforts, et, comme je l'ai dit, l'intelligence artificielle abaissera la barre pour ce type d'attaques.

Lorsqu'on pense à la première attaque perpétrée à l'aide de l'intelligence artificielle — notre entreprise croit qu'elle pourrait se produire cette année; nous voyons des signes de cela depuis longtemps, mais elle pourrait se produire plus tard —, bon nombre des techniques et des systèmes qui sont utilisés actuellement pour protéger les réseaux des cybermenaces deviendront désuets du jour au lendemain. Cela arrivera très rapidement.

Certains acteurs qui menacent l'État et d'autres utilisent l'intelligence artificielle sur le terrain de l'influence étrangère, dans les campagnes de désinformation. Il y a beaucoup d'éléments à cet égard. Vous avez peut-être remarqué que certaines des plateformes de média ont été vivement critiquées après l'horrible attentat survenu en Nouvelle-Zélande parce qu'elles n'ont pas réagi assez rapidement. Mais maintenant, si on utilise l'intelligence artificielle — nous pouvons le faire maintenant —, on peut inventer un mensonge à grande échelle et très rapidement. La mesure dans laquelle ce qui est communiqué est manifestement faux importe peu. Si l'on fait cela, ce type de volume engendre une qualité et les gens y croiront. Voilà pourquoi les acteurs malintentionnés commenceront à investir dans l'intelligence artificielle.

M. Matthew Dubé:

Donc, voici la question que je me pose: si l'on regarde le projet de loi C-59, par exemple, qui donnera au Centre de la sécurité des télécommunications des capacités défensives et offensives — et il s'agit en partie d'arrêter préventivement des maliciels qui... ou un PI, ou ce genre de choses —, y a-t-il des craintes d'escalade et des préoccupations quant à la ligne tracée?

En partie, cette étude... Le problème, c'est que nous sommes tous des profanes, ou du moins la plupart d'entre nous — je ne parlerai pas au nom de tous —, en ce qui concerne ces choses. Ce que je crois comprendre de l'intelligence artificielle — parce que c'est ce que j'ai entendu aussi —, c'est qu'elle ne correspond pas à ce que nous imaginons par la culture populaire. Cela veut-il dire que si, parce qu'on utilise l'intelligence artificielle pour certaines de ces capacités que la loi confère à différents organismes, l'intelligence artificielle...? Dans quelle mesure l'humain intervient-il dans les ajustements? Si cette ligne est si floue quant à ce que sont les règles d'engagement, faut-il craindre que l'intelligence artificielle apprenne comment arrêter quelque chose, que les conséquences puissent être plus graves qu'elles ne l'étaient au départ, mais que le système évolue par lui-même en quelque sorte? Je ne veux pas m'y perdre. J'ignore quel est le jargon à utiliser ici, mais...

(1730)

M. David Masson:

Il arrive déjà que certaines attaques perpétrées par de grands acteurs aient une seule cible, mais qu'on n'ait pas tenu compte des dommages collatéraux. Il y a quelques années, l'attaque NotPetya a été lancée. Elle ciblait l'Ukraine, mais elle s'est répandue dans le monde entier et a causé des dégâts partout.

Pour ce qui est de la façon dont les gens utilisent l'intelligence artificielle maintenant — lorsque je parle d'intelligence artificielle faible, je parle d'outils précis pour des occasions précises —, si l'on craint qu'une attaque perpétrée à l'aide de l'intelligence artificielle soit lancée et qu'elle se dote d'un esprit et agisse de manière autonome, ce n'est pas le cas. C'est le type d'intelligence artificielle qui comprendra toujours un pilote. Il y a encore des êtres humains aux commandes qui décident de laisser faire les choses. Il y aura toujours des dommages collatéraux, surtout si ce sont des acteurs étatiques non réglementés qui...

M. Matthew Dubé:

Si vous me le permettez, puisque mon temps s'écoule...

Je m'intéressais moins à la perte de contrôle des humains et à son portrait qu'à ce qui se passerait s'ils apprenaient les meilleures voies pour être à l'offensive, par exemple.

M. David Masson:

Toute offensive d'un pays comme le Canada aura été mûrement et sérieusement réfléchie. Ce n'est pas seulement une question de pouvoir évaluer les répercussions; c'est ce qu'ils feront auparavant.

M. Matthew Dubé:

Concernant les voies qu'on ferme peut-être non intentionnellement, ce n'est pas au hasard.

M. David Masson:

Il faut être absolument précis dans la démarche.

Le président:

Malheureusement, il vous reste environ 20 secondes. Vous pourrez les utiliser au dernier tour. Merci.

Monsieur Graham, bienvenue au Comité. Gardez à l'esprit que les interprètes essayent de traduire vos propos, peu importe la langue que vous utilisez.

M. David de Burgh Graham (Laurentides—Labelle, Lib.):

S'ils chiffrent ce que je dis en temps réel, nous serons prêts.

Puisque j'ai beaucoup de questions, je vais vous demander de répondre aussi vite que je les pose, si possible. Elles s'adressent à vous deux, et non pas à l'un d'entre vous en particulier.

Tout d'abord, quelle est la durée de vie d'un serveur non corrigé sur Internet? Si quelqu'un met en place un serveur sur Internet et n'y touche plus, pendant combien de temps reste-t-il en ligne?

M. David Masson:

C'est une question de minutes.

M. David de Burgh Graham:

C'est un point important.

M. David Masson:

Lorsqu'on parle d'un correctif, on devrait apporter le correctif dès qu'on le dit.

M. David de Burgh Graham:

À titre d'information, que signifie jour zéro?

M. David Masson:

Il s'agit d'une attaque qui n'a jamais été vue auparavant. Elle est totalement nouvelle.

M. David de Burgh Graham:

Vous avez parlé un peu plus tôt d'une pénurie d'environ un demi-million d'employés et de professionnels dans le domaine de la cybersécurité. Je m'intéresse à la communauté du logiciel libre depuis environ 20 ans et les gens qui m'entourent sont essentiellement les mêmes qui m'entouraient il y a 20 ans. Comment pouvons-nous attirer des gens dans l'industrie du logiciel et de la cybersécurité? Comment faire en sorte que la prochaine génération s'y intéresse et veut en apprendre à ce sujet?

M. David Masson:

Je recommanderais fortement de mener des efforts semblables à ceux que mène le Nouveau-Brunswick, où l'on donne des cours sur la cybersécurité dans les écoles depuis quelques années maintenant, au point où de grandes entreprises s'arrachent maintenant les jeunes de 18 ans lorsqu'ils obtiennent leur diplôme.

M. David de Burgh Graham:

D'accord. Intégrons-nous en général la sécurité dès la conception, ou notre société gère-t-elle plutôt les choses de façon réactive?

M. David Masson:

À l'heure actuelle, elle est en mode réactif. J'aime beaucoup cela lorsque Mme Ann Cavoukian parle de la protection de la vie privée dès la conception — et l'on devrait parler de « sécurité dès la conception ».

Une nouvelle expression est apparue, Sec et DevSecOps et DevOps — c'est-à-dire qu'en écrivant le code, on devrait tenir compte de la sécurité; absolument.

M. David de Burgh Graham:

Monsieur Clement, si vous voulez intervenir, allez-y, car je passe rapidement d'une question à l'autre. Ne vous gênez pas.

M. Andrew Clement:

D'accord.

M. David de Burgh Graham:

À votre connaissance, y a-t-il des avantages sur le plan de la sécurité d'opter pour un code source ouvert plutôt qu'un code source fermé? Est-il sécuritaire d'avoir un système à code source fermé, qui ne permet pas l'accès public au code?

M. David Masson:

Monsieur Clement?

M. Andrew Clement:

Être capable de garder un code ouvert de sorte qu'il peut être vérifié est un important moyen d'assurer la fiabilité et la sécurité.

M. David de Burgh Graham:

Nous avons beaucoup entendu parler des inquiétudes liées à la sécurité des appareils Huawei et on a beaucoup parlé de la question de savoir si nous devrions bannir Huawei au Canada. Le problème concernant Huawei, c'est que son matériel peut contenir des portes dérobées chinoises, et non des portes dérobées acceptées par les organismes du Groupe des cinq, par exemple. Quelle est la source du problème et existe-t-il un système qui ne peut être compromis?

M. David Masson:

Monsieur Clement?

M. Andrew Clement:

Je ne crois pas qu'il existe des systèmes qui ne peuvent pas être compromis, et je signalerais qu'à certains égards, Huawei est le reflet de ce qui est arrivé concernant l'affaiblissement de la sécurité dans les technologies en Occident.

(1735)

M. David de Burgh Graham:

Au fil des ans, il a beaucoup été question des logiciels et de l'installation de portes dérobées. Une fois qu'une porte dérobée est en place, y a-t-il moyen de s'assurer que seule l'organisation qui a demandé à ce qu'elle soit installée puisse l'utiliser, ou une fois qu'elle a été introduite, n'importe qui peut l'utiliser?

M. Andrew Clement:

Je ne dirais pas que n'importe qui peut l'utiliser, mais une fois qu'une porte dérobée existe, il est possible que des gens qu'on ne connaît pas y accèdent.

M. David de Burgh Graham:

D'accord. Savons-nous quelle proportion de notre infrastructure Internet est compromise à l'étape de la fabrication? Il y a deux ou trois mois, on a raconté avoir découvert qu'une puce supplémentaire avait été introduite dans une carte mère à l'étape de la fabrication. Je ne me souviens plus de qui il s'agissait, mais vous êtes probablement tombés là-dessus.

M. Andrew Clement:

Je n'ai aucune donnée. Je crois qu'il serait extrêmement difficile d'en trouver, et nous découvrons des choses qui ont été dissimulées il y a bien longtemps. C'est très difficile. Nous avons besoin de beaucoup plus de transparence et il nous faut pouvoir interroger les codes et les appareils.

M. David Masson:

Et la chaîne d'approvisionnement.

M. David de Burgh Graham:

C'est logique.

Monsieur Clement, dans votre déclaration préliminaire, vous avez parlé de notre capacité de communiquer les données à l'intérieur du pays. Avons-nous présentement la capacité de réseau qu'il faut pour que toutes nos données cheminent sur le territoire canadien, ou est-ce que l'amélioration de l'infrastructure Internet est une question de sécurité nationale?

M. Andrew Clement:

Je n'ai pas d'évaluation de la capacité actuelle par rapport à nos besoins, mais j'imagine que nous avons une capacité inutilisée qui est disponible et qu'il nous faudrait pour évaluer nos besoins au pays et ensuite décider d'investir dans les capacités. L'investissement sera très modeste par rapport au type d'investissements que nous avons effectué auparavant dans d'autres infrastructures de réseau, à commencer par le chemin de fer.

M. David de Burgh Graham:

D'accord.

Est-ce que l'un d'entre vous connaît Quintillion et son projet dans l'Arctique?

M. Andrew Clement:

Non.

M. David de Burgh Graham:

J'y reviendrai un autre jour.

Avez-vous des serveurs de base au Canada, parce que tout le trafic commence par une requête DNS? Avez-vous des serveurs de base à part .ca au Canada?

M. Andrew Clement:

Je n'en connais pas.

M. David Masson:

Je n'en connais pas.

M. David de Burgh Graham:

Tout le trafic doit, à un moment donné, communiquer avec l'étranger pour au moins exprimer l'intention initiale quant à savoir qui veut communiquer avec qui. Cette métadonnée est accessible à quiconque a le service, et il s'agit surtout des États-Unis.

M. Andrew Clement:

Oui.

M. David Masson:

Si le serveur n'est pas ici, quelqu'un d'autre y a accès. N'oubliez pas que lorsqu'on parle du nuage, il ne s'agit pas d'un nuage, mais plutôt d'un serveur quelque part.

M. David de Burgh Graham:

Oh, c'est vrai. Il ne s'agit pas d'un nuage; il s'agit de l'ordinateur de quelqu'un d'autre.

Sommes-nous sûrs que des attaques perpétrées à l'aide de l'intelligence artificielle ne sont pas déjà en cours?

M. David Masson:

Nous pensions avoir vu un algorithme affronter un autre algorithme en 2015, et nous avons vu des signes de cela depuis, mais nous n'avons pas encore vu une vraie attaque menée à l'aide de l'intelligence artificielle. Lorsque je dis « nous », je parle de l'entreprise. Je ne peux parler pour personne d'autre.

M. David de Burgh Graham:

De toute évidence, cela s'en vient. Nul doute que les attaques perpétrées à l'aide de l'intelligence artificielle sont en développement.

Dans le cadre de notre étude, nous avons beaucoup parlé de la vie privée, mais beaucoup moins, à mon avis, de la sécurité. Dites-moi, pour ce qui est des causes profondes de la cybervulnérabilité — et je sais qu'il ne me reste plus beaucoup de temps —, quel rôle jouent les mots de passe par défaut et les portes dérobées par défaut? J'ai parlé des portes dérobées un peu plus tôt. Dans énormément de cas, le nom d'utilisateur et le mot de passe du matériel sont tous les deux « admin », et on peut en faire ce qu'on veut. Dans quelle mesure cet aspect constitue-t-il un problème?

M. David Masson:

C'est un problème majeur. C'est l'une des choses dont je parle sans cesse. Si vous achetez un appareil de l'Internet des objets, pour l'amour du ciel, changez le mot de passe par défaut dès que vous arrivez à la maison, s'il est possible de le faire.

M. David de Burgh Graham:

Ai-je le temps de poser une autre question?

Le président:

Non.

David, en sept minutes, vous avez posé un nombre de questions équivalant à environ trois réunions de comité.

M. David de Burgh Graham:

J'aime presser les témoins de questions.

Le président:

En effet; c'était très condensé. David vous pressait de questions.

Monsieur Motz, vous serez certainement moins insistant, j'espère.

M. Glen Motz:

Monsieur Clement, vous avez voulu intervenir à plusieurs reprises, mais n'en avez pas eu l'occasion. Je veux vous donner l'occasion d'interrompre David et de livrer votre pensée.

M. Andrew Clement:

J'ai possiblement manifesté mon intérêt parce que j'étais d'accord avec certains propos de M. Masson. Ce que je tenais à dire, c'est que c'est une question d'investissement. Je suppose que la question est de savoir si le gouvernement canadien était assez bien préparé pour faire face à ces cybermenaces.

À mon avis, le problème auquel nous sommes confrontés actuellement résulte en grande partie du fait que l'Internet et les services qui y sont offerts ont presque été entièrement développés en fonction des intérêts commerciaux des entrepreneurs. Ils font des choses formidables, dans bien des cas, manifestement, mais les gouvernements ont explicitement adopté une approche passive, et je pense que nous en payons maintenant le prix, notamment parce que les institutions publiques ont perdu de vue la forme que pourrait avoir une infrastructure orientée par le secteur public. Il s'agit à mon avis d'un problème structurel profond qui nécessite beaucoup d'information et de discussions. Je pense que cela aurait été une assez bonne protection.

Procédez plus lentement, mais de façon plus prudente et plus transparente afin d'accroître la reddition de comptes. Les améliorations urgentes et successives ont très souvent pour effet d'empirer les choses, car on se trouve à corriger des problèmes qui auraient mérité une meilleure réflexion.

(1740)

M. Glen Motz:

Cela m'amène à un commentaire auquel vous avez tous les deux fait allusion il y a quelques minutes par rapport à la chaîne d'approvisionnement. Que pouvons-nous faire à cet égard? Quelle est la meilleure façon d'assurer la sécurité de la chaîne d'approvisionnement dont nous parlons? Quelle est la meilleure façon d'y parvenir? Est-ce par l'intervention gouvernementale, comme vous l'avez suggéré, monsieur Clement, ou faut-il procéder autrement?

La question est pour vous deux.

M. David Masson:

Je vais laisser le professeur commencer.

M. Andrew Clement:

Allez-y.

M. David Masson:

Très bien.

Je vous dirais d'accepter que les menaces se concrétiseront. En fait, acceptez que c'est déjà une réalité. C'est peut-être arrivé par l'intermédiaire de votre chaîne d'approvisionnement, par des fournisseurs tiers, etc. Attendez-vous à ce que cela arrive et mettez en place des systèmes pouvant les détecter, mais sans avoir une idée précise de la nature de la menace.

Il existe actuellement une multitude de règlements rigoureux. Je crois savoir que le CST publie beaucoup de règles qu'il faut respecter lorsqu'on obtient un contrat du gouvernement, mais en fin de compte, si quelqu'un réussit à introduire une puce à l'usine, comme un député l'a mentionné plus tôt, vous le découvrirez uniquement après avoir branché la puce et vu le résultat.

M. Andrew Clement:

Il en existe, certes, mais je dirais que nous accusons un retard dans la conception de ces systèmes complexes. Je ferais preuve d'une grande prudence pour la conception de systèmes très intégrés, car lorsqu'un problème survient, les dommages peuvent se répandre rapidement. Il faut prévoir des zones tampons, ce qui n'est pas dans la nature des chaînes d'approvisionnement concurrentielles, où la rapidité est primordiale, mais dans une optique stratégique à plus long terme, il faut ralentir les choses quelque peu et accroître la vigilance.

M. Glen Motz:

J'ai une dernière question pour vous deux.

Nous savons que les taux et l'incidence des cyberintrusions sont en hausse au pays et partout dans le monde. Le vol de données et de fonds semble presque inévitable. Je pense que les Canadiens semblent presque immunisés — même si cela arrivera de toute façon —, du moins jusqu'à ce que cela leur arrive. À ce moment-là, le problème est grave.

Je déteste être prophète de malheur, mais ne devrions-nous pas être prêts à ce que cela se produise fréquemment? Doit-on simplement se faire à l'idée qu'il est inévitable de se faire pirater ou voler lorsqu'on va sur Internet, ou y a-t-il de l'espoir?

Le président:

Très brièvement, s'il vous plaît.

M. David Masson:

Puis-je commencer? Je dirais qu'il y a de l'espoir si vous avez recours à l'intelligence artificielle. Vous comprenez? L'intelligence artificielle donne à celui qui se défend une longueur d'avance sur ceux qui l'attaquent.

Professeur.

M. Andrew Clement:

Je dirais que nous n'acceptons pas ce genre d'approche pour d'autres aspects de nos infrastructures essentielles. Comme nous le faisons pour le développement d'autres infrastructures, ce qui est mis en place doit être examiné de façon beaucoup plus attentive et rigoureuse et doit être dans l'intérêt public. On empêche ainsi que des choses soient imposées au public et qu'on s'attende à ce qu'il s'y fasse. C'est ce qu'on voit actuellement, essentiellement.

(1745)

Le président:

Merci beaucoup, monsieur Motz.

Monsieur Picard, pour cinq minutes.

M. Michel Picard:

On peut raisonnablement s'attendre à ce qu'un gouvernement qui s'interroge sur les mesures qu'il doit prendre pour accroître la cybersécurité n'ait aucun système en place. Je pense qu'il est juste de dire que mon système doit être plutôt bon, car je travaille avec divers organismes. J'ai des protections, des systèmes, des outils. Je vais simplement vous renvoyer la question. Quelles mesures devrais-je prendre pour me protéger, créer un mécanisme solide et améliorer la situation? Quelles sont les principales mesures?

Les représentants de l'Association des banquiers canadiens ont dit que la sensibilisation à la cybersécurité est la meilleure solution. À mon avis, j'aurais beaucoup de problèmes si je fondais mes mesures de cybersécurité sur la publicité. L'information et la sensibilisation ne suffisent pas. Quels sont les principaux facteurs à considérer pour m'assurer d'avoir au moins de bonnes infrastructures de base en matière de cybersécurité?

M. David Masson:

Je vous laisse commencer, professeur.

M. Andrew Clement:

Je pense qu'un examen par des experts indépendants est important. Ces experts de l'extérieur de l'organisme doivent pouvoir faire un véritable examen des mesures proposées et des menaces possibles, et fournir des conseils. Voilà ce qu'il en est de façon générale. Autrement, vous devrez préciser le type de système dont il est question.

M. David Masson:

En ce qui concerne l'avenir, allons au-delà des acteurs malveillants qui utilisent l'intelligence artificielle, dont j'ai beaucoup parlé. Je conseillerais certainement au gouvernement d'accorder une grande attention aux attaques contre les infrastructures essentielles nationales, en particulier les attaques sur ce qu'on appelle les systèmes de technologie opérationnelle. Nous avons surtout parlé des systèmes de TI, mais je parle ici des systèmes de TO, les systèmes qui assurent le fonctionnement des robots dans les usines de voitures, par exemple. Il faut absolument accorder une grande importance à cela, en particulier pour les systèmes des infrastructures essentielles nationales.

M. Michel Picard:

Une très vieille question que j'ai l'habitude de poser assez souvent — comme je l'ai fait au comité de l'éthique lorsque nous traitions d'un sujet semblable — est liée à un risque que je ne pourrai jamais contrôler: le facteur humain. Quelles solutions proposez-vous pour réduire ou tout simplement minimiser le risque lié aux ressources humaines? Je ne peux l'éliminer.

M. Andrew Clement:

Eh bien, les risques ne peuvent jamais être éliminés; ils peuvent seulement être atténués et minimisés. Sur le plan des ressources humaines, il y a un principe général selon lequel il faut respecter les personnes qu'on embauche, qu'on forme et qu'on gère, et qu'elles doivent souscrire à la mission de l'organisation.

Les intérêts de l'organisation ne sont servis que si les gens font preuve de prudence et adoptent une vue d'ensemble. C'est un principe de base dans toute organisation.

M. David Masson:

Oui, on dit toujours que l'humain est le maillon le plus faible, mais j'ai parfois l'impression que c'est une façon pour les grandes organisations de se soustraire à leurs responsabilités. Elles ont toujours tendance à mettre les gens en cause.

De toute évidence, il faut accroître l'information et la sensibilisation, mais aussi favoriser l'instauration d'une culture de sécurité adéquate au sein des organisations, pas seulement parmi la base. Tous doivent être empreints de cette culture de sécurité et veiller à l'appliquer de manière honnête. On ne parle pas de gens qui donnent des ordres, mais de chefs de file qui veulent promouvoir une culture de sécurité en faisant de cet enjeu une véritable priorité.

M. Michel Picard:

Les représentants de la chambre de commerce ont indiqué que certaines petites entreprises se considèrent comme trop petites pour être piratées. Je pense plutôt qu'elles sont trop petites pour consacrer une part du budget à la sécurité. Ce sont des entreprises qui oeuvrent dans des domaines liés à Internet, aux services en ligne et au monde virtuel.

Sur le plan personnel, quelqu'un qui piraterait mon téléphone pourrait savoir si je suis à la maison ou non, parce que je contrôle mon système de chauffage avec mon téléphone. On pourrait voir que je ne respecte pas l'horaire habituel, parce que je maintiens une température plus basse lorsque je suis absent. Donc, mon téléphone est une vulnérabilité.

Il semble que mon réfrigérateur n'est pas sécuritaire, parce qu'il peut communiquer avec moi, comme pour tout appareil avec une puce à l'intérieur. Donc, personnellement, je dirais que la présentation que nous avons entendue était à glacer le sang. Désolé, je l'ai presque dit.

Est-il trop tard pour moi?

(1750)

Le président:

Probablement. Vos cinq minutes sont écoulées.

Nous allons laisser M. Picard dans l'anxiété.

Il nous reste environ cinq minutes et un certain nombre de questions. M. Motz a gracieusement accepté de partager son temps avec moi.

Monsieur Masson, pendant votre présentation, vous vous êtes dit très préoccupé par le maintien des données, du réseau et de la transmission au Canada. Essentiellement, vous avez adopté la recommandation de M. Clement.

Toutefois, l'Association des banquiers canadiens n'a pas semblé aussi préoccupée et a fait valoir que les données lui appartiennent toujours.

Que répondez-vous à l'Association des banquiers canadiens? La situation actuelle ne semble absolument pas lui poser problème. Cela pourrait signifier que les données passent de Toronto à Chicago puis à New York avant de revenir à Toronto pour y être conservées, ou encore qu'elles sont conservées à New York, par exemple. Que répondez-vous à cela?

M. Andrew Clement:

Je crois avoir entendu cette discussion à la fin de leur partie. Ils ont dit pouvoir insister sur les modalités de leurs accords d'impartition avec des tiers indépendants, puis qu'ils seraient entièrement responsables de trouver des solutions pour les consommateurs. Je ne remets pas en question la capacité des institutions bancaires d'y parvenir dans des cas très précis, mais en cas de problème majeur, que feront-elles si leurs données sont à l'extérieur du pays? Poursuivront-elles le tiers? Elles seront dans une autre administration. Je ne pense pas que les accords d'impartition sont adéquats. Comme ils l'ont indiqué, ces accords n'ont aucune incidence sur les lois du pays où l'information est détenue. Ces lois s'appliquent et les tiers sont tenus de les respecter, même si cela signifie qu'ils enfreindront les termes de l'accord. Autrement, ils pourraient être pris dans un dilemme.

J'étais beaucoup moins rassuré par leur confiance quant à la possibilité d'externaliser simplement les données dans d'autres pays et de se fier aux contrats. Je pense que ces institutions seraient bien mieux placées si ces services relevaient de la compétence du Canada, en sol canadien. Je ne vois pas de raison importante pour laquelle elles ne pourraient atteindre cet objectif, du moins à long terme, soit avoir à la fois le beurre et l'argent du beurre, comme on dit.

Le président:

La dernière question porte sur les cartes que vous nous avez gracieusement fournies. Cela m'a rappelé un voyage que j'ai fait sur une frégate canadienne l'été dernier. Nous sommes partis d'Iqaluit, avons descendu la baie Frobisher et sommes allés jusqu'au Groenland, où nous avons rencontré un général danois responsable de l'OTAN. Il y a évidemment eu des commentaires sur les intrusions russes dans les territoires de l'OTAN, etc. Il semble que les Russes ont une incroyable fascination pour les recherches scientifiques sur les câbles qui relient l'Europe et l'Amérique du Nord. Monsieur Clement, cela semble se rapporter à l'une de vos préoccupations, soit qu'une des façons de pirater facilement l'ensemble de ces réseaux serait d'attacher des dispositifs sur ces câbles d'une manière ou d'une autre.

Vous avez clairement démontré la vulnérabilité de l'ensemble de nos données.

(1755)

M. Andrew Clement:

Les câbles transocéaniques représentent en effet un point de vulnérabilité s'étendant sur des milliers de kilomètres. Je sais que les États-Unis ont la capacité de lever les câbles, de créer une épissure et d'intercepter les communications, et je ne serais pas surpris que les Russes et les Chinois l'aient aussi. Une des façons d'y remédier est de créer des redondances. Il s'agit de créer une surcapacité. Ainsi, en cas de défaillance d'un lien, les autres liens maintiennent la communication. C'est d'ailleurs le cas d'au moins un câble aboutissant en Nouvelle-Écosse, le câble Hibernia, qui est une sorte de boucle.

Je pense qu'il faut investir dans les systèmes redondants afin de minimiser le nombre de points de défaillance critiques. Ainsi, en cas d'attaque, une panne généralisée serait beaucoup moins probable, et il serait possible de rediriger le flux des données en cas de défaillance d'un système. Malheureusement, l'impératif d'efficacité et de vitesse et l'accent mis sur ces caractéristiques ont pour effet que nous avons très souvent tendance à mettre tous nos oeufs dans le même panier. Je dirais que la redondance et les dédoublements constituent une approche générale de la sécurité et que c'est là qu'il faut investir. Nous devons en être conscients et ne pas attendre une défaillance ou une panne généralisée pour le découvrir.

Le président:

C'est malheureusement là-dessus que se termine notre discussion avec vous. C'était absolument fascinant. Nous vous sommes reconnaissants de votre contribution à notre étude. Bonne continuation à tous les deux.

La séance est levée.

Hansard Hansard

committee foss hansard secu 35174 words - whole entry and permanent link. Posted at 22:44 on March 18, 2019

2016-11-15 SECU 42

Standing Committee on Public Safety and National Security

(1540)

[English]

The Chair (Mr. Robert Oliphant (Don Valley West, Lib.)):

Good afternoon, and welcome.

I'm calling to order this meeting of the Standing Committee on Public Safety and National Security, which is our 42nd meeting of the 42nd Parliament.

We are continuing our study of Bill C-22, an act to establish the national security and intelligence committee of parliamentarians and to make consequential amendments to other acts that are implicated.

We welcome Stephanie Carvin, assistant professor at The Norman Paterson School of International Affairs, and her class, which is with her today, both for learning, hopefully, and for moral support.

Thank you for joining us at our committee meeting today.

Justice John Major was meant to be a witness today as well; however, our time is Eastern Standard Time, and he is on Mountain Time, which puts him two hours out. We may be able to track him down, but if not, we will reschedule him at another meeting.

We will begin with Ms. Carvin. You have 10 minutes, and then the committee will ask you questions.

Professor Stephanie Carvin (Assistant Professor, The Norman Paterson School of International Affairs, Carleton University, As an Individual):

I thank the committee for inviting me to speak today.

Before I begin, I would, in the interest of disclosure, state that from 2012 until 2015 I worked as an intelligence analyst with the Government of Canada. My views are shaped by this experience, as well as my academic research on national security issues.

However, with regard to the matter at hand, Bill C-22 and the question of intelligence oversight and review, I would like to speak to issues that have been somewhat less prominent. My presentation will therefore proceed in two parts. First, I will address three issues that I believe the committee should consider as this bill goes forward: efficacy review of intelligence analysis; counter-intelligence and foreign influence; and, communications with the public. Second, I will provide four recommendations.

The first issue is efficacy review and intelligence analysis. I am presenting these remarks almost two weeks after it was discovered that the CSIS operational data analysis centre, or ODAC, had illegally kept metadata and conducted assessments with it. While this issue largely refers to data collection and retention, it also speaks to the role of intelligence analysis within the Government of Canada.

We have frequently heard that CSIS's early 1980s mandate no longer reflects technological realities, but intelligence analysis was never discussed in the first place. Other than noting in subsection 12(1) that the service shall report to and advise the Government of Canada on national security threats, the role of intelligence analysis is barely given any consideration in the CSIS Act. There is no guidance as to how this role should be done, how intelligence should support operations, or in what way advice is to be given. There is no formal or consistent intelligence analysis review.

In short, there is little accountability within much of the intelligence community as to the delivery of intelligence products, how these products are produced, or whether those products are delivered in a timely manner. Additionally, there is no way of knowing how intelligence products are used, or if they adequately support internal operations or policy-making. Further, there is also no way of knowing if analysts have the proper equipment, tools, or training they need in order to produce their assessments.

I believe the committee proposed in Bill C-22 can play a role in helping to address these issues by becoming the first body dedicated to intelligence analysis efficacy review in Canada.

Second, thus far the discussion around reform of our intelligence agencies and oversight has largely referred to terrorism and surveillance, not espionage or foreign influence activities. Counter-intelligence work requires a different set of skills and activities than counter-terrorism does. For example, counter-intelligence activities can have an impact on foreign policy, and vice versa.

Therefore, the proposed committee could assess how well our foreign policy and national security agencies coordinate their activities, or whether intelligence services should be more frank regarding the activities of foreign governments on Canadian soil. Without a doubt, it is challenging to air these issues in public; espionage and foreign influence can be a source of diplomatic headaches and embarrassment. Nevertheless, they should not be left out of the conversation and the consideration of Parliament as Bill C-22 goes forward. This is especially the case as investigating these issues may require going outside the intelligence community in Canada as traditionally defined.

Third, the proposed committee has the potential to be one of the most important communication tools the government has with regard to providing Canadians information on national security. Unfortunately, at present, there are very few ways in which security agencies are able or willing to communicate with the broader public. Worse, in recent years, it has been a trend for national security agencies to publish their reports infrequently or erratically. For example, CSIS has not produced an annual—now a biennial—public report since May 2015, which covered the period of 2013-14. Public Safety Canada's public report on the terrorist threat, the sole multi-agency report on threat activity in Canada, appears on a more regular basis, but does not cover non-terrorism-related activity.

It is my hope that the committee's report will help remedy this gap and become a powerful communication tool that can help improve knowledge and generate trust. I see this manifesting in two ways.

First, it could become a central source of information on the current threat environment that Canada faces. That this would come from our elected parliamentarians would in my opinion contribute to an overall improvement in the understanding of national security issues in Canada. Second, an honest assessment of activities of our security agencies will generate confidence that our national security services are operating within the letter and spirit of the law.

For the second part of my presentation, I will now present four recommendations.

First, it is imperative that Parliament consider the wider context in which Bill C-22's committee will exist and the broader roles it can play in generating trust. Oversight and review of national security agencies is and should be the fundamental focus of the proposed committee; however, I would encourage parliamentarians to think broadly about the role it may play in communicating information and building trust.

Second, with regard to analysis, the committee should, as a part of its mandate, ensure the quality and timeliness of intelligence analysis to support the government and policy-making by holding the executives of national security agencies accountable. Additionally, it should also include review of innovative techniques, such as big data analytics. This would of course require a secretariat that is knowledgeable about these issues and that could advise committee members. This will help transform intelligence analysis from a second thought to core activities supporting policy-makers.

Third, while it might have to be done behind closed doors, the issues of counter-intelligence, foreign influence, and cyber-intrusions need to be given greater consideration in terms of how the committee will handle its mandate. This includes ensuring that these operations are well coordinated with other agencies and departments such as Global Affairs Canada, which might shape the scope and mandate of the proposed committee.

Fourth, the committee should be required to publish its findings every 365 days without exception. Everyone sitting here today knows how easy it is for government reports to fall through the cracks and miss deadlines. Nevertheless, as I have already stated, the committee's report will be a crucial tool in communicating to Canadians. The more frank and honest these reports are, the better informed the debate over measures to counter Canada's national security threats will be.

In this sense, I'm very much supportive of MP Murray Rankin's proposals regarding the committee, as stated in his speech to the House on September 27.

Thank you for your time. I'm happy to answer any questions or hear any comments you may have.

(1545)

The Chair:

Thank you very much.

As you were speaking, I was thinking that we've had a number of witnesses who have not been able to come because they were teaching classes. That excuse is gone.

Voices: Oh, oh!

The Chair: We'll begin with Mr. Mendicino for seven minutes.

Mr. Marco Mendicino (Eglinton—Lawrence, Lib.):

Thank you, Mr. Chair.

Thank you, Ms. Carvin, for your presentation.

I want to pick up on your last recommendation, the fourth one, and turn your attention to subclause 21(1) of Bill C-22, which on the face of it would indicate that the Committee must submit to the Prime Minister a report of the reviews it conducted during the preceding year.

Do you see that as sufficient assurance that there is a reporting obligation on the committee of parliamentarians to provide information to the Prime Minister, and through the Prime Minister, to the House of Commons, about their activities for the preceding year? Or are you suggesting that there needs to be something else?

Prof. Stephanie Carvin:

I would hope for something else, something a little bit more, almost statutory in terms of the regulations. I see that it's here in terms of how it must submit to the Prime Minister a report of the reviews in the preceding year, but there's no timeline on this.

I think it should say “every 365 days”, quite frankly, or, I suppose, 366 days in a leap year. I think that having it as clear as possible that this needs to be released on an annual basis, in law, is important, because this is going to be one of the few tools we have so that the government to communicate what it's seeing and what it believes Canadians should know.

Mr. Marco Mendicino:

You're saying, if I understand your recommendation, that after that first sentence, under subclause 21(1) the words “within 365 days of the preceding year” should be included.

Prof. Stephanie Carvin:

Yes.

Mr. Marco Mendicino:

Or something to that effect?

Prof. Stephanie Carvin:

Yes, I think that would be a great idea. I support it.

Mr. Marco Mendicino:

To get back to some of your testimony regarding operational activities, how do you interpret the proposed mandate of the committee of parliamentarians as articulated under clauses 4 and 8?

I took several notes during the course of your evidence, which would seem to suggest that you don't think there are sufficient tools currently within any of the existing civilian oversight—for example, SIRC—to shed some light on the intelligence products, as you've described them.

This is a two-part question. One, do you think the mandate of the committee of parliamentarians under Bill C-22 captures the exercise that you think needs to be there in the review of intelligence products? Two, if not, what do you recommend we do with the bill?

(1550)

Prof. Stephanie Carvin:

Thank you for your question.

It's an issue that as a former analyst I feel very passionate about. Why I spoke to this issue is that intelligence analysis has tended to be a second thought in member organizations. These organizations are rightly focused on collecting intelligence, but over time they have developed analytical bodies that provide intelligence products to policy-makers with the appropriate clearances, but increasingly, they're also providing unclassified reports to their partners, such as police forces and provincial police forces, and we have no way of knowing how effective this is. As long as the committee understands its mandate to include efficacy review as part of its mandate.... You'll have to bear with me for a second as I flip through the—

Mr. Marco Mendicino:

To maybe give you some assistance, clause 8 says: The mandate of the Committee is to review (a) the legislative, regulatory, policy, administrative and financial framework for national security and intelligence; (b) any activity carried out by a department that relates to national security or intelligence; and it continues, and (c) any matter relating to national security or intelligence that a minister of the Crown refers to the committee.

As we've said before at this committee with other witnesses, the parameters are quite wide.

Prof. Stephanie Carvin:

The parameters are wide, I would agree, but are people thinking about intelligence analysis?

I raise this issue because I haven't seen it raised prominently yet by a number of commentators on the subject. I can understand that. There are great concerns about other aspects of this bill with regard to what information MPs can see, who will be on it, and who will be the chair, but in making this as specific as possible, there's no harm in that. I would agree that it could technically be in there, but it's hard for me to see that these issues are being considered, because I haven't heard them discussed.

Mr. Marco Mendicino:

Am I right in interpreting from your answer that your concern is less about the language and more about the culture of accountability and oversight as we embark on this new era? Is that a fair statement?

Prof. Stephanie Carvin:

I think that is a fair statement. To be fair, I'm not a lawyer, so speaking about the legalities is not my particular area. One of the things that I hope I conveyed in my talk today was that I want this committee, when looking at this bill, to not just look at the functions of oversight or even efficacy review, but to think about the kind of broader purpose that I think this committee can have in being a communication tool and in perhaps providing oversight for some of the things that just simply don't really take place right now.

Those are the two issues I feel particularly passionate about, which I tried to speak to today.

Mr. Marco Mendicino:

Lastly, before my time expires in our exchange, what do you say that the secretariat, the staff side of this committee, should be turning its mind toward in creating this culture that moves beyond the specific language of the bill, such that the committee starts to dig into some of these other facets of oversight like intelligence products? What should they be thinking about?

Prof. Stephanie Carvin:

What they should be thinking about is talking to policy-makers and asking them how they are receiving the products. To be honest, we don't even know. As an analyst, I didn't know who was even receiving my products. Who is receiving the products? Who is using the products? Did they play a part in policy-making? If so, to whom?

Then, of course, they should be talking to the executives of the intelligence analysis bodies, or those who are responsible for them, whether it's the ADI at CSIS, or the head of ITAC, to ask them about—

Mr. Marco Mendicino:

I'm sorry, but what is ITAC?

Prof. Stephanie Carvin:

It's the Integrated Terrorism Assessment Centre.

Mr. Marco Mendicino:

Okay.

Prof. Stephanie Carvin:

They produce reports meant for the general public, but they also write very high-level documents as well. It's worth trying to find out how products were generated. Who was asking for them? Were they being used by more than one person? Were they all high-level products? Should we be thinking about distributing them more broadly?

Also, are the channels for distribution that we have effective? Sometimes as an analyst you have the feeling that perhaps your products are going into a black hole. You have a lot of smart people in these outfits, and I want to make sure that their knowledge is at least being seen, if not considered.

(1555)

The Chair:

Thank you, Dr. Carvin.

Mr. Clement.

Hon. Tony Clement (Parry Sound—Muskoka, CPC):

Thank you.

Thank you for being here, Madam Carvin. Marco stole almost my entire thunder, but I'm going to build on—

Mr. Marco Mendicino: Sorry.

Hon. Tony Clement: No, no. We were thinking along the same lines.

In my seven minutes, I want to engage with you on the practicalities of this.

This is going to be a committee of parliamentarians, parliamentarians who have other things to do in their lives, such as other committees to be on, or travelling around the country and sometimes around the world. Then we have this very specific role that you have identified in terms of the importance that it has. You've said that we have to get into data analytics and cybersecurity and that our findings have to be timely.

In your mind, how does that actually work? How are we going to be qualitatively able to do this? Also, what's the interaction? You mentioned the secretariat, and I'd like you to build upon that a little bit, but what's the interaction? How does this work? We're not there 24/7.

It's an open-ended question.

Prof. Stephanie Carvin:

Thank you very much. I appreciate it.

I think it speaks to the issue of how over even the last five years we have seen this transition to where everyone is talking about big data. I know that the intelligence services are also struggling with big data, and not just for the reasons we saw last week, controversially, but also for cultural reasons. People who were from the first classes of CSIS, perhaps, don't understand how big data or Bayesian statistics work.

What I think we need is a kind of cultural shift. In terms of this particular committee, you're going to need to have a secretariat that is familiar with data analysis and analytic techniques generally. When I was an analyst, we used to talk about structured analytic techniques—that was one way—but it's also about having just a broad understanding of the way the intelligence cycle works. Third, it's about having some kind of background, hopefully, in how big data can be used and how it can support.

You wouldn't necessarily have to be an expert in it but be familiar enough with it so that if you saw it you would know what you were looking at. This is why I'm so pleased that the bill has considered a secretariat that could support the work.

Hon. Tony Clement:

Right. Yes, your point is—I'm dumbing it down for me—that the secretariat isn't there just to schedule meetings and compile a stack of briefing binders. It actually has to be engaging, maybe even on a proactive basis, with the security establishment in this country and developing their own expertise separate and apart from the security establishment expertise. I'm not trying to put words in your mouth, but is that where you're leading?

Prof. Stephanie Carvin:

I appreciate it. I think you're saying it somewhat more eloquently than I did, but that's exactly it. The secretariat cannot be people who assemble briefing binders all the time. It has to be people who are actually knowledgeable about the intelligence cycle and process. I would agree with that. They have to be able to support the parliamentarians who are on the committee and be able to say, “This is some big data analysis, so I'm going to break it down for you in 30 seconds, and this is what it means, and this is what you need to know about it.”

Hon. Tony Clement:

Where do we find people like that? Would they be people who have already had some experience in the security establishment, or are they former academics, or...? Do I go to Jobmonster and monster.ca to find people like that? How does this work?

Prof. Stephanie Carvin:

I don't know if this is the part where I'm supposed to suggest the Carleton Career Centre, but—

Voices: Oh, oh!

Hon. Tony Clement:

Oh, there they are. Look, my email is ringing already.

Prof. Stephanie Carvin:

Right.

I believe that increasingly what we're seeing is particularly a part of professional policy programs, with students who are trained in these kinds of activities: quantitative and qualitative methods in statistics. I believe you could look for individuals who have that kind of professional training.

In addition, if the secretariat isn't necessarily staffed by former analysts, I would encourage you to at least talk to them about their experiences and some of the things they saw going forward, or to at least have some kind of mandate to go outside and ask former analysts for their advice on certain questions.

(1600)

Hon. Tony Clement:

How am I doing for time, Chair?

The Chair:

You have two and a half minutes.

Hon. Tony Clement:

Put yourself in a parliamentarian's shoes just for a second. You're an MP and you've been appointed to that committee. What sorts of things would you charge the secretariat with doing? How would you comport yourself with this committee? Just give me some tips on that.

Prof. Stephanie Carvin:

Some of the things I tried to highlight in my talk are issues such as timeliness. When were products started and when were they released? Were intelligence analyses produced within six weeks? Maybe they were sat on for some period of time, so why was that? It's important that we brief people as quickly as possible so that Canadian policy-makers can make the best decisions possible. Timeliness is certainly one of the issues.

The second one is whether they are actually supporting policy objectives. Were people writing about relevant things that people needed to know? They talk about intelligence requirements, so were those products produced to meet what the government actually needed? Alternatively, did—

Hon. Tony Clement:

So timeliness, relevancy—

Prof. Stephanie Carvin:

Timeliness, relevancy, and I would also look at distribution. I think that needs to be examined by this committee in particular. Who is getting these products, why, and how are they being used?

Hon. Tony Clement:

Right, because you as an analyst sometimes didn't.... You went into a black hole or a black box in the sausage factory.

Prof. Stephanie Carvin:

It sometimes felt that way, if I'm honest.

Hon. Tony Clement:

Yes, okay. Fair enough.

The Chair:

Monsieur Dubé.

Mr. Matthew Dubé (Beloeil—Chambly, NDP):

Thank you, Mr. Chair.

Dr. Carvin, I think you know one of my former professors quite well, Professor Saideman, and as a McGill alumnus I will forgive you for poaching him, although I'm sure he's very happy here in Ottawa. I haven't had a chance to see him since, but I thought I would put that out there. I'm sure he'll be happy that he's in the committee Hansard now.

Prof. Stephanie Carvin:

He will be.

Mr. Matthew Dubé:

Absolutely. I know the man well.

Kidding aside, I do appreciate your stated support for the amendments of my colleague Mr. Rankin. We do want to work positively on this bill. I think it's a good first step. We do think there are some things that need to be fixed.

If you don't mind, I want to get into some of the more technical details. In some of the stuff that came out of the testimony from two weeks ago, if we look at Ron Atkey's testimony, for example, there is the idea that in paragraph 8(b) of the bill the minister can veto an investigation by the committee, which is actually a barrier that is not even there for SIRC. We're having a difficult time understanding why this committee of parliamentarians would have an additional barrier imposed on it that's not already there for SIRC. Could I perhaps get your thoughts on that?

Prof. Stephanie Carvin:

There is one thing I neglected to say. I did mean to congratulate the parliamentarians here. I can sometimes be a harsh critic of government, but I think the debate over this bill has been excellent, and I think the feedback on it has been constructive. As someone who observes these events and teaches about them, I think it's been absolutely wonderful. I want to make sure that I put that in the testimony.

With regard to the suggestions of Murray Rankin, I believe they're very good. In particular, to reiterate, I think his proposals on the committee's report are essential and should be incorporated.

With regard to paragraph 8(b), speaking as someone who has worked in a classified environment, I can understand the concern. In my notes that I have here, for the second part of the sentence, I believe there needs to be more guidance, if nothing else, where it says: unless the appropriate Minister determines that the review would be injurious to national security

I can understand why that line is there. If there is an imminent arrest or an imminent investigation, I can understand why you would need to perhaps say, okay, just hold on for a minute. That being said, I think it behooves the committee to put more guidance on that particular clause, perhaps by stipulating the conditions when that would be an appropriate move to make. Right now, I would agree with you that it seems to be unclear.

Mr. Matthew Dubé:

Speaking of the enumeration of the points that are injurious, one of them, which you have talked about in your remarks, is this idea of international relations and diplomacy and the headaches that can come out of that. I guess the thing I'm having a difficult time reconciling is this notion that just because a lot of what the bill states is what the parliamentarians can investigate, it doesn't mean that's going to be public.

I guess I'm having a hard time understanding why we would prevent the parliamentarians from receiving this information in camera and confidentially, when there's no guarantee that it will be in the report. What I'm getting at is that even if a parliamentarian is not a minister or the Prime Minister, we understand this notion that not everything can be public.

Is there any reason, really, for preventing the parliamentarians on that committee, who have sworn oaths, who have gone through this whole process, and who would face legal ramifications if they divulge this information, from having full access to that information?

(1605)

Prof. Stephanie Carvin:

I agree with you that the stipulations for parliamentarians, should they divulge information, are very severe and very clear in this bill. I agree in the sense that those safe locks are there. I suppose where I would like to see more guidance is that you can always present an issue, but it depends on how specific you get with the issue.

For example, let's say there is an ongoing case. It's very rare, for example, that an intelligence organization would divulge the name of the people, or perhaps they would say it was in a city in a particular province. I think you could speak about an issue in sufficient generalities such that parliamentarians could still be briefed on an issue in more general terms, but it's not.... Do you see what I'm saying?

Mr. Matthew Dubé:

Yes, I understand. I guess our concern is that—with all due respect—it's more than a briefing, right? The idea is to prevent tragic situations like the Maher Arar one, for example. What I'm having difficulty understanding is why, confidentially, we would not allow these parliamentarians to have full access. One of the examples that was raised was Bill C-622, which was actually a Liberal bill that Joyce Murray presented in the previous Parliament and allowed full access to information.

A lot of folks are saying that is the model to follow, at least internally with the committee, so that they can appropriately do their jobs, because it's difficult to do oversight when you're having to go on a leap of faith with a briefing. I don't know if that makes sense.

Prof. Stephanie Carvin:

Yes, it's a tough issue. I would suggest that, if nothing else, there needs to be more guidance. Right now, I think, as it stands, that particular line is not clear enough. It should be more specific. It might help if active “ongoing investigation” were more narrowly defined, because an investigation can last for two to three years, quite frankly.

Again, I think it's important to be clearer and provide more guidance in that particular piece of legislation. I don't have a line on hand with me, and I wish I did, but I understand your concern, and I certainly agree that where we should be erring on this bill overall is on the side of transparency, as opposed to not....

Mr. Matthew Dubé:

Thank you.

My time is just about up, but I want one last quick question about the election of the chair. The government has told us that there's no point in speeding it up and that it took the U.K. a long time to get there. I don't really think that argument holds much water. That is one of our amendments as well.

May we perhaps have your thoughts quickly on that? It does influence the report afterwards, because if the chair is answering to whoever appointed him, as opposed to the parliamentarians, I think that might cause a bit of conflict.

Prof. Stephanie Carvin:

It's my understanding that in the U.K. now the chair is elected, and I think we're probably going to end up going there anyway and I would suggest that—

Mr. Matthew Dubé:

We just do it now.

Prof. Stephanie Carvin:

—it does make sense going forward.

Mr. Matthew Dubé:

Okay. Thank you.

The Chair:

Thank you very much.

I want to take a moment to welcome Justice Major. Thank you for joining us. Our apologies for the time problem. We're going to stop in the middle of our questioning, have a presentation from you, and then recommence our questioning.

Mr. John Major (As an Individual):

Let me begin by apologizing for getting the time confused. I was labouring under eastern time, and I should have known better.

I will be very brief. The only comment of consequence is with respect to subclause 13(2), where the “information” includes information that penetrates the solicitor-client confidentiality. I don't think that would pass charter scrutiny. I don't think you can pierce the solicitor-client privilege. Perhaps you might consider getting legal advice on that.

The only other comment that I would make is with respect to subclause 21(2), on reporting directly to the Prime Minister. That seemed to be a little too narrow, but as I read further on I think you have provided for eventually getting the report to Parliament.

That's the total of my observations.

(1610)

The Chair:

Thank you. We'll continue. To give you a heads-up, I suspect you're going to be asked a number of questions on that, because I think the committee will want to hear from you.

We're going to Mr. Spengemann now for seven minutes.

You can question either Dr. Carvin or Justice Major.

Mr. Sven Spengemann (Mississauga—Lakeshore, Lib.):

Thank you, Mr. Chair.

Professor Carvin, thank you for your service as an analyst, and thank you for being here and for bringing your amazing students.

Justice Major, it's an honour to have you with us.

My questioning has two themes. One is to explore the nature of building trust, because I think public trust in government is one of the strongest assets that this committee is aimed at. I would like to get your views and a bit more detail on that. My second interest is in the relationship with defence issues. I serve on the Standing Committee on National Defence as well, and I think there are clear overlaps, and some teasing out of the details might be helpful.

I want to begin, Professor Carvin, by asking you, just generally, what do Canadians think and feel about national security? How up to speed are they? I know that there are a lot of things in the headlines, but understanding.... My anecdotal assessment is often not as detailed as it needs to be to fully harness or understand the opportunity that this committee represents. What challenges are there on the side of the Canadian public's understanding, and how can this committee work to close that gap?

Prof. Stephanie Carvin:

Thank you for your question.

One of the issues that I think illustrated this was the debate over Bill C-51. A lot in Bill C-51 could perhaps have been criticized, but debate over it often came between individuals who were accusing those who did not want to support the bill as being in favour of child molesters, and, on the other hand, individuals who were accusing those who did support the bill of trying to create a 1984 surveillance state.

My concern is that the security environment in Canada has evolved considerably since the Cold War and I'm not convinced Canadians' understanding of that issue has. That's not to discredit the fabulous people working on this area, but let's just take the example of espionage. It's no longer about states trying to break into safes to steal designs for submarines or trying to steal the crown jewels of secrets. It's now about trying to get the health records of individuals through cyber-intrusions in order to use that information to exploit these individuals or to find out information on them where they may be vulnerable.

It's that kind of transition in terms of the scope of activities that we see some of these states doing that I think needs to be raised up. I would like to see this committee talk about the evolution of national security issues that this country faces and then communicate to the country what our services are doing in order to respond.

Mr. Sven Spengemann:

Maybe I'll ask two questions before turning to the committee.

How intertwined is the intelligence community in terms of data sharing and information sharing? I'm looking specifically at the Five Eyes, but even beyond that. Then, what are the changes that are most profound in terms of public perception of the sources of our intelligence?

Could you then add a quick comment on classification levels? How much of a constraint are they in terms of day-to-day work and in terms of what this committee could see and, most importantly, in terms of what this committee could or could not communicate onwards to Canadians?

Prof. Stephanie Carvin:

These are some very interesting and challenging questions. With regard to data sharing, it's not.... I read an article yesterday which suggested that because the RCMP now has this operational centre they're sharing all their databases or bringing them all together. No, it doesn't work like that.

Services are bureaucracies, and they are very protective of their information and their people. They've been criticized in the past for not sharing information appropriately. I think there is a perception that it is a kind of free-for-all and that there is data sharing. I am supportive of putting more clarity on the process itself, such as, for example, in Bill C-51, even though that's not what we are talking about here specifically.

I also believe that there should be.... Perhaps this will get to some of your questions on defence. Craig Forcese, the professor at the University of Ottawa whose work I very much admire, talks about having a super-SIRC that would enable the organizations, or at least the committee or some body, to follow the information as it goes from one agency to another. I think there needs to be slightly more appreciation for the safeguards that are put in place within these organizations, as I understood them.

Mr. Sven Spengemann:

That's a fair point.

Can you comment on how much data and how much intelligence comes from open sources versus classified sources? We talk a lot about classification levels. Is that the tip of the pyramid? Or is most information actually classified and the Canadian public really cannot look over the shoulders of this committee to any greater extent than just a report that the committee may issue once a year?

(1615)

Prof. Stephanie Carvin:

On the issue of open-source intelligence within the community, I would suggest that.... I've seen statistics that say that as much as 70% of information used by intelligence agencies is actually open-source information. I'm not talking just about databases or anything like that; I'm talking about people reading The New York Times or other articles. There is actually a fair similarity between the jobs of spies and journalists in terms of collecting information using sources and things like that. I think that would be one of the things to be considered.

With regard to the committee, could you repeat that part?

Mr. Sven Spengemann:

If you're saying that's right, then the committee could presumably communicate a fair bit outside of regular reports to the public. It could find some mechanism—you called them “innovative techniques”—to engage the public more so that the public has a better understanding of what the committee does and what our security and intelligence agencies actually do on a daily basis.

Prof. Stephanie Carvin:

I absolutely and fundamentally believe that. There was a really good example today in the Toronto Star. The RCMP brought in two journalists to talk about some of the challenges they're facing with regard to encryption and data. They brought them in and talked about the cases. They didn't go into specifics, but they gave examples. This is exactly the kind of work that I would like to see the committee engage in to communicate to Canadians.

You're absolutely right: open-source information could be used to achieve this.

Mr. Sven Spengemann:

That's extremely helpful to our committee. Thank you so much.

In the remaining one minute, could you comment on a potential relationship between the Bill C-22 committee and the NCIU of the Canadian Forces?

Prof. Stephanie Carvin:

Again, this is where Craig Forcese says we need to have some kind of super-SIRC that overlooks all the bodies and all the ways that intelligence information is shared. Given the differences in mandate, I would suggest that perhaps the information sharing isn't as great as some people think it is.

Where the challenge is going to be for the committee, in particular—and perhaps this goes back to Mr. Clement's question—is having people with the expertise to understand how military operations work, and how intelligence is used in military operations and how it is used in domestic investigations, because it's very different. These are very different activities. This is my one concern with this kind of larger body that Professor Forcese has suggested. It's that you would need people to have a kind of expertise that transcended that. That would be a challenge.

Mr. Sven Spengemann:

That's extremely helpful.

Thank you so much, Mr. Chair.

The Chair:

Thank you, Dr. Carvin.

Mr. Miller, you have five minutes.

Mr. Larry Miller (Bruce—Grey—Owen Sound, CPC):

Thank you, Mr. Chair.

Thank you, Ms. Carvin and Mr. Major, for being here.

Mr. Major, I want to ask you to enlarge a bit. You mentioned subclause 13(2) in regard to solicitor-client confidentiality. Can you enlarge a little on what exactly your concerns are?

Mr. John Major:

The only absolute privilege that we have in Canada is the communication between solicitor and client. I think subclause 13(2) invades that, where they say specifically that: The information includes information that is protected by litigation privilege or solicitor-client privilege

That invades the confidentiality of that relationship, which has been part of our legal framework almost forever.

Mr. Larry Miller:

To carry that a little further, Mr. Major, I'm sure that you're probably aware of some framework models in place in other countries such as Britain and what have you. Does any other country have anything like that in terms of the concerns you have here as far as solicitor-client privilege goes?

Mr. John Major:

I would look to the U.K., and I would be surprised if.... Mind you, they do not have charter protection. We have. But I would think, based on the common law in the U.K. and tradition and what they call their “common law charter”, that they would not permit that disclosure.

Mr. Larry Miller:

You're saying that of any country out there, none of them have that clause, that you're aware of.

Mr. John Major:

Not that I'm aware of, but remember, I'm not particularly familiar with this. That stood out as soon as I read the act: that it would be very difficult to get that past constitutional scrutiny.

(1620)

Mr. Larry Miller:

Okay.

Mr. John Major:

I'm sure your legal advisers can be more specific, but I'd surprised if they didn't see that as a problem.

Mr. Larry Miller:

Thank you.

Ms. Carvin, on that note, are you aware of any country that has something in place that would give rise to the same concerns that Mr. Major has?

Prof. Stephanie Carvin:

I regret that I am unfamiliar with.... That's not to say that there isn't, but I wouldn't want to speak to something that I'm not familiar with. My apologies.

Mr. Larry Miller:

Certainly, that's fair enough.

Early in your comments, Ms. Carvin, you mentioned working with foreign countries. I got the impression, and maybe wrongly, that you were hesitant about the sharing of information and what have you. Do I have the right assumption?

The reason I'm asking is that in this day and age, whether it's terrorism or whatever, we're living in a different world than we were not that many years ago, so it would seem to me that allies have to work together. Could you enlarge a bit on what you were saying there?

Prof. Stephanie Carvin:

I wasn't speaking to the issue of sharing information with other countries specifically, but as you're asking that question, there are issues such as the foreign traveller issue. This has become a real issue. We have to work with other democracies and other countries in Europe as we look at the flow of travellers, for example, who are joining the Islamic State. I strongly suspect that those numbers are down, given the losses that the Islamic State has experienced, but that said, they often travel through Europe and countries like this. We need to be able to partner and work better with these countries.

The challenge is that no country likes giving information on their citizens. No country really likes exchanging names. What we've seen increasingly, particularly given Canada's experience in the 2000s with regard to some of the inquiries, is that more and more caveats are being attached to information and trying to have better systems in place and more regular communication going forward.

In some cases, it has proven to be very helpful. For example, there was the case of young girls from Toronto who were trying to go to the Islamic State, and they were stopped in Turkey. You must have some kind of coordinated information sharing.

This is a really great issue that I think parliamentarians on this committee could look at in terms of trying to help the security services find guidance and balance. I could add just one more thing to that, if I may. I think there's a perception in Canada that security services don't want more regulation or oversight. I can't stress to you how much that it's simply not the case. They want guidelines. They want to know where the boundaries are, so they don't cross them. I think this parliamentary committee could work with the security services on these challenging issues, such as sharing information.

I agree with the premise of your question. That's going to benefit everyone going forward.

The Chair:

Thank you, Dr. Carvin.

Mr. Erskine-Smith, for five minutes.

Mr. Nathaniel Erskine-Smith (Beaches—East York, Lib.):

Thanks very much.

Justice Major and Ms. Carvin, you have the bill before you. If we could turn to clause 14, I want to start with paragraph 14(e). That's information relating directly to an ongoing investigation carried out by a law enforcement agency that may lead to a prosecution.

In the operation of clause 14, if it falls within these categories, it's excluded de facto. My worry here is that when we had the minister before us, we spoke about the bully pulpit. Where information is refused, the committee can actually refer to that information in the report and use that as a bully pulpit, but if it falls within clause 14, it's going to be very difficult to use the bully pulpit, because the minister can say, “Well, I'm obliged by the legislation.”

When we had Professors Roach and Forcese in front of us, Justice Major, and they in fact said that an ongoing investigation carried out by a law enforcement agency would in fact include the Air India bombing, because there's still an active investigation. I would put it to you that when we talk about access to information, should we have the provision of paragraph 14(e) in the act as an exclusion without any refusal related to “injurious to national security”? There's not that additional factor that exists in clause 16, and without any reasons provided by the minister.

The Chair:

I suggest that Mr. Major start.

Mr. John Major:

I think you could penetrate a lot of sources of information with warrants, and I think for the right of access under subclause 13(2), if you were to obtain a warrant from a Federal Court judge disclosing the reason why, you'd need to have, in my opinion, substantial grounds, but if the safety of the country were in some way endangered, you'd get a search warrant that would be similar to a warrant to search a residence. I think that with a warrant you could get this information.

For instance, solicitor-client information does not include the commission of a crime. If that communication discloses a crime, there's no protection. Similarly, I think a warrant would be sufficient. You'd need to have substantial grounds to convince a judge to give you the warrant, but once you had the warrant, you'd be entitled to that information.

(1625)

Mr. Nathaniel Erskine-Smith:

Ms. Carvin, I'll give you an opportunity to respond as well, and again, could you speak more broadly to access to information? I would note that in the U.K., access to information can be refused for national security reasons. The minister is required in all cases to provide a refusal, unlike in this act, and there is a ministerial directive that it's expected to be required to be exercised rarely.

I would also note that in the U.S., for the Senate select committee on intelligence and the U.S. House permanent select committee on intelligence, the executive cannot withhold any information from them except temporarily and under extenuating circumstances, such as in relation to highly covert and time-sensitive operations. If you could, please speak to access to information with specific reference to clause 14.

Prof. Stephanie Carvin:

Yes, I have that underlined a number of times.

I think that for me the issue is “ongoing investigation”. As I've already said, some of these investigations go on for years. There's the Air India inquiry, for example, but just your regular run-of-the-mill domestic terrorism investigation can take two to three years before you feel that you have the appropriate level of evidence against someone who you can bring in and actually prosecute.

Part of it might be how “ongoing investigation” is defined or understood in terms of this particular clause in paragraph 14(e). I like the suggestion of perhaps something along the lines of paragraphs 16(1)(a) and 16(1)(b). If you added something here in terms of “injurious to national security”, as in paragraph 16(1)(b), that might be appropriate.

Mr. Nathaniel Erskine-Smith:

I want to pick up on that. Paragraph 14(b) is duplicated. You'll see that in clause 16 there's a reference to “information constitutes special operational information”. I won't take you to the Security of Information Act, but trust me, paragraph 14(b) is duplicated in section 8 of the Security of Information Act, and paragraph 14(d) is also duplicated, largely.

If we were to remove paragraphs 14(b) and 14(d), and subject paragraph 14(e) to a refusal and to the additional criterion of !injurious to national security”, would that make good sense?

Prof. Stephanie Carvin:

Offhand, I would say yes.

Mr. Nathaniel Erskine-Smith:

I think I'm out of time.

The Chair:

You're out of time.

As chair, I just want to clarify something with Mr. Major. With respect to the exceptions in clause 14, you're talking about warrants that could be issued under clause 13. Just to clarify, are you saying, though, that the information that is excluded in clause 14 would be trumped by clause 13 powers?

Mr. John Major:

I'm not sure that I understand that question. Clause 14—

The Chair:

There are exceptions in clause 14.

Mr. John Major:

Do you have any particular subclause in mind?

The Chair:

I'd say all of them. For example, there is paragraph 14 (e), which mentions information relating directly to an ongoing investigation carried out by a law enforcement agency that may lead to a prosecution

That is an exception for material that would be available to the committee of parliamentarians. I might have misheard when I was trying to understand. You seemed to say that this could be gathered if under clause 13 a warrant is gained

Mr. John Major:

What I think I wanted to say was that the information sought under subclause 13(2) as it's presently drafted would not permit solicitor-client exchange, and that the solicitor-client privilege under our charter would preclude that disclosure without the benefit of a warrant.

(1630)

The Chair:

Okay. Thank you very much.

We started late, and I thought that because the New Democratic Party didn't have a chance to ask questions when Mr. Major was here, I could give another couple of minutes to Mr. Dubé.

That's if you have questions, Mr. Dubé.

Mr. Matthew Dubé:

Yes. Thank you, Chair. I just have one question, so I won't use up too much of that indulgence.

Justice Major, you spoke of the Prime Minister's ability to redact the report, that component of the bill. We have an amendment that, in what we see as the minimum standard, would make that report to at least be clear on where and by whom it was redacted. If I could just, with your indulgence, read the the key component of the amendment, that would be helpful. I'll paraphrase as much as I can.

If the committee has been directed by the Prime Minister to submit “a revised version”, under subclause 21(5), we say that “the report laid before each House of Parliament must be clearly identified as a revised version and must indicate the extent of, and reason for, the revision”. For us, despite the fact that we have issues with the definitions of what can be redacted and the subjectiveness of it, that is the minimum required to at least ensure that Canadians know the motivation behind “the use of the Sharpie”, if you'll allow me that turn of phrase. Perhaps I could quickly get your thoughts on that.

Mr. John Major:

Well, I agree with what you're proposing. What more can I say? I think that's appropriate.

Mr. Matthew Dubé:

That's more than sufficient for me. Thank you very much, Justice Major.

The Chair:

That's pithy.

Thank you very much to both our witnesses. We're going to take a quick turnaround of three or four minutes to change panels.

We thank you, Justice and Dr. Carvin, for being with us.

(1630)

(1635)

The Chair:

I'd like to begin our second panel for today. We will try to end close to 5:30 p.m., splitting between the two panels the time we lost.

We have with us the Civilian Review and Complaints Commission for the RCMP, represented by its chair, Ian McPhail. I believe Mr. Evans is with him. We also have with us the Office of the Communications Security Establishment Commissioner, and the commissioner is here, as well as Mr. Galbraith.

Welcome.

I think we'll begin with Mr. McPhail for 10 minutes, move to Monsieur Plouffe, and then have the questioning.

Take it away.

Mr. Ian McPhail (Chairperson, Civilian Review and Complaints Commission for the Royal Canadian Mounted Police):

Thank you, Mr. Chair. My remarks will take a bit less than 10 minutes.

I would like to first of all thank you and the committee for inviting me here today as a representative of the commission. Mr. Evans is the senior director of operations of the commission.

I welcome the opportunity to share my views on the proposed legislation and the role of expert review bodies.

As you know, in 2014, amendments to the RCMP Act resulted in the creation of the Civilian Review and Complaints Commission. At that time, the commission’s mandate was expanded beyond public complaints to include systemic reviews of RCMP activities to ensure they are carried out in accordance with legislation, regulations, ministerial direction, or any policy, procedure, or guideline.

The commission now has the ability to review any RCMP activity without having a complaint from the public or linking it to member conduct.

We are currently undertaking two such systemic reviews: one into workplace harassment, at the request of the Minister of Public Safety, and the other, which I initiated, into the RCMP’s implementation of the relevant recommendations contained in the report of the commission of inquiry into the actions of Canadian officials in relation to Maher Arar. The RCMP’s national security activities came under intense scrutiny during the O’Connor commission of inquiry. As such, I felt it was important to undertake an independent review of the RCMP’s implementation of Justice O’Connor’s recommendations.

As a key component of Canada’s security and intelligence framework, enhancing the accountability and transparency of the RCMP’s national security activities is the ultimate goal of the CRCC review. The commission’s review is examining six key areas based on the relevant recommendations of Justice O’Connor, namely: centralization and coordination of RCMP national security activities; the RCMP’s use of border lookouts; the role of the RCMP when Canadians are detained abroad; RCMP information sharing with foreign entities; RCMP domestic information sharing; and, training of RCMP members in national security operations.

The review is ongoing at this time, and it requires the examination of sensitive and classified information. Given that some experts and observers have previously raised concerns regarding whether the commission would get access to privileged information, it is important to note that we have reviewed classified material made available by the RCMP.

Upon completion of the investigation, a report will be provided to the Minister of Public Safety and the Commissioner of the RCMP. A version of the report will also be made public.

This ongoing investigation highlights the key role of the CRCC in reviewing RCMP national security activities. I believe that the expert review provided by the CRCC and its counterparts, including SIRC and the Office of the CSE Commissioner, will be complementary to the work of a committee of parliamentarians.

This bill highlights the critical role of parliamentarians in the national security accountability framework, while acknowledging the contribution of expert review bodies. In that regard, I look forward to a collaborative working relationship with the committee.

Thank you for giving me this opportunity to share my thoughts.

(1640)

The Chair:

Thank you very much.[Translation]

Now we move on to Mr. Plouffe. [English]

Mr. Jean-Pierre Plouffe (Commissioner, Office of the Communications Security Establishment Commissioner):

Chair and honourable members, I am pleased to appear before this committee on the subject of Bill C-22. I am accompanied by Mr. Bill Galbraith, the executive director of my office.

Before I make a few remarks about the bill this committee is examining, and since this is my first appearance before this committee, I will very briefly describe the role of my office.[Translation]

You have my biographical note and a summary of my mandate, so I won’t go over them here, but I would like to say that I have found that my decades-long experience as a judge has stood me in very good stead in more than three years as CSE Commissioner.

Being a retired or supernumerary judge of a superior court is a requirement set out in the National Defence Act, the legislation that mandates both my office and the Communications Security Establishment.

The CSE Commissioner is independent and arm’s length from government. My office has its own budget granted by Parliament.

I have all the powers under Part II of the Inquiries Act which gives me full access to all CSE facilities, files, systems and personnel, including the power of subpoena, should that be necessary.[English]

The commissioner's external, independent role, focused on CSE, assists the Minister of National Defence, who is responsible for CSE, in his accountability to Parliament, and ultimately to Canadians, for that agency.

Let me turn now to Bill C-22.

I have stated on numerous occasions that a greater engagement of parliamentarians in national security accountability is indeed welcome.[Translation]

In particular, following the disclosures by Edward Snowden of stolen classified information from the U.S. National Security Agency and its partners, including CSE, the public trust in the intelligence agencies, and in the review or oversight mechanisms, was called into question. Those disclosures dramatically changed the public debate.

(1645)

[English]

I believe that a security-cleared committee, along with the expert review bodies, such as my office and that of my colleagues at the Security Intelligence Review Committee, SIRC, which reviews the activities of the CSIS, along with the Civilian Review and Complaints Commission—the CRCC—for the RCMP, headed by Mr. McPhail, can provide a strong complementary and comprehensive framework for accountability of security and intelligence activities and can indeed enhance transparency.

I believe this committee will help restore and enhance public trust, but it will not be without challenges. Historically, the CSE commissioner was rarely invited to appear before parliamentary committees and the work of my office may not have received its full due. The committee of parliamentarians may help to focus attention on the important work of the expert review bodies. My office and I look forward to working with the committee and its secretariat.

For maximum effectiveness, however, the respective roles of the committee of parliamentarians and of the expert review bodies must be well defined, to avoid duplication of effort and wasting resources. In my view, this is of paramount importance.[Translation]

Avoiding duplication was an obvious theme and I was pleased to see it stated in the bill, in clause 9 entitled “Cooperation”. The words are straightforward but we will have to work closely with the committee secretariat to ensure this happens in practice. The objectives, to my mind, are to ensure comprehensive overall review and encourage as much transparency as possible.[English]

I have some thoughts on how we might begin a productive relationship with the committee and its secretariat. Perhaps we can explore this issue during our question period.

There are, however, some points that should be discussed. I have a number of observations about various parts of the bill. The three-part mandate of the committee, provided for in clause 8 of the bill, is very broad in relating to any activity that includes operations as well as administrative, legislative, and other matters. As written, this will be another reason why we must work closely with the committee from the outset to ensure the rules are defined in practice, and not just to avoid duplication, but to ensure complementarity.[Translation]

I am not privy to the government’s intentions with respect to this broad approach. However, the combination of this three-part mandate could adversely impact the effectiveness of the secretariat’s work. The committee will have to establish its priorities. And again, this is where the committee and the review bodies can work closely together for effective overall accountability.[English]

What is clear is that the government wants to have a review of the national security and intelligence activities of those agencies and departments not currently subject to review. It is critical for effective review to maintain the capacity for expert review that we have now and to develop it for those agencies and departments not currently subject to review. This could be done by establishing another review body or bodies, or dividing them among the existing review bodies. The committee of parliamentarians will, I expect, turn its attention to this issue.

As I read the bill in its current form, it is clear that the committee does not have the same freedom of access as my office or, for that matter, as SIRC. In paragraph 8(b) the committee can review “any activity” that relates to national security and intelligence “unless the appropriate Minister determines” otherwise. This provides a potential restriction on what the committee may or may not see.

(1650)

[Translation]

This is where I believe the complementarity between the committee and the existing review bodies comes in, with reassurance that the latter have unfettered access to the agencies they review. The gap is the departments and agencies not yet subject to review.[English]

In conclusion, I would suggest a couple of small changes to provide clarity, and I could provide these in writing subsequently, if you so wish, Mr. Chair.

Thank you for this opportunity to appear before you today. My executive director and I would be pleased to answer your questions.

The Chair:

Merci.

I should always mention to the witnesses that if at the end of the meeting there's anything that you wished you had said and didn't, it's very appropriate for you to submit that in writing to the clerk, and it will be considered by the committee. That is no problem.

We will begin with Mr. Erskine-Smith for seven minutes.

Mr. Nathaniel Erskine-Smith:

Thanks very much.

I want to start with the collaborative working relationship that you mentioned, Mr. McPhail, and the emphasis on the complementary nature of the parliamentary committee and the expert review bodies.

Mr. Plouffe, you mentioned that you have more access to information than certainly this committee would have as it's currently written, not only under paragraph 8(b), but also in terms of limitations on access to information under clauses 14 and 16.

We've had other witness testimony that has emphasized that this could be a problem for the collaborative working relationship and could actually get in the way of that complementary approach. I wonder if you have something to say about that.

Mr. Ian McPhail:

The access to information provisions aren't identical, as you point out, Mr. Erskine-Smith. For example, the RCMP Act gives the CRCC somewhat broader access to information on ongoing investigations, in that the RCMP commissioner is required to outline in writing why that would be inappropriate.

The reality is, though, that as a review body the last thing we would want to do would be to interfere with an ongoing criminal investigation, so definitely we would back away from that. Likewise, I would anticipate that the committee of parliamentarians, which is also a review body, would share that policy.

Mr. Nathaniel Erskine-Smith:

I appreciate this if we want to establish a working relationship. We've heard other witness testimony that it's very important to establish a good working relationship, not just with the expert review bodies but with the agencies themselves, but of course, you would have that interaction directly with the commissioner and the commissioner would provide reasons. In this case, that conversation would be closed down from the outset pursuant to clause 14 in particular.

Mr. Ian McPhail:

That is possible, and I would say that the committee will have to feel its way. It may well be that amendments to the legislation could be made now. Over the next few years, you'll see how it works in practice—

Mr. Nathaniel Erskine-Smith:

But in your view, in practice, that working relationship—where you interact directly with the RCMP commissioner and the commissioner provides reasons for refusals and there's a bit of back and forth—works fairly well.

Mr. Ian McPhail:

As a matter of fact, the example I gave dealt with matters relating to ongoing criminal investigations. I mentioned in my opening remarks our review of the implementation of Justice O'Connor's recommendations. In that review, we have had access to privileged and classified information. The RCMP has been fully co-operative. We anticipate that this co-operation will continue. If it doesn't, the act does provide a mechanism to determine what processes should take place.

Mr. Nathaniel Erskine-Smith:

It sounds like it works fairly well, that back and forth, and not having completely restricted access to information—

Mr. Ian McPhail:

If I can make one further comment, although the act prohibits the position of chairperson—my position—being held by a former member of the RCMP, fortunately we do have some former senior members of the RCMP on our staff, such as Mr. Evans for example, and because of that, our people also know where to go, what information is going to be kept, and where it's going to be kept. So it's not an uninformed request for material and, in that respect, getting back to the first part of your question, I think the commission could be of assistance to the committee of parliamentarians.

(1655)

Mr. Nathaniel Erskine-Smith:

Mr. Plouffe, perhaps you could speak to that access-to-information disparity between the CSE commissioner and the parliamentarians committee.

Mr. Jean-Pierre Plouffe:

The way I see it is that as a CSC commissioner I have my own mandate to focus on, and the committee will have its own mandate to focus on. This is why I stressed in my remarks that complementarity between the two committees is very important, so that this problem of access in theory is not a problem in practice.

Mr. Nathaniel Erskine-Smith:

But it may be a problem in practice, as pointed out by Professors Roach and Forcese, for example. They used a number of different examples. One example would be being precluded from ongoing law enforcement operations. They say that there's still an active ongoing law enforcement operation with respect to the 1985 Air India bombing. They also speak to the Afghan detainee affair.

Where the parliamentarians committee would be precluded from accessing information related to these issues, and where they may want to of their own volition engage in an inquiry that the public is certainly concerned about, isn't that something we should worry about? Couldn't the parliamentarians committee work together with the CSE commissioner on the same footing, with the same access to information?

Mr. Jean-Pierre Plouffe:

I think you are referring to the exceptions contained in clause 14.

Mr. Nathaniel Erskine-Smith:

That's right.

Mr. Jean-Pierre Plouffe:

We might agree or disagree with those exceptions, but in my view they are not unreasonable, taking into account the bill as a whole, the purpose and scheme of the bill and the entire context. I also believe that another witness who appeared before you previously, Mr. Atkey, commented on this when he appeared before you, saying that he accepted them for the most part.

Mr. Nathaniel Erskine-Smith:

Yes, although he said we should eliminate clause 16 and the limitation in paragraph 8(b).

The Chair:

You have 15 seconds.

Mr. Nathaniel Erskine-Smith:

Here's what my last question would be. If these are security-cleared parliamentarians, why should we feel more comfortable with your office having complete access and parliamentarians not having complete access?

Mr. Jean-Pierre Plouffe:

That's a good question, and I guess it's for the government to answer. I suspect, bearing in mind that this is a new committee and that it's the first time parliamentarians will be involved in those matters, that the government wants to go cautiously and slowly. We'll see as things develop what changes should be made to the bill. [Translation]

The Chair:

Thank you very much, Mr. Plouffe.[English]

Mrs. Gallant—I'm struggling with Madam, Ms., and Mrs.—welcome back.

Mrs. Cheryl Gallant (Renfrew—Nipissing—Pembroke, CPC):

“Mrs.” is fine.

The Chair:

I know. It just took me a minute.

Mrs. Cheryl Gallant:

Thank you, Mr. Chairman. My questions will be directed through you mostly to Mr. Plouffe.

First of all, in your comments, you mentioned that the government wants to have a review of the national security intelligence activities of those agencies and departments not currently subject to review. Would you please list the agencies and departments that you feel are not adequately reviewed at this time?

Mr. Jean-Pierre Plouffe:

I must admit that I don't have the list at hand right now to tell you exactly. The border agency, for example, is the first one that comes to mind. I think that agency should be reviewed by somebody. As an example, it could be SIRC, because the work that CSIS does on the one hand and the work that the border agency does on the other are somewhat similar. SIRC could be the review body for that agency.

With regard to other departments that are not subject to review, the option is for the government to divide them among the existing review bodies—for example, the CSE commissioner, SIRC, the CRCC—or to create a new review body or bodies. I think it's important that the agencies and departments that are not subject to review be reviewed.

(1700)

Mrs. Cheryl Gallant:

My concern is that we see from time to time in Parliament an issue that is sensitive, that is urgent—for example, the screening of Syrian refugees—and the system is in place may have some deficiencies. This committee may have wanted to study it, but were told no. We were just outnumbered by the tyranny of the majority. Do you see it as a concern that what parliamentarians possibly should be studying in standing committees could, by virtue of the government's wanting to keep it out of the public eye, be deferred to this special committee?

Mr. Jean-Pierre Plouffe:

If I understand your question correctly.... I'm sorry. Could you repeat that again, just the essence?

Mrs. Cheryl Gallant:

Do you see that the government might want to defer an issue that a committee might want to study to this special committee just so that it's kept out of the public domain?

Mr. Jean-Pierre Plouffe:

No, I don't see that at all. As I say, the mandates are different, but they are complementary. I think the important thing, as I said in my opening remarks, is to work together: the committee of parliamentarians on the one hand and the expert review bodies on the other. If we do that, I guess this will answer your question.

Mrs. Cheryl Gallant:

Okay. Now, you've said that the committee does not have the same freedom of access as your office or SIRC, though in a specific area it has more explicit access. Which area is that?

Mr. Jean-Pierre Plouffe:

That's the access with regard to the legal opinions, the client-lawyer privilege.

Mrs. Cheryl Gallant:

Okay. Very good. Paragraph 8(b) says unless the appropriate minister determines otherwise, so how would the members of the special committee be able to verify that there is actually a reason that the committee should not have access to certain information?

Mr. J. William Galbraith (Executive Director, Office of the Communications Security Establishment Commissioner):

The legislation sets out that if a minister refuses, or if information is refused to the committee, there has to be an explanation given. Is that what you're referring to?

Mrs. Cheryl Gallant:

We see this in the defence committee all the time when they say that something is a matter of operational security. We don't know whether it really is a matter of operational security. They could be just using this as a way to avoid providing the information. How would committee members know that there is actually a national security issue as opposed to the department or agency not wanting to be forthcoming with the information?

Mr. Jean-Pierre Plouffe:

In the bill, if I'm not mistaken, there's a provision whereby if a minister is refusing that type of information he has to give you reasons, the reason why he's not releasing that type of information.

Mrs. Cheryl Gallant:

In the bill, we're talking about paragraph 8(b). The witnesses could state how the—

Mr. Jean-Pierre Plouffe:

It's 8(b)?

Mrs. Cheryl Gallant:

Yes. Are you certain that the government or the agency could not simply be using national security as an escape clause for not having to provide the information to the committee?

(1705)

Mr. Jean-Pierre Plouffe:

I don't see why they would do that unless they are in bad faith, and I assume that everybody is acting in good faith unless the contrary is proven to me.

Mrs. Cheryl Gallant:

All right.

We'll go on to the procedure of the committee. It says: The Committee is to meet at the call of the Chair.

Do any of the witnesses see that there should be a provision whereby a certain number of the members of committee, a minimum number that would be equal to or less than the number of government members, would be able to call for a meeting of the committee?

Mr. Jean-Pierre Plouffe:

Are you talking about a quorum?

Mrs. Cheryl Gallant:

Yes.

Hon. Tony Clement:

That's in clause 17.

Mr. Jean-Pierre Plouffe:

Clause 17, is it? I notice there is no provision in the bill about a quorum in this committee. It says there are nine members, and clauses 18 and 19, for example, talk about voting, but they don't talk about a quorum. I think there should be a provision saying that the quorum for the committee, let's say, is five members or whatever.

The Chair:

I need you to end there.

Monsieur Dubé, please continue. [Translation]

Mr. Matthew Dubé:

Thank you, Mr. Chair.

I would also like to thank the witnesses for being here today.

My question is for Mr. Plouffe.

Pursuant to the National Defence Act, part of your mandate is to report any CSE activities that are not in compliance with the law. For our part, we are introducing an amendment that would make this committee responsible for alerting the Minister of Public Safety and the Minister of Justice, so that is similar to your mandate.

I would ask you first to speak about the importance of this part of your mandate, and then to tell us whether you think our amendment is an appropriate proposal for this committee.

Mr. Jean-Pierre Plouffe:

Part of my mandate is to ensure that CSE activities comply with the law. It goes without saying therefore that if they do not comply, I have to inform the Minister of National Defence, who is responsible for the CSE, as well as the Attorney General of Canada, in accordance with the National Defence Act. If you read the annual report I released last year that was tabled in both houses, you will find that I reported one case where this happened.

The committee's role is to ensure that the activities of the “agencies subject to review” comply with the law. I do not see why you could not also have the power to report such cases to the minister responsible for the agency in question and to the Attorney General of Canada.

Mr. Matthew Dubé:

Perfect, thank you very much.

We have spoken a great deal about paragraph 8b) and the minister's power to prevent an investigation by the committee, which is not the case for your office or for the SIRC ...

Mr. Jean-Pierre Plouffe:

It is the Security Intelligence Review Committee, or SIRC.

Mr. Matthew Dubé:

Yes, thank you, it is hard enough to remember all the acronyms, let alone the acronyms in both languages.

You spoke about complementarity. That would be one example of how we could work together. I would like to take a different approach and hear your opinion of it.

You spoke about something that is very important to the committee of parliamentarians, namely, public trust. Do you not think that adding discretionary powers for a minister—even if we can rely on other, existing bodies to provide oversight—undermines the key objective of public trust? We know that the minister can prohibit investigations, which is not the case for other review committees.

Mr. Jean-Pierre Plouffe:

First of all, you have to understand the nature of the committee that the bill would create. It is a committee of parliamentarians, but not a committee of Parliament, it is a creature of the executive. I don't think this is the first time you have heard this. This is why the prime minister and the other ministers have a role to play. It would be different if it were a committee of Parliament.

It is a committee of parliamentarians, so it is a committee of the executive. This committee, by the way, must report to the prime minister in certain cases and to certain ministers in other cases. That's the philosophy.

Some day things might evolve, with practice, in the sense that we might realize—as is the case in England right now—that it is a committee of Parliament and not a committee of parliamentarians.

(1710)

Mr. Matthew Dubé:

Thank you.[English]

Mr. McPhail and Mr. Evans, you raised an interesting point about the importance of your not being a former member of the RCMP, Mr. McPhail, and the independence that comes with that. I'm just wondering about your thoughts on this. We had a similar thought process when it comes to the choice of the chair for this committee, in the sense that if the Prime Minister is naming the chair, I feel there's almost a similarity. It's as if you were a former member of the RCMP. There is a bit of a conflict that can be seen there. What's the importance of the independence that you have and ensuring that you can exercise proper oversight?

Mr. Ian McPhail:

My sense, Monsieur Dubé, is that it's not so much a matter of actual conflict, but rather public confidence.

I'll speak for Mr. Evans here, but I can also speak for all of the former RCMP members who are on our commission staff. They're all, I find, quite determined to proceed with the mandate of the commission, and they bring with them not just that determination, but their specialized and expert knowledge, which is frankly invaluable.

It would be my sense—and obviously this is beyond my authority or the commission's authority—that since the purpose of this bill is remedial and is designed to boost public confidence, I find it difficult to imagine that the Prime Minister or any number of parliamentarians would appoint as a chair someone whose appointment would detract from public confidence and trust.

Mr. Matthew Dubé:

Right. I appreciate that.

The Chair:

You have half a minute.

Mr. Matthew Dubé:

As one last quick question, what was the importance of the ongoing review of Justice O'Connor's recommendations? How important was it that you had access to all that information? You mentioned that in your remarks, but just how important is that? That's something we're debating in regard to this bill, as well?

Mr. Ian McPhail:

It's critical, but as I said earlier, we haven't had to rely on any legal provision to date. I can't foretell the future, of course, but to date the RCMP has been fully co-operative in allowing our investigators full access.

Mr. Matthew Dubé:

That full access is key to doing your job.

Mr. Ian McPhail:

Absolutely.

Mr. Matthew Dubé:

Thank you.

The Chair:

Thank you very much.[Translation]

You have the floor, Mr. Di Iorio.

Mr. Nicola Di Iorio (Saint-Léonard—Saint-Michel, Lib.):

Thank you, Mr. Chair.

Thank you, gentlemen, for your cooperation and valuable testimony.

I would like to talk about clause 8 of the bill, which pertains to the Committee' s mandate. It states: “The mandate of the Committee is to review“

Paragraph b) states:[English] (b) any activity and it continues: unless the appropriate Minister determines that the review would be injurious to national security; [Translation]

Other witnesses have pointed out that there is repetition in the bill. I would like your opinion on that. Is there repetition in the bill?

Let us look first at clause 14.

Paragraph 14 b) no longer refers to review but rather information, which I consider much more limited.

Mr. Jean-Pierre Plouffe:

It that clause 14 or clause 15?

Mr. Nicola Di Iorio:

It is paragraph 14 b) that pertains to information and not review.

Paragraph 14 d) pertains to the identity of a person. Once again, it does not refer to review.

Paragraph 14 e) pertains to information, so once again it does not refer to review.

I would also draw your attention to clause 16, which once again pertains to information and not review.

Would you also agree that there is unnecessary duplication and that things are repeated for nothing? In your opinion, are the exceptions set out in clauses 14 and 16 justified?

(1715)

Mr. Jean-Pierre Plouffe:

Earlier, with Mr. Dubé, we touched on paragraph 8b). This paragraph is a restriction; how often will it be applied? We have to consider this. Based on what a minister said recently, this prerogative will be used very rarely.

I have a note in English that explains my thinking. I will read it out, if I may.[English]

It states, “My experience has been that often the fears we have are seldom realized to the same extent as we had thought.”[Translation]

It is a restriction, but is an exception. The principle of an exception is that it is used rarely.

Mr. Nicola Di Iorio:

Do you agree that the minister could allow the review, although the bill stipulates that certain information cannot be disclosed to the committee?

Mr. Jean-Pierre Plouffe:

We have to understand—and I believe you understand this too—that there is a difference between review, which is part of the mandate, and access to the information referred to in clause 13 and in the following clauses. I would say it is not exactly the same thing.

Mr. Nicola Di Iorio:

Very well.

Now, Mr. McPhail and Mr. Plouffe, I would draw your attention to clause 9.

Mr. Jean-Pierre Plouffe:

Yes.

Mr. Nicola Di Iorio:

Clause 9, which is entitled “Cooperation”, states the following:[English] The Committee and each review body are to take all reasonable steps to cooperate with each other to avoid any unnecessary duplication of work by the Committee and that review body in relation to the fulfillment of their respective mandates. [Translation]

Do you agree?

Mr. Plouffe, you yourself stated that it is a committee of parliamentarians many of whose members—the vast majority, but not all—are elected. These people go to the polls every four years to renew their mandate.

Mr. Jean-Pierre Plouffe:

Yes.

Mr. Nicola Di Iorio:

Do you agree that, in the event of a difference of opinion, this committee takes precedence over committees such as the one you chair?

Mr. Jean-Pierre Plouffe:

Are you referring to committees of experts?

Mr. Nicola Di Iorio:

I am referring to committees of experts such as the one you chair, and the one Mr. McPhail also chairs. The question is also for Mr. McPhail, of course.

Mr. Jean-Pierre Plouffe:

I don't see it that way. I do not think it is a question of taking precedence. I see what you are getting at, but each committee or body has its own mandate. I don't think it is a question of precedence. I do not see it that way at all.

The expert review mandate that we have, as regards the Communications Security Establishment, is one thing. This involves in-depth reviews several times per year and so forth. I imagine that the committee, by virtue of its mandate, will probably restrict itself to more general matters as opposed to the specific or detailed matters that we examine.

I think they are complementary mandates. It is not a question of precedence; both are important.

Mr. Nicola Di Iorio:

Do you have the power to summons?

Mr. Jean-Pierre Plouffe:

Yes.

Mr. Nicola Di Iorio:

Should the committee have the power to summons?

Mr. Jean-Pierre Plouffe:

That might be useful. I do not see a problem in calling witnesses to appear if you wish.

For example, if you are conducting a review of a specific department and want access to documents and witnesses, but are being refused, it could be problematic if you do not have a power of coercion.

Mr. Nicola Di Iorio:

So there would have to be a power subpoena duces tecum, that is, the power of subpoena to produce documents.

(1720)

Mr. Jean-Pierre Plouffe:

Yes, that is something to consider. That is the power to subpoena persons to appear with documents, known as duces tecum, as you said.

Mr. Nicola Di Iorio:

What are your thoughts, Mr. McPhail? [English]

Mr. Ian McPhail:

It's an excellent question, but I think it goes to the basic role of parliamentarians and review bodies. It's hardly up to me to say what the roles are, but I think you would agree with me that the key roles of parliamentarians are to consider, and if appropriate, pass legislation and to hold the executive to account. The role of review bodies is to carry out the instructions of Parliament in their respective fields.

I would anticipate that if that same philosophy were to carry over into this proposed committee of parliamentarians, it would probably not be the wish of the committee or any such committee to duplicate the work by conducting detailed reviews on specific matters, but rather to consider, for example, the issue that has just been raised today, that is, the question of what access should police have to supposedly confidential material on cellphones, to encrypted messages.

The Chair:

Thank you, Mr. McPhail.

Mr. Ian McPhail:

There's a very valid public debate on that, but that's not the role of a review body, quite clearly. I just use that as an example.

The Chair:

Thank you. We have to continue. That was eight and a half minutes. [Translation]

Mr. Nicola Di Iorio:

Thank you. [English]

The Chair:

Mr. Clement.

Hon. Tony Clement:

I want to get back to what was described by previous deponents as the “triple lock” that is found in the legislation in clause 8, in clause 14, and in one other clause. I want to get a sense from the witnesses of how reasonable that is.

The triple lock means that you have these clauses that make it clear that the mandate of the committee can be circumscribed if there's a national security issue, something “injurious to national security”, as it says in clause 8. Then we have the whole kitchen sink list in clause 14 of things that cannot be before the committee, and the refusal of information. I guess clause 16 is the other one, which incorporates by reference the Security of Information Act. This has been described to this committee already as a triple lock on the ability of the committee to do its job.

I'm speaking as a member of the previous government, and we didn't want to have this committee in the first place, but it seems to me that if you're going to go to the trouble of having the committee, it should be a committee that is actually able and capable of doing something. This was described in negative terms by the deponents, Professor Kent Roach amongst others, as a triple lock.

Monsieur Plouffe, obviously you're the commissioner of an agency, and Mr. McPhail, you've dealt with these kinds of reviews in the past. There's a balance to be struck, and I get that, but how do we strike the right balance? Obviously, no one around this table wants to do something injurious to national security, Lord forbid. At the same time, if I may say so, all parliamentarians are honourable people, and they're busy people, so to have us go through the genuflection of having a committee without having a real committee seems to me to be a waste of time.

I would like to have your thoughts on this matter, gentlemen.

Mr. Ian McPhail:

Mr. Clement, your point is well taken, and I suspect that probably all of your colleagues on both sides of the table would agree with you.

I can only comment specifically with respect to information that's in paragraph 14(e): information relating directly to an ongoing investigation carried out by a law enforcement agency that may lead to a prosecution;

The language used in our enabling legislation is somewhat broader.

I will get back to the point that I was making a moment ago, which is that I don't believe that it would be your intention that the committee conduct its own investigations of particular actions of the RCMP in terms of its national security activities.

Let me give you an example, if I may. National security activities of the RCMP are actually far broader than I think the public realizes, because many national security provisions have been enshrined in the Criminal Code. As a result of that, there's a law enforcement mandate for the RCMP. The RCMP also works very closely, in many of these areas, with other federal government agencies, and with provincial and even municipal police services.

Our body has the—

(1725)

Hon. Tony Clement:

I hate to do this to you—

Mr. Ian McPhail: Am I getting a little off track?

Hon. Tony Clement: —but I only have 15 seconds and I want to hear from Mr. Plouffe as well. I do get your point.

Mr. Ian McPhail:

Okay. We can work with the provincial oversight bodies and with others.

The Chair:

I'm afraid that's the end of your time.

Mr. Ian McPhail:

Oh, I'm sorry.

The Chair:

Ms. Damoff, for five minutes.

Ms. Pam Damoff (Oakville North—Burlington, Lib.):

Thank you very much.

My colleague would like to ask a quick question as well, so I'll share my time with him. I probably have time for only one question.

To both of you, we know how important public trust is in our policing bodies. How do you believe this committee can work with your agencies to build on that trust and to make sure that the public is well equipped to understand the balancing of public safety with our rights and civil liberties? Is there anything in the bill that could be improved to build on that?

Mr. Jean-Pierre Plouffe:

I think one of the principal challenges to restore and enhance public trust will be transparency. The committee and also the expert review bodies must strive to provide as much information as possible to Parliament and to the public in general, so that there can be a better understanding of what is being done, why, and, particularly, what safeguards are in place to protect the privacy of Canadian citizens.

With regard to CSE, which I'm reviewing, I've been pushing this concept of transparency for the last three years and trying to convince the agency to release more and more information to the public, because for transparency, releasing more information is part of that concept. I think the emphasis should be put on transparency.

Ms. Pam Damoff:

Mr. McPhail.

Mr. Ian McPhail:

Ms. Damoff, I would agree with Justice Plouffe with respect to every point that he has made.

I would also add that there is a constant tension, as you point out, between not just our desire for but our commitment to civil liberties, and also to the protection of Canadians in terms of national security issues. Exactly how that balance should be reached I would see as being one of the key purposes of this committee, because the review bodies aren't able to perform that function. The committee, provided there's not undue partisanship, should be able to do so.

(1730)

Ms. Pam Damoff:

Thank you very much.

The Chair:

Mr. Graham.

Mr. David de Burgh Graham (Laurentides—Labelle, Lib.):

Thank you.

I have one quick question for Mr. Plouffe, but I think it's an important one.

CSEC is an integral part of our national security establishment and deals with a much higher level of technology than most government departments, and overseeing mathematicians and cryptographers whose full-time job is obfuscation is necessarily difficult. It's one thing to have total access to everything; it's another to interpret that data. In signals intelligence, data mining, and so forth, and in the deliberate compromising of targeted machines, who conducts the accountability code audits?

To give you an example of what I'm wondering about, WIRED magazine reported that last year the Kaspersky Lab turned up a pretty fascinating operation called the “Equation Group” that remotely flashed hard-drive firmware and is believed to come from a Five Eyes partner of the National Security Agency. This is low-level assembly language-type work and requires very specific expertise.

What processes are in place to interpret this level of sophistication in oversight capacity, and how is it achieved or how could it be achieved?

Mr. Jean-Pierre Plouffe:

Well, I suspect that this is why we are called expert review bodies. We have experts who work for us. I agree with you that it's not always easy to understand what CSE is doing and, believe me, I was appointed three years ago and I'm still trying to understand exactly, in all the details, what they are doing. It is very complex, but I rely on experts. I have eight or nine experts in my office working for me, and those experts have worked either for CSE beforehand, or for CSIS, or for the security department, whatever, so they are experts.

Mr. David de Burgh Graham:

These are people who get into weeds of the code and the actual technology of the stuff and not just the records that come out of it.

Mr. J. William Galbraith:

If I may, Commissioner...?

Mr. Jean-Pierre Plouffe: Yes.

Mr. J. William Galbraith: You're at a very granular level, a very deep level. We—

Mr. David de Burgh Graham:

It's an area that doesn't get talked about, and I want to make sure it does.

Mr. J. William Galbraith:

When we determine the activities that are to be reviewed and the priority of those activities, we're looking at risks to compliance and risk to privacy. For those that we go through, we receive the briefings from CSE, and where we identify activities, something like that may be part of those activities. We go down from there and determine what are the risks to privacy in that and what are the risks to compliance generally. We then determine what priority will be placed on that.

If there's a requirement to get into the kind of granular detail that you're talking about, we go to, as required, under the commissioner's authority, under-contract computer engineers, for example, to ensure that we're understanding what is going on. CSE, I have to say, is quite co-operative and transparent with the commissioner's office, as demonstrated in the metadata issue of last year.

The Chair:

Thank you very much, Mr. Galbraith.

That brings our meeting to an end. Thank you, everybody, and thank you to our witnesses for your time with us.

I'll ask you to clear the room fairly quickly, because I'd like to have a brief subcommittee meeting.

The meeting is adjourned.

Comité permanent de la sécurité publique et nationale

(1540)

[Traduction]

Le président (M. Robert Oliphant (Don Valley-Ouest, Lib.)):

Bonjour et bienvenue.

Je déclare ouverte cette 42e  réunion de la 42e législature du Comité permanent de la sécurité publique et nationale.

Nous poursuivons notre étude du projet de loi C-22, Loi constituant le Comité des parlementaires sur la sécurité nationale et le renseignement et modifiant certaines lois en conséquence.

Nous accueillons Stephanie Carvin, professeur adjointe à la Norman Paterson School of International Affairs. Elle est accompagnée aujourd'hui de sa classe, laquelle est venue pour apprendre et — on l'espère — pour procurer un soutien moral à l'enseignante.

Merci de comparaître devant notre Comité aujourd'hui.

Le juge John Major était censé témoigner aujourd'hui également; toutefois, notre heure est l'heure normale de l'Est, et il fonctionne sur l'heure normale des Rocheuses, ce qui donne un décalage de deux heures. Nous allons peut-être réussir à le retrouver, mais sinon, nous l'entendrons à l'occasion d'une autre réunion.

Nous allons commencer par Mme Carvin. Vous avez 10 minutes, puis les membres du Comité vous poseront des questions.

Mme Stephanie Carvin (professeure adjointe, The Norman Paterson School of International Affairs, Carleton University, à titre personnel):

Je tiens à remercier le Comité de m'avoir invitée à témoigner aujourd'hui.

Avant de commencer, j'aimerais, par souci de transparence, préciser que j'ai travaillé comme analyste du renseignement au gouvernement du Canada de 2012 à 2015. Mes opinions sont façonnées par cette expérience ainsi que par mes travaux de recherche sur les enjeux touchant la sécurité nationale.

Cela dit, en ce qui concerne le sujet qui nous occupe, à savoir le projet de loi C-22 et la question de la surveillance et de l'examen des activités de renseignement, j'aimerais aborder certains aspects qui ont été quelque peu négligés. Mon exposé comptera donc deux volets. Premièrement, je vais soulever trois enjeux qui, selon moi, devraient être pris en compte par le Comité dans le cadre de son étude du projet de loi: l'étude de l'efficacité de l'analyse du renseignement; le contre-espionnage et l'influence étrangère; et la communication avec le public. Deuxièmement, je formulerai quatre recommandations.

Le premier enjeu est l'étude de l'efficacité de l'analyse du renseignement. Je présente mes observations presque deux semaines après la révélation selon laquelle le Centre d'analyse de données opérationnelles — ou CADO — du SCRS avait illégalement conservé des métadonnées et les avait utilisées pour mener des évaluations. Même si cette question touche surtout la collecte et la conservation de données, elle concerne également le rôle de l'analyse du renseignement au sein du gouvernement du Canada.

Nous avons souvent entendu dire que le mandat du SCRS établi durant les années 1980 ne reflète plus la réalité technologique, mais l'analyse du renseignement n'a jamais été même abordée. À part le paragraphe 12(1), où il est précisé, au sujet des menaces à la sécurité nationale que le service en fait rapport au gouvernement du Canada et le conseille à cet égard, le rôle de l'analyse du renseignement est à peine pris en considération dans la Loi sur le SCRS. Il n'y a aucune orientation quant à la façon dont ce rôle devrait être rempli, dont le renseignement devrait soutenir les opérations et dont les conseils devraient être donnés. Il n'y a aucun examen officiel ou uniforme de l'analyse du renseignement.

En bref, le milieu du renseignement rend bien peu de comptes au sujet de la fourniture de rapports, de la façon dont ils sont produits ou du caractère opportun de ceux-ci. En outre, il n'y a aucune façon de savoir comment les produits de renseignements sont utilisés ou s'ils soutiennent adéquatement les opérations internes ou la prise de décisions. Enfin, il est également impossible de savoir si les analystes possèdent l'équipement, les outils ou la formation dont ils ont besoin pour produire leurs évaluations.

Je crois que le comité dont la création est proposée dans le projet de loi C-22 peut aider à régler ces questions en devenant le premier organe se consacrant à l'examen de l'efficacité de l'analyse du renseignement au Canada.

Deuxièmement, la discussion entourant la réforme de nos organismes du renseignement et de la surveillance a jusqu'à maintenant porté sur le terrorisme et la surveillance, pas sur les activités touchant l'espionnage ou l'influence étrangère. Or, le contre-espionnage n'exige pas le même ensemble de compétences et d'activités que la lutte contre le terrorisme. Par exemple, les activités de contre-espionnage peuvent avoir une incidence sur la politique étrangère, et vice versa.

Par conséquent, le comité proposé pourrait déterminer à quel point les organes responsables de la politique étrangère et de la sécurité nationale coordonnent leurs activités, ou si le service du renseignement devrait se montrer plus franc concernant les activités de gouvernements étrangers en sol canadien. Sans aucun doute, il est difficile de soulever ces questions en public; l'espionnage et l'influence étrangère peuvent mener à des ennuis diplomatiques et à des situations embarrassantes. Néanmoins, il ne devrait pas être exclu de la conversation et de l'étude du projet de loi C-22 par le Parlement. C'est d'autant plus vrai qu'enquêter sur ces enjeux peut exiger d'aller à l'extérieur du milieu du renseignement au Canada tel qu'on le définit habituellement.

Troisièmement, le comité proposé pourrait s'avérer le plus grand outil de communication du gouvernement au moment de fournir aux Canadiens de l'information sur la sécurité nationale. Malheureusement, à l'heure actuelle, il y a très peu de façons pour les organismes de sécurité de communiquer avec le grand public. Pis encore, au cours des dernières années, les rapports des organismes responsables de la sécurité nationale ont eu tendance à paraître de façon peu fréquente et sporadique. Par exemple, le SCRS n'a pas produit un rapport annuel — maintenant bisannuel — depuis mai 2015, et ce rapport visait la période 2013-2014. Le rapport public de Sécurité publique Canada au sujet de la menace terroriste, seul rapport multiorganismes relatif aux menaces au Canada, est publié de façon plus régulière, mais ne porte pas sur les activités ne touchant pas le terrorisme.

J'espère que le rapport du comité va aider à combler cette lacune et devenir un outil de communication puissant pouvant aider à accroître le savoir et à susciter la confiance. Je verrais cela se produire de deux façons.

La première est que ce rapport pourrait devenir une source d'information centrale sur le contexte de menace actuelle au Canada. Selon moi, le fait que celui-ci provienne de nos parlementaires élus contribuerait à une amélioration globale de la compréhension des enjeux touchant la sécurité nationale au Canada. La deuxième tient au fait qu'une évaluation honnête des activités de nos organismes de sécurité va convaincre la population que nos services de sécurité nationale mènent leurs activités dans le respect de l'esprit et de la lettre de la loi.

Pour le deuxième volet de mon exposé, maintenant, je vais présenter quatre recommandations.

Premièrement, il est impératif que le Parlement tienne compte du contexte d'ensemble dans lequel le comité prévu dans le projet de loi C-22 mènera ses activités ainsi que des rôles généraux qu'il pourra jouer pour ce qui est de susciter la confiance. La surveillance et l'examen des organismes de sécurité nationale est et devrait être le mandat fondamental du comité proposé; toutefois, j'encouragerais les parlementaires à songer au rôle général qu'ils pourraient jouer au chapitre de la communication d'information et du renforcement de la confiance.

Deuxièmement, en ce qui concerne l'analyse, le comité devrait, dans le cadre de son mandat, veiller à ce que de bonnes analyses du renseignement soient présentées en temps opportun afin de soutenir le gouvernement et les artisans des politiques en exigeant que les dirigeants des organismes de sécurité nationale rendent des comptes. Cela devrait également comprendre l'examen de techniques novatrices, comme l'analytique des métadonnées. Cela exigerait bien sûr l'établissement d'un secrétariat qui connaît ces enjeux et qui prodiguerait des conseils aux membres du comité. De cette façon, l'analyse du renseignement deviendra une activité fondamentale appuyant l'élaboration des politiques au lieu d'être une activité qu'on mène après coup.

Troisièmement, il faut songer à la façon dont le comité s'inquiétera de son mandat relativement aux enjeux touchant le contre-espionnage, l'influence étrangère et les cyberintrusions, quitte à le faire à huis clos. Cela comprend le fait de bien coordonner ces activités avec celles d'autres organismes et ministères, comme Affaires mondiales Canada, ce qui pourrait façonner la portée et le mandat du comité proposé.

Quatrièmement, le comité devrait être tenu de publier ses conclusions tous les 365 jours, sans exception. Tout le monde ici sait à quel point les rapports gouvernementaux sont susceptibles d'être négligés en faveur d'autres priorités et de ne pas paraître à temps. Néanmoins, comme je l'ai déjà dit, le rapport du comité sera un outil crucial pour communiquer avec les Canadiens. Plus le contenu de ces rapports sera franc et honnête, plus le débat sur les mesures à prendre pour contrer les menaces à la sécurité nationale du Canada sera éclairé.

En ce sens, j'appuie fermement les propositions au sujet du comité présentées par le député Murray Rankin lors d'un discours devant la Chambre le 27 septembre.

Je vous remercie de m'avoir accordé du temps. Je serai heureuse de répondre à toute question ou d'écouter tout commentaire que vous aurez.

(1545)

Le président:

Merci beaucoup.

Pendant que vous parliez, je me disais qu'un certain nombre de témoins n'avaient pas pu témoigner parce qu'ils avaient un cours à donner. Cette excuse ne tient plus.

Des voix: Oh, oh!

Le président: Nous allons commencer par M. Mendicino, pour sept minutes.

M. Marco Mendicino (Eglinton—Lawrence, Lib.):

Merci, monsieur le président.

Je vous remercie de votre exposé, madame Carvin.

J'aimerais revenir sur votre dernière recommandation, la quatrième, et attirer votre attention sur le paragraphe 21(1) du projet de loi C-22, où il est indiqué que le Comité présente au premier ministre un rapport sur les examens effectués au cours de l'année précédente.

Est-ce que cela vous rassure quant à l'obligation redditionnelle du comité de parlementaires envers le premier ministre et, par l'intermédiaire de celui-ci, envers la Chambre des communes, au sujet de ses activités de l'année précédente? Ou êtes-vous plutôt d'avis qu'il faut autre chose?

Mme Stephanie Carvin:

J'envisage une disposition un peu plus contraignante en ce qui concerne la réglementation. Je vois ici qu'il faut soumettre au premier ministre un rapport sur les examens de l'année précédente, mais aucun délai n'est prévu.

Je crois qu'il faudrait ajouter « tous les 365 jours », pour tout dire, ou, je suppose, 366 jours dans le cas d'une année bissextile. Je crois qu'il importe de préciser le plus clairement possible dans la loi que ce rapport doit être produit chaque année, car ce sera l'un des rares outils à notre disposition pour veiller à ce que le gouvernement communique ce qu'il voit et ce qu'il estime devoir faire savoir aux Canadiens.

M. Marco Mendicino:

Si je comprends bien votre recommandation, vous dites qu'au tout début du paragraphe 21(1), il faudrait remplacer « chaque année » par « dans les 365 jours suivant la fin de l'année précédente ».

Mme Stephanie Carvin:

Oui.

M. Marco Mendicino:

Ou quelque chose comme cela?

Mme Stephanie Carvin:

Oui, je crois que ce serait une excellente idée. J'appuie cela.

M. Marco Mendicino:

Passons à ce que vous avez dit au sujet des activités opérationnelles. Comment interprétez-vous le mandat proposé du comité de parlementaires énoncé aux articles 4 et 8?

Durant votre témoignage, j'ai pris en note plusieurs choses qui donnent à penser que vous n'estimez pas qu'il y a suffisamment d'outils actuellement sur le plan de la surveillance civile — par exemple, le CSARS — pour faire la lumière sur les produits de renseignements, tels que vous les avez décrits.

C'est une question en deux volets: tout d'abord, croyez-vous que le mandat du comité de parlementaires prévu dans le projet de loi C-22 englobe l'exercice qui, selon vous, doit être mené dans le cadre de l'examen de rapports? Ensuite, si votre réponse est non, que recommandez-vous de faire avec le projet de loi?

(1550)

Mme Stephanie Carvin:

Merci de poser la question.

C'est un enjeu qui me tient beaucoup à coeur, en tant qu'ancien analyste. Si j'ai soulevé cet enjeu, c'est que l'analyse du renseignement tend à se faire après coup au sein des organismes membres. Ces organismes insistent à juste titre sur la collecte de renseignements, mais, au fil du temps, ils ont établi des organes d'analyse chargés de fournir des rapports aux artisans des politiques possédant les autorisations de sécurité appropriées; toutefois, il leur arrive de plus en plus souvent de fournir des rapports non classifiés à leurs partenaires, comme les forces policières et les services de police provinciaux, et nous n'avons aucun moyen de déterminer si cette pratique est efficace. Tant que le comité comprend que son mandat englobe l'examen de l'efficacité... Je vais vous demander de patienter, le temps que je parcoure le...

M. Marco Mendicino:

Je vais vous donner un coup de main, voici le libellé de l'article 8: Le Comité a pour mandat: a) d’examiner les cadres législatif, réglementaire, stratégique, financier et administratif de la sécurité nationale et du renseignement; b) [...] d’examiner les activités des ministères liées à la sécurité nationale ou au renseignement; et il se poursuit comme suit: c) d’examiner toute question liée à la sécurité nationale ou au renseignement dont il est saisi par un ministre.

Comme nous l'avons dit au Comité et aux autres témoins, les paramètres sont très larges.

Mme Stephanie Carvin:

Les paramètres sont larges, j'en conviens, mais les gens pensent-ils à l'analyse du renseignement?

Je soulève cette question parce qu'elle n'a pas encore été mise en lumière par un certain nombre de personnes qui se sont prononcées sur le sujet. Je peux comprendre cela. Il y a de grandes préoccupations à l'égard d'autres aspects du projet de loi concernant ce que les députés peuvent voir, qui pourra siéger au comité et qui pourra le présider, mais il n'y a pas de mal à veiller à ce que la disposition soit la plus précise possible. Je suis d'accord pour dire que cela pourrait être ajouté, en principe, mais il est difficile pour moi de me prononcer sur le fait que ces questions soient envisagées, car je n'ai pas entendu la discussion sur celles-ci.

M. Marco Mendicino:

Ai-je raison d'interpréter votre réponse comme voulant dire que vous n'êtes pas tant préoccupée par le libellé que par la culture de responsabilisation et de surveillance dans cette nouvelle ère qui s'ouvre? Est-il raisonnable d'affirmer cela?

Mme Stephanie Carvin:

Je crois que c'est raisonnable. Cela dit, je ne suis pas avocate, alors les considérations juridiques ne s'inscrivent pas dans mes compétences. L'un des messages que j'espère avoir communiqués aujourd'hui, c'est que je souhaite que le Comité, au moment d'étudier ce projet de loi, ne se contente pas d'examiner les fonctions de surveillance ou même d'examen de l'efficacité et qu'il réfléchisse aussi au rôle général que le comité peut jouer, selon moi, en servant d'outil de communication et peut-être en surveillant certaines choses qui ne le sont tout simplement pas à l'heure actuelle.

Ce sont les deux enjeux qui m'interpellent particulièrement et que j'ai tenté de mettre en relief aujourd'hui.

M. Marco Mendicino:

Enfin, avant que mon temps et notre échange prennent fin, le secrétariat — c'est-à-dire le personnel de ce comité — devrait-il se concentrer afin de créer cette culture qui va au-delà du libellé précis du projet de loi afin que le comité commence à examiner ces autres facettes de la surveillance, comme les produits de renseignement? À quoi le personnel devrait-il penser?

Mme Stephanie Carvin:

Il devrait songer à parler aux responsables des politiques et leur demander comment ils reçoivent les produits. Honnêtement, nous ne le savons même pas. En tant qu'analyste, je ne savais pas qui recevait mes rapports. Qui reçoit les rapports? Qui les utilise? Servent-ils à guider l'élaboration des politiques? Si oui, à qui vont-ils?

Bien entendu, le personnel devrait parler aux dirigeants des organes d'analyse du renseignement, ou à ceux qui en sont responsables — qu'il s'agisse du DAR au SCRS ou du chef du CIET — pour leur parler...

M. Marco Mendicino:

Excusez-moi, mais qu'est-ce que le CIET?

Mme Stephanie Carvin:

C'est le Centre intégré d'évaluation du terrorisme.

M. Marco Mendicino:

D'accord.

Mme Stephanie Carvin:

Il produit des rapports destinés au grand public, mais aussi des documents pour les hauts dirigeants. Il serait utile de déterminer comment les rapports sont produits. Qui les demandait? Étaient-ils utilisés par plus d'une personne? S'agissait-il toujours de produits destinés à des personnes de haut niveau? Devrions-nous songer à les communiquer de façon plus étendue?

En outre, est-ce que nos voies de distribution sont efficaces? Parfois, en tant qu'analyste, on a l'impression que nos rapports finissent dans un trou noir. On a beaucoup de gens brillants dans ces organisations, et j'aimerais m'assurer que leur savoir est au moins vu, s'il n'est pas pris en considération.

(1555)

Le président:

Merci, madame Carvin.

Monsieur Clement.

L'hon. Tony Clement (Parry Sound—Muskoka, PCC):

Merci.

Merci d'être ici, madame Carvin. Marco m'a coupé l'herbe sous le pied, mais je vais poursuivre...

M. Marco Mendicino: Désolé.

L'hon. Tony Clement: Non, non. Nous pensions aux mêmes choses.

Au cours de mes sept minutes, je veux que nous parlions des considérations pratiques à cet égard.

Le comité sera formé de parlementaires, lesquels ont d'autres choses à faire dans leur vie; ils siègent à d'autres comités et voyagent partout au pays et parfois dans le monde. Maintenant, nous avons ce rôle très précis que vous décrivez comme étant très important. Vous dites que nous devons nous pencher sur l'analytique des données et sur la cybersécurité et que nos conclusions doivent être produites en temps opportun.

Dans votre esprit, comment cela fonctionnerait-il dans la réalité? Comment serons-nous qualitativement capables de faire cela? Et quelle est l'interaction? Vous avez mentionné le secrétariat, et j'aimerais en savoir un peu plus à ce sujet, mais quelle est l'interaction? Comment cela fonctionnerait-il? Nous ne sommes pas ici 24 heures sur 24, 7 jours sur 7.

C'est une question ouverte.

Mme Stephanie Carvin:

Merci beaucoup. C'est une bonne question.

Je crois que cela nous ramène au fait que, au cours des cinq dernières années, nous avons vu cette évolution où tout le monde parle des mégadonnées. Je sais que les services du renseignement déploient des efforts considérables au chapitre des mégadonnées, et pas seulement pour les raisons exposées la semaine dernière — qui ont suscité la controverse —, mais aussi pour des raisons culturelles. Les membres de longue date du SCRS ne comprennent peut-être pas comment fonctionnent les mégadonnées ou les statistiques bayésiennes.

Je crois qu'il nous faut un changement culturel. Dans le cas de ce comité particulier, vous aurez besoin d'un secrétariat rompu à l'analyse de données et aux techniques analytiques en général. À l'époque où j'étais analyste, nous parlions de techniques analytiques structurées — c'était une façon de faire —, mais il s'agit également d'avoir une connaissance globale du fonctionnement du cycle du renseignement. Enfin, il faut pouvoir compter sur des gens qui savent — du moins, on l'espère — à quoi peuvent servir les mégadonnées et en quoi elles peuvent offrir du soutien.

Les membres du comité n'auraient pas nécessairement à être des experts en la matière, mais il faudrait qu'ils connaissent assez bien le domaine pour savoir ce qu'ils ont devant eux lorsqu'ils voient un produit de renseignement donné. C'est pourquoi je suis ravie que le projet de loi prévoie la création d'un secrétariat qui soutiendrait le travail du comité.

L'hon. Tony Clement:

D'accord. Ce que vous dites — je simplifie à outrance afin de m'assurer de bien comprendre —, c'est que le secrétariat n'est pas là seulement pour planifier des réunions et constituer une pile de cartables d'information. Il doit en fait communiquer — peut-être même de façon proactive — avec les organismes de sécurité du pays et perfectionner sa propre expertise, en marge de celle des gens du milieu de la sécurité. Je n'essaie pas de vous faire dire ce que vous n'avez pas dit, mais est-ce que cela reflète ce à quoi vous vouliez en venir?

Mme Stephanie Carvin:

Merci. Je crois que vous exprimez la chose de façon un peu plus éloquente que je ne l'ai fait, mais c'est tout à fait ça. Le secrétariat ne saurait être constitué de personnes qui se contentent d'assembler des cartables d'information. Il faut que ces gens connaissent le cycle et le processus du renseignement. Je serais d'accord avec cela. Ils doivent être en mesure de soutenir les parlementaires qui siègent au comité et de pouvoir dire: « Il s'agit d'une analyse de mégadonnées, alors je vais vous expliquer cela en 30 secondes, vous dire ce que cela signifie et ce que vous devez savoir à ce sujet. »

L'hon. Tony Clement:

Où trouvons-nous des gens comme cela? S'agirait-il de personnes qui possèdent déjà de l'expérience dans le domaine de la sécurité, ou d'anciens universitaires, ou...? Puis-je consulter les sites Jobmonster et monster.ca pour trouver ces gens? Comment cela fonctionne-t-il?

Mme Stephanie Carvin:

J'ignore si c'est le moment où je suis censée suggérer le Carleton Career Centre, mais...

Des voix: Oh, oh!

L'hon. Tony Clement:

Oh, regardez cela. Je commence déjà à recevoir des courriels.

Mme Stephanie Carvin:

Exactement.

Je crois que nous allons voir de plus en plus ce genre de chose dans les programmes relatifs aux politiques professionnelles, et les étudiants seront formés pour accomplir ce genre d'activités, à savoir l'application de méthodes statistiques quantitatives et qualitatives. Selon moi, vous pourriez chercher des gens qui possèdent ce genre de formation professionnelle.

En outre, si le secrétariat n'est pas nécessairement constitué d'anciens analystes, je vous encouragerais à au moins parler à d'anciens analystes de leurs expériences et de certaines choses qu'ils ont vues se produire, ou d'au moins d'avoir une sorte de mandat vous permettant d'aller à l'externe et de consulter d'anciens analystes à l'égard de certaines questions.

(1600)

L'hon. Tony Clement:

Combien de temps me reste-t-il, monsieur le président?

Le président:

Vous avez deux minutes et demie.

L'hon. Tony Clement:

Mettez-vous à la place d'un parlementaire pour un instant. Vous êtes députée, et vous êtes nommée pour siéger à ce comité. Quel genre de choses demanderiez-vous au secrétariat d'accomplir? Comment vous comporteriez-vous au sein de ce comité? Donnez-moi seulement quelques conseils à ce sujet.

Mme Stephanie Carvin:

Dans ma déclaration, j'ai tenté de mettre en relief certains aspects, comme le caractère opportun des rapports. À quel moment a-t-on amorcé la rédaction des produits, et à quel moment ont-ils été communiqués? Est-ce que les analyses du renseignement ont été produites dans les six semaines? Peut-être a-t-on attendu un bon bout de temps pour les produire, alors pourquoi? Il importe d'informer les gens le plus vite possible afin que les décideurs canadiens puissent prendre les meilleures décisions possible. Le caractère opportun des rapports est certainement un des enjeux.

Le deuxième concerne le fait que ces produits appuient effectivement la réalisation des objectifs stratégiques. Est-ce que les rapports portaient sur des choses pertinentes que les gens devaient savoir? On parle de besoins en matière de renseignement, alors est-ce que ces produits répondaient bien aux besoins du gouvernement? À défaut, est-ce que...

L'hon. Tony Clement:

Alors, il y a le caractère opportun, la pertinence...

Mme Stephanie Carvin:

Le caractère opportun, la pertinence et je dirais aussi la distribution. Je crois que cet aspect particulier devrait être examiné par le comité. Qui reçoit ces produits, pourquoi, et comment sont-ils utilisés?

L'hon. Tony Clement:

D'accord, car, en tant qu'analyste, il arrive que vous n'ayez... Vous aviez l'impression d'évoluer dans un trou noir, une boîte noire ou une usine de saucisses.

Mme Stephanie Carvin:

J'avais parfois cette impression, en effet.

L'hon. Tony Clement:

Oui, d'accord. Je comprends.

Le président:

Monsieur Dubé.

M. Matthew Dubé (Beloeil—Chambly, NPD):

Merci, monsieur le président.

Madame Carvin, je crois que vous connaissez très bien l'un de mes anciens professeurs, M. Saideman; en tant qu'ancien de l'Université McGill, je vais vous pardonner de nous l'avoir volé, mais je suis certain qu'il est très heureux ici, à Ottawa. Je n'ai pas eu l'occasion de le voir depuis cette époque, mais j'ai cru bon de le mentionner ici. Je suis sûr qu'il se réjouira de savoir que son nom figure maintenant dans le hansard du Comité.

Mme Stephanie Carvin:

Il sera content.

M. Matthew Dubé:

Assurément. Je le connais bien.

Bon, assez plaisanté. Je suis heureux d'apprendre que vous appuyez les amendements proposés par mon collègue, M. Rankin. En effet, nous voulons travailler à l'amélioration de ce projet de loi. Je crois que c'est un bon premier pas. Nous croyons effectivement que certains aspects doivent être améliorés.

Si vous n'y voyez pas d'inconvénient, j'aimerais m'attarder à certains détails techniques. Parmi les choses qui sont ressorties des témoignages d'il y a deux semaines — comme celui de M. Ron Atkey —, il y a l'idée selon laquelle l'alinéa 8b) du projet de loi, qui permet au ministre d'opposer son veto à une enquête du comité, crée un obstacle qui, en fait, n'existe même pas dans le cas du CSARS. Nous avons du mal à comprendre pourquoi ce comité de parlementaires se verrait imposer un obstacle additionnel qui n'est pas actuellement imposé au CSARS. J'aimerais savoir ce que vous en pensez.

Mme Stephanie Carvin:

Il y a une chose que j'ai oublié de dire. Je tenais à féliciter les parlementaires ici présents. Il m'arrive parfois de critiquer vertement le gouvernement, mais je crois que le débat entourant ce projet de loi a été excellent et que les commentaires formulés ont été constructifs. En tant que personne qui observe ces événements et qui en parle dans son enseignement, je trouve que c'est absolument merveilleux. Je tenais à ce que cela figure dans le compte rendu.

En ce qui concerne les suggestions de Murray Rankin, je crois qu'elles sont très bonnes. En particulier, je répète que ses propositions relatives au rapport du Comité sont essentielles et devraient être incorporées dans le projet de loi.

Au sujet de l'alinéa 8b), en tant que personne ayant occupé un poste classifié, je peux comprendre la préoccupation. J'ai mes notes devant moi ici et je crois, qu'il faudrait au moins préciser le passage de la disposition où l'on dit: à moins que le ministre compétent ne détermine que l'examen porterait atteinte à la sécurité nationale

Je peux comprendre pourquoi on dit cela. Je comprends qu'on puisse vouloir dire au Comité d'attendre un instant lorsqu'on sait qu'une arrestation ou une enquête est imminente. Cela dit, je crois qu'il appartient à votre comité de préciser un peu plus cette disposition particulière, peut-être en ajoutant les conditions à la lumière desquelles une telle décision serait appropriée. Pour l'instant, je conviendrais avec vous que cela ne semble pas clair.

M. Matthew Dubé:

Parmi les points qui posent problème et vous en avez parlé dans votre déclaration préliminaire, certains concernent les relations internationales et la diplomatie et les problèmes qui peuvent ressortir de cela. Ce qui m'embête, je suppose, c'est que même si le projet de loi énumère beaucoup de choses sur lesquelles les parlementaires peuvent enquêter, cela ne veut pas dire que l'information sera rendue publique.

Je suppose que j'ai du mal à comprendre pourquoi on empêcherait des parlementaires de recevoir cette information à huis clos, de façon confidentielle, alors qu'il n'y a aucune garantie que celle-ci finira dans le rapport. Ce à quoi je veux en venir, c'est qu'un parlementaire, même s'il n'est ni ministre ni premier ministre, comprend l'idée selon laquelle certains renseignements ne sont pas destinés à être rendus publics.

Y a-t-il une raison quelconque d'empêcher les parlementaires qui siègent à ce comité — qui ont prêté serment, qui ont subi tout ce processus et qui feraient face à des conséquences juridiques s'ils communiquaient cette information — de jouir d'un plein accès à ces renseignements?

(1605)

Mme Stephanie Carvin:

Vous avez raison, les dispositions du projet de loi prévoient des conséquences très graves et très claires pour les parlementaires qui divulguent des renseignements. Je suis d'accord, dans la mesure où ces mesures de protection sont là. Je suppose que j'aimerais qu'on précise davantage le fait qu'on peut toujours présenter une question, mais que cela dépend à quel point on entre dans le détail à l'égard de cette question.

Disons qu'une affaire est en cours. Il est très rare, par exemple, qu'un organisme de renseignement divulgue le nom d'une personne, se contentant peut-être de dire qu'elle est dans une ville ou une province en particulier. Je crois qu'on pourrait aborder une question de façon suffisamment générale pour que les parlementaires puissent tout de même obtenir de l'information qui n'entre pas dans le détail, mais ce n'est pas... Voyez-vous ce que je veux dire?

M. Matthew Dubé:

Oui, je comprends. Je suppose que votre préoccupation est, avec tout le respect que je vous dois... il s'agit davantage d'une séance d'information, n'est-ce pas? L'idée, c'est de prévenir des situations tragiques comme le cas de Maher Arar, par exemple. Ce que j'ai du mal à comprendre, c'est pourquoi nous ne pourrions pas permettre à ces parlementaires de jouir d'un accès complet, sous le sceau du secret. L'un des exemples soulevés est celui du projet de loi C-622, qui avait en fait été présenté par la libérale Joyce Murray au cours de la législature précédente et qui prévoyait un accès complet à l'information.

Beaucoup de gens disent que c'est le modèle à suivre, du moins à l'intérieur du Comité, afin qu'il puisse bien faire son travail, car il est difficile de faire de la surveillance lorsque chaque séance d'information demande un acte de foi. Je ne sais pas si vous comprenez ce que je veux dire.

Mme Stephanie Carvin:

Oui, c'est une question difficile. Je dirais qu'il faut à tout le moins offrir plus d'orientation. Selon moi, dans sa version actuelle, ce libellé n'est pas assez clair. Il devrait être plus précis. On pourrait déjà définir de façon plus étroite l'expression « enquête en cours », car une enquête peut en fait durer de deux à trois ans, en toute franchise.

Encore une fois, je crois qu'il importe d'être plus clair et d'offrir davantage d'orientation dans ce projet de loi particulier. Je n'ai pas préparé d'observations sur la question, et j'aimerais bien y avoir pensé, mais je comprends votre préoccupation, et je suis certainement d'accord pour dire qu'il vaut mieux, pour l'ensemble de ce projet de loi, pécher par excès de transparence au lieu de ne pas...

M. Matthew Dubé:

Merci.

Mon temps est à peu près écoulé, mais j'aimerais vous poser rapidement une dernière question au sujet de l'élection du président. Le gouvernement nous a dit qu'il ne sert à rien d'accélérer le processus et que le Royaume-Uni a mis longtemps à se rendre à ce point. Je ne crois pas vraiment que cet argument tienne la route. C'est un autre amendement que nous avons proposé.

Pourriez-vous nous dire rapidement ce que vous pensez de cela? Cet aspect a une incidence sur le rapport qui est produit par la suite, car si le président doit rendre des comptes à quiconque l'a nommé, plutôt qu'aux parlementaires, je crois que cela pourrait causer un peu de conflit.

Mme Stephanie Carvin:

Je crois savoir que le président du comité au Royaume-Uni est maintenant élu; je pense que nous allons probablement finir par faire la même chose de toute façon, et j'avancerais que...

M. Matthew Dubé:

... Nous le faisions maintenant.

Mme Stephanie Carvin:

... c'est la chose sensée à faire.

M. Matthew Dubé:

D'accord. Merci.

Le président:

Merci beaucoup.

Je prends un instant pour souhaiter la bienvenue au juge Major. Merci de vous joindre à nous. Toutes nos excuses pour le problème de l'heure. Nous allons interrompre nos questions, écouter votre exposé, puis recommencer à poser nos questions.

L’hon. John Major (À titre personnel):

Je tiens tout d'abord à m'excuser d'avoir confondu l'heure de la réunion. J'avais du mal à m'aligner sur l'heure de l'Est, et j'aurais dû le savoir.

Je serai très bref. Mon seul commentaire d'importance concerne le paragraphe 13(2) où il est précisé que les « renseignements » comprennent les renseignements protégés par le privilège relatif au litige. Je ne crois pas que cette disposition résisterait à une analyse fondée sur la Charte. Je ne crois pas qu'on puisse porter atteinte au privilège relatif au litige. Vous devriez peut-être songer à obtenir un avis juridique sur cette question.

Le seul autre commentaire que je ferais touche le paragraphe 21(2), qui porte sur le rapport présenté directement au premier ministre. Cela me semblait un peu trop étroit, mais lorsque j'ai lu la suite, j'ai cru voir que des dispositions prévoient le dépôt du rapport devant le Parlement.

Ce sont là mes observations.

(1610)

Le président:

Merci. Nous allons continuer. Je soupçonne qu'on vous posera un certain nombre de questions sur ces observations, car je pense que le Comité voudra entendre ce que vous avez à dire.

La parole va maintenant à M. Spengemann, pour sept minutes.

Vous pouvez adresser vos questions à Mme Carvin ou au juge Major.

M. Sven Spengemann (Mississauga—Lakeshore, Lib.):

Merci, monsieur le président.

Madame Carvin, je vous remercie d'avoir servi en tant qu'analyste, et merci d'être ici et d'avoir amené vos fantastiques étudiants.

Monsieur le juge, c'est un honneur de vous avoir parmi nous.

Ma question touche deux thèmes. L'un d'eux concerne le fait d'explorer les moyens de gagner la confiance de la population, car je crois que la confiance envers le gouvernement est l'un des plus gros atouts recherchés par la création de ce comité. J'aimerais avoir vos commentaires et en savoir un peu plus sur cette question. Le deuxième thème est le lien avec les enjeux touchant la défense. Je siège également au Comité permanent de la défense nationale, et je crois qu'il y a des chevauchements évidents, alors il serait peut-être utile d'explorer cela en détail.

J'aimerais commencer, madame Carvin, par vous demander, de façon générale, ce que pensent et ressentent les Canadiens, selon vous, au sujet de la sécurité nationale. À quel point sont-ils au courant de la situation? Je sais qu'il y a beaucoup de choses qui font les manchettes, mais comprendre... Mon appréciation informelle n'est souvent pas aussi détaillée qu'elle devrait l'être pour me permettre de tirer parti pleinement de l'occasion que ce comité représente ou de comprendre cette occasion. Quels sont les défis liés à la compréhension du grand public canadien, et comment ce comité peut-il travailler à combler ces lacunes?

Mme Stephanie Carvin:

Merci de poser la question.

L'un des enjeux qui, selon moi, illustrent cette réalité est le débat touchant le projet de loi C-51. De nombreuses dispositions du projet de loi C-51 auraient pu essuyer des critiques, mais, bien souvent, le débat était limité à des échanges où, d'une part, certains accusaient les détracteurs du projet de loi de vouloir protéger les agresseurs d'enfants, alors que, d'autre part, d'autres accusaient les défenseurs du projet de loi de vouloir créer un État de type « 1984 » où tout est surveillé.

Ce qui me préoccupe, c'est que le contexte de la sécurité au Canada a beaucoup évolué depuis la guerre froide, et je ne suis pas convaincue que la compréhension des Canadiens a suivi cette évolution. Je ne veux pas jeter le discrédit sur les gens merveilleux qui travaillent dans ce domaine, mais prenons seulement l'exemple de l'espionnage. L'époque où les États tentaient de forcer des coffres-forts pour voler des plans de sous-marins ou tentaient de s'emparer de secrets d'une importance énorme est révolue. Aujourd'hui, il s'agit plutôt d'obtenir le dossier de santé d'une personne grâce à la cyberintrusion afin d'utiliser l'information pour exploiter cette personne ou pour cerner ses faiblesses.

C'est à l'égard de la transition touchant la portée des activités que nous voyons certains de ces États mener qu'il faut selon moi monter la barre. J'aimerais voir ce comité parler de l'évolution des enjeux en matière de sécurité nationale au pays, puis dire aux gens du pays ce que nos services de sécurité font pour y réagir.

M. Sven Spengemann:

Je vais peut-être poser deux questions avant de parler du comité.

À quel point les intervenants du milieu du renseignement sont-ils interreliés pour ce qui est de l'échange de données et de renseignements? Je pense particulièrement au Groupe des cinq, mais même au-delà de cela. Ensuite, quels sont les changements les plus profonds en ce qui concerne la perception du public quant aux sources de nos renseignements?

Pourriez-vous ensuite ajouter un bref commentaire sur les niveaux de classification? À quel point sont-ils contraignants à l'égard du travail au quotidien et de ce que le Comité pourrait voir et, fait plus important encore, de ce que le Comité pourrait ou ne pourrait pas communiquer aux Canadiens?

Mme Stephanie Carvin:

Ce sont des questions très intéressantes et difficiles. Concernant l'échange de données, ce n'est pas... J'ai lu hier un article qui laissait entendre que la GRC, maintenant qu'elle possède ce centre opérationnel, communique l'information de toutes ces bases de données ou les rassemble toutes. Non, les choses ne fonctionnent pas de cette façon.

Les services sont des organes administratifs, et ils protègent farouchement leurs renseignements et leurs gens. On leur a reproché dans le passé de ne pas communiquer l'information de façon appropriée. Je crois que les gens ont l'impression que ces organisations font en quelque sorte tout ce qu'elles veulent et qu'il y a échange d'information. Je suis en faveur d'une plus grande clarté au sujet du processus lui-même — par exemple, au sujet du projet de loi C-51 —, même si ce n'est pas précisément ce dont nous parlons ici.

Je crois également qu'il devrait y avoir... Ceci va peut-être répondre à certaines de vos questions au sujet de la défense. M. Craig Forcese, professeur de l'Université d'Ottawa dont j'admire beaucoup le travail, parle d'un super-CSARS qui permettrait aux organisations — ou du moins le comité ou un organe quelconque — de suivre l'information qui passe d'un organisme à un autre. Je crois qu'il faut apprécier un peu plus les mesures de protection qui sont en place au sein de ces organisations, telles que je les comprends.

M. Sven Spengemann:

C'est juste.

Pouvez-vous formuler un commentaire sur la quantité de données et de renseignements qui proviennent de sources ouvertes par rapport aux sources classifiées? Nous parlons beaucoup des niveaux de classification. S'agit-il de la pointe de la pyramide? Ou bien est-ce que la plupart des renseignements sont classifiés et que le public canadien ne peut vraiment pas regarder par-dessus l'épaule du comité pour obtenir plus qu'un simple rapport qu'il pourrait produire une fois par année?

(1615)

Mme Stephanie Carvin:

Concernant la question du renseignement de source ouverte au sein de la collectivité, à mon avis... j'ai vu des statistiques selon lesquelles jusqu'à 70 % de l'information utilisée par les organismes de renseignement provient de sources ouvertes. Je ne parle pas seulement des bases de données ou de quoi que ce soit qui s'y apparente; je parle des gens qui lisent The New York Times ou d'autres articles. Il y a en fait une bonne similitude entre le travail des espions et celui des journalistes en ce qui a trait à la collecte de renseignements au moyen de sources et de choses comme cela. Il s'agirait selon moi de l'un des éléments à prendre en considération.

En ce qui concerne le comité, pourriez-vous répéter cette partie?

M. Sven Spengemann:

Si vous dites que c'est exact, alors, le comité pourrait probablement communiquer pas mal de choses au public en dehors des rapports courants. Il pourrait trouver un certain mécanisme — vous les avez appelés « techniques novatrices » — pour mobiliser davantage le public afin qu'il comprenne mieux ce que fait le comité et ce que font nos organismes de sécurité et de renseignement au quotidien.

Mme Stephanie Carvin:

Je le crois absolument et fondamentalement. Il y avait un très bon exemple, aujourd'hui, dans le Toronto Star. La GRC a fait venir deux journalistes afin de discuter de certains des défis auxquels ils font face en ce qui a trait au cryptage et aux données. Les agents les ont fait venir et ont parlé des affaires. Ils ne sont pas entrés dans le détail, mais ils ont donné des exemples. C'est exactement le genre de travail auquel je voudrais voir le comité participer afin de communiquer l'information aux Canadiens.

Vous avez tout à fait raison: les renseignements de source ouverte pourraient être utilisés à cette fin.

M. Sven Spengemann:

C'est extrêmement utile pour le Comité. Merci infiniment.

Durant la minute qu'il reste, pourriez-vous formuler un commentaire sur la possibilité d'un lien entre le comité prévu dans le projet de loi C-22 et l'UNCI des Forces canadiennes?

Mme Stephanie Carvin:

Encore une fois, c'est là que Craig Forcese affirme que nous devons établir un certain genre de super-CSARS qui surveille tous les organismes et toutes les façons dont les renseignements sont communiqués. Compte tenu des différences au chapitre des mandats, je suis d'avis que la communication des renseignements n'est peut-être pas aussi excellente que certaines personnes le pensent.

Le défi consistera, pour le comité, en particulier — et peut-être que cela nous ramène à la question de M. Clement... à convoquer des gens possédant l'expertise nécessaire pour comprendre comment fonctionnent les opérations militaires, comment le renseignement est utilisé dans le cadre des opérations militaires et des enquêtes menées au pays, car c'est très différent. Il s'agit d'activités très différentes. Voilà ma préoccupation à l'égard du type de grand organisme auquel a fait allusion M. Forcese. Elle tient au fait qu'on aurait besoin de gens qui possèdent un genre d'expertise transcendant cela. Cela poserait problème.

M. Sven Spengemann:

C'est extrêmement utile.

Merci infiniment, monsieur le président.

Le président:

Merci, madame Carvin.

Monsieur Miller, vous disposez de cinq minutes.

M. Larry Miller (Bruce—Grey—Owen Sound, PCC):

Merci, monsieur le président.

Madame Carvin et monsieur Major, merci de votre présence.

Monsieur Major, je veux vous demander d'élargir un peu vos propos. Vous avez mentionné le paragraphe 13(2) relativement au secret professionnel de l'avocat. Pouvez-vous élargir un peu vos propos en nous expliquant exactement quelles sont vos préoccupations?

L’hon. John Major:

Le seul secret professionnel absolu dont nous jouissons au Canada, c'est la communication entre un avocat et son client. Je pense que le paragraphe 13(2) empiète là-dessus, c'est-à-dire qu'il prévoit précisément ce qui suit: Ces renseignements comprennent les renseignements protégés par le privilège relatif au litige [...] ou par le secret professionnel de l'avocat.

Cette disposition empiète sur la confidentialité de cette relation, qui fait partie de notre cadre juridique depuis presque toujours.

M. Larry Miller:

Pour approfondir un peu cette question, monsieur Major, je suis certain que vous connaissez probablement certains modèles de cadres en place dans d'autres pays, comme la Grande-Bretagne et je ne sais quoi. D'autres pays ont-ils quoi que ce soit qui ressemble à cela pour dissiper vos préoccupations quant au secret professionnel de l'avocat?

L’hon. John Major:

Je regarderais le Royaume-Uni, et je serais surpris si... remarquez, les Britanniques ne jouissent pas d'une protection conférée par leur charte. Nous, oui. Mais je pense bien — d'après la common law du Royaume-Uni et la tradition de ce pays, et ce que les Britanniques appellent leur « charte de la common law » — qu'ils ne permettraient pas cette communication.

M. Larry Miller:

Vous affirmez que, de tous les pays du monde, aucun n'a établi cette disposition, à votre connaissance.

L’hon. John Major:

Pas à ma connaissance, mais n'oubliez pas que je ne connais pas particulièrement cette question. Cela m'a sauté aux yeux dès que j'ai lu le projet de loi: il serait très difficile de faire résister cette disposition à un examen constitutionnel.

(1620)

M. Larry Miller:

D'accord.

L’hon. John Major:

Je suis certain que vos conseillers juridiques peuvent être plus précis, mais je serais surpris qu'ils ne voient pas cela comme un problème.

M. Larry Miller:

Merci.

Madame Carvin, sur cette note, connaissez-vous un pays qui a établi quelque chose qui soulève le même genre de préoccupations que celles de M. Major?

Mme Stephanie Carvin:

Je regrette de ne connaître aucune... cela ne veut pas dire qu'il n'y en a pas, mais je ne voudrais pas parler de quelque chose que je ne connais pas bien. Mes excuses.

M. Larry Miller:

Certes, vous avez raison.

Dans vos premiers commentaires, madame Carvin, vous nous avez mentionné le travail avec des pays étrangers. J'ai l'impression — peut-être à tort — que vous étiez hésitante au sujet de l'échange de renseignements et de je ne sais quoi. Ma supposition est-elle exacte?

La raison pour laquelle je pose la question, c'est qu'à notre époque, qu'il s'agisse du terrorisme ou de quoi que ce soit, nous vivons dans un monde différent de celui où nous vivions il y a de nombreuses années, alors il me semblerait que les alliés doivent travailler ensemble. Pouvez-vous nous en dire un peu plus à ce sujet?

Mme Stephanie Carvin:

Je ne parlais pas de la question de l'échange de renseignements avec d'autres pays précisément, mais, comme vous posez la question, il y a des problèmes comme celui des voyageurs étrangers. C'est devenu un problème réel. Nous devons travailler avec d'autres démocraties et avec d'autres pays de l'Europe au moment où nous examinons la circulation des voyageurs, par exemple, qui se joignent à l'État islamique. Je soupçonne fortement que leur nombre diminue, compte tenu des pertes qu'a essuyées l'État islamique, mais, cela dit, ces voyageurs passent souvent par l'Europe et par divers autres pays. Nous devons être en mesure d'établir des partenariats et de mieux travailler avec ces pays.

La difficulté tient au fait qu'aucun pays n'aime donner de l'information sur ses citoyens. Aucun pays n'aime vraiment échanger des noms. Ce que nous observons de plus en plus, plus particulièrement compte tenu de l'expérience du Canada dans les années 2000 relativement à certaines des demandes de renseignements, c'est qu'on joint de plus en plus d'avertissements aux renseignements et qu'on tente de mettre en place de meilleurs systèmes et une communication plus régulière, dorénavant.

Dans certains cas, cette communication s'est révélée très utile. Par exemple, il y a eu le cas de jeunes filles de Toronto qui tentaient d'aller vers l'État islamique, et elles ont été arrêtées en Turquie. Il faut qu'il y ait un certain genre d'échange de renseignements coordonné.

C'est vraiment une excellente question sur laquelle, selon moi, les parlementaires du comité pourraient se pencher en ce qui a trait au fait d'aider les services de sécurité et de trouver une orientation et un équilibre. Je pourrais ajouter une seule chose à cela, si je le puis. Je pense qu'il y a au Canada une perception selon laquelle les services de sécurité ne veulent pas plus de réglementation ou de surveillance. Je vous souligne que ce n'est absolument et tout simplement pas le cas. Ils veulent des lignes directrices. Ils veulent savoir où sont les limites, afin de ne pas les franchir. Je pense que votre comité parlementaire pourrait travailler avec les services de sécurité relativement aux enjeux problématiques, comme l'échange de renseignements.

Je suis d'accord avec la prémisse de votre question. Cela profitera à tout le monde dans l'avenir.

Le président:

Merci, madame Carvin.

Monsieur Erskine-Smith, pour cinq minutes.

M. Nathaniel Erskine-Smith (Beaches—East York, Lib.):

Merci beaucoup.

Monsieur le juge Major et madame Carvin, vous avez le projet de loi sous les yeux. Si nous pouvions consulter l'article 14, je veux commencer par l'alinéa 14e). Il est ainsi libellé: Les renseignements qui ont un lien direct avec une enquête en cours menée par un organisme chargé de l'application de la loi et pouvant mener à des poursuites.

En application de l'article 14, si les renseignements appartiennent à ces catégories, ils sont exclus de ce fait. Mon inquiétude à cet égard, c'est que, quand le ministre a comparu devant nous, nous avons parlé du discours d'intimidation. Si les renseignements sont refusés, le comité peut les mentionner dans le rapport et les utiliser en tant que discours d'intimidation, mais s'ils sont visés à l'article 14, il sera très difficile d'avoir recours au discours d'intimidation, car le ministre pourra dire: « Eh bien, je suis obligé par la loi. »

Monsieur le juge Major, quand MM. Roach et Forcese ont comparu devant nous... et ils ont affirmé qu'en fait, une enquête en cours menée par un organisme d'application de la loi inclurait l'attentat à la bombe d'Air India, car il y a encore une enquête en cours. Je vous poserais la question ainsi: quand nous parlons d'accès à l'information, devrions-nous faire appliquer la disposition de l'alinéa 14e) du projet de loi en tant qu'exclusion sans aucun refus lié à ce qui « porterait atteinte à la sécurité nationale »? Le facteur supplémentaire qui est énoncé à l'article 16 est absent, et aucun motif n'est fourni par le ministre.

Le président:

Je propose que M. Major commence.

L’hon. John Major:

Je pense qu'on pourrait avoir accès à beaucoup de sources de renseignements grâce à des mandats, et, selon moi, en ce qui concerne le droit d'accès prévu au paragraphe 13(2), si vous obteniez d'un juge de la Cour fédérale un mandat qui en révélerait les motifs, à mon avis, il vous faudrait des motifs importants, mais, si la sécurité du pays était en péril d'une quelconque manière, vous obtiendriez un mandat de perquisition qui ressemblerait à un mandat servant à perquisitionner une résidence. Je pense que, muni d'un mandat, vous pourriez obtenir ces renseignements.

Par exemple, le secret professionnel de l'avocat ne comprend pas la perpétration d'un crime. Si cette communication révèle l'existence d'un crime, il n'y a aucune protection. Dans le même ordre d'idées, je pense qu'un mandat serait suffisant. Il vous faudrait des motifs importants pour convaincre un juge de vous l'accorder, mais, une fois que vous auriez le mandat, vous auriez droit à ces renseignements.

(1625)

M. Nathaniel Erskine-Smith:

Madame Carvin, je vais vous donner la possibilité de répondre également et, encore une fois, pourriez-vous aborder de façon plus vaste l'accès à l'information? Je soulignerais qu'au Royaume-Uni, cet accès peut être refusé pour des motifs liés à la sécurité nationale. Le ministre est tenu dans tous les cas de donner un refus, contrairement au régime du projet de loi, et il y a une directive ministérielle qu'on est censé être tenu d'appliquer rarement.

Je soulignerais également qu'aux États-Unis, dans le cas du comité sur le renseignement du Sénat et du comité permanent sur le renseignement de la Chambre des représentants, le pouvoir exécutif ne peut pas dissimuler de renseignements à ces comités, sauf temporairement et en présence de circonstances atténuantes, comme relativement à des opérations hautement confidentielles et limitées dans le temps. Si vous le pouvez, veuillez aborder l'accès à l'information en faisant des renvois précis à l'article 14.

Mme Stephanie Carvin:

Oui, j'ai souligné cet article un certain nombre de fois.

Je pense qu'en ce qui me concerne, le problème tient à l'« enquête en cours ». Comme je l'ai déjà dit, certaines de ces enquêtes se poursuivent pendant des années. Il y a l'enquête sur Air India, par exemple, mais seulement une enquête nationale ordinaire sur un acte terroriste peut durer deux ou trois ans avant qu'on ait l'impression de disposer d'une quantité appropriée d'éléments de preuve contre une personne qu'on pourrait arrêter et qu'on pourrait vraiment poursuivre.

Une partie du problème pourrait tenir à la définition ou à l'interprétation du terme « enquête en cours » dans le contexte de la disposition particulière de l'alinéa 14e). J'aime bien la suggestion de quelque chose qui pourrait ressembler aux alinéas 16(1)a) et b). Si on ajoutait quelque chose relativement à ce qui « porterait atteinte à la sécurité nationale », comme dans l'alinéa 16(1)b), ce pourrait être approprié.

M. Nathaniel Erskine-Smith:

Je veux revenir là-dessus. L'alinéa 14b) est un double. Vous verrez qu'à l'article 16, il y a une mention du fait que « le renseignement est un renseignement opérationnel spécial ». Je ne vous ferai pas consulter la Loi sur la protection de l'information, mais, faites-moi confiance, l'alinéa 14b) est un double de l'article 8 de cette loi, et l'alinéa 14d) en est aussi une reproduction, en grande partie.

Si nous devions retirer les alinéas 14b) et d) et que nous rendions l'alinéa 14e) sujet à un refus et aux critères supplémentaires de ce qui « porterait atteinte à la sécurité nationale », est-ce que ce serait judicieux?

Mme Stephanie Carvin:

Spontanément, je dirais que oui.

M. Nathaniel Erskine-Smith:

Je pense que mon temps est écoulé.

Le président:

Votre temps est écoulé.

En tant que président, je veux simplement clarifier quelque chose avec M. Major. En ce qui concerne les exceptions prévues à l'article 14, vous parlez de mandats qui pourraient être délivrés au titre de l'article 13. Simplement pour clarifier: affirmez-vous toutefois que les pouvoirs prévus à l'article 13 l'emporteraient sur l'exclusion des renseignements prévue à l'article 14?

L’hon. John Major:

Je ne suis pas certain de comprendre cette question. L'article 14...

Le président:

Des exceptions sont prévues à l'article 14.

L’hon. John Major:

Avez-vous un alinéa particulier en tête?

Le président:

Je dirais tous les alinéas. Par exemple, l'alinéa 14e), qui est ainsi libellé: Les renseignements qui ont un lien direct avec une enquête en cours menée par un organisme chargé de l'application de la loi et pouvant mener à des poursuites.

Il contient une exception visant les documents qui seraient accessibles au comité de parlementaires. J'ai peut-être mal entendu quand j'essayais de comprendre. Vous semblez dire que ces renseignements pourraient être recueillis si un mandat était obtenu au titre de l'article 13.

L’hon. John Major:

Je pense que, ce que je voulais dire, c'était que les renseignements recueillis en application de la version actuelle du paragraphe 13(2) ne seraient pas permis si les renseignements étaient protégés par le secret professionnel de l'avocat et que, sous le régime de notre charte, le secret professionnel de l'avocat interdirait cette communication sans l'avantage d'un mandat.

(1630)

Le président:

D'accord. Merci beaucoup.

Nous avons commencé tard, et j'ai pensé que, comme le Nouveau Parti démocratique n'avait pas eu l'occasion de poser des questions quand M. Major était là, je pourrais accorder deux ou trois autres minutes à M. Dubé.

C'est si vous avez des questions, monsieur Dubé.

M. Matthew Dubé:

Oui. Merci, monsieur le président. J'ai seulement une question à poser, alors je n'abuserai pas de votre indulgence.

Monsieur le juge Major, vous avez évoqué la capacité du premier ministre de modifier le rapport, cet élément du projet de loi. Nous avons un amendement qui, dans ce que nous considérons comme la norme minimale, rendrait ce rapport à tout le moins clair quant à l'endroit où il serait révisé et par qui. Si je pouvais simplement, avec votre permission, lire le passage clé de l'amendement, ce serait utile. Je vais le paraphraser du mieux que je le peux.

Si le Comité a reçu du premier ministre la directive de soumettre « une version révisée », conformément au paragraphe 21(5), nous disons que « le rapport déposé devant chaque chambre du Parlement doit être clairement désignée comme étant une version révisée et doit indiquer l'étendue et la raison de la révision ». À nos yeux, malgré le fait que les définitions concernant ce qui peut être modifié et le caractère subjectif de la modification nous posent problème, il s'agit du minimum requis pour que l'on puisse au moins s'assurer que les Canadiens connaissent la motivation qui sous-tend « l'utilisation du Sharpie », si vous me passez l'expression. Peut-être que je pourrais rapidement obtenir vos réflexions à ce sujet.

L’hon. John Major:

Eh bien, je suis d'accord avec ce que vous proposez. Que puis-je dire de plus? Je pense que c'est approprié.

M. Matthew Dubé:

C'est plus que suffisant pour moi. Merci beaucoup, monsieur le juge Major.

Le président:

C'est ce qu'on appelle aller à l'essentiel.

Merci beaucoup à nos deux témoins. Nous allons faire une pause rapide de trois ou quatre minutes pour changer de groupe de témoins.

Monsieur le juge et madame Carvin, nous vous remercions de votre présence.

(1630)

(1635)

Le président:

Je voudrais commencer en accueillant notre deuxième groupe de témoins de la journée. Nous allons tenter de terminer autour de 17 h 30, en répartissant le temps que nous avons perdu entre les deux groupes de témoins.

Nous accueillons la Commission civile d'examen et de traitement des plaintes relatives à la GRC, représentée par son président, Ian McPhail. Je crois que M. Evans l'accompagne. Nous accueillons également le Bureau du commissaire du Centre de la sécurité des télécommunications, représenté par le commissaire, de même que par M. Galbraith.

Bienvenue.

Je pense que nous allons commencer par M. McPhail, pour 10 minutes, passer à M. Plouffe, puis tenir la série de questions.

Vous avez la parole.

M. Ian McPhail (président, Commission civile d'examen et de traitement des plaintes relatives à la Gendarmerie royale du Canada):

Merci, monsieur le président. Ma déclaration durera un peu moins de 10 minutes.

Je voudrais d'abord vous remercier, ainsi que les membres du Comité, de m'avoir invité aujourd'hui en tant que représentant de la Commission. M. Evans est le directeur principal des opérations de la Commission.

Je suis heureux d'avoir la possibilité de vous faire part de mon point de vue sur mon projet de loi proposé et sur le rôle des organismes d'examen composés d'experts.

Comme vous le savez, en 2014, des modifications apportées à la Loi sur la GRC ont entraîné la création de la Commission civile d'examen et de traitement des plaintes. À ce moment-là, le mandat de la Commission avait été élargi au-delà des plaintes du public afin d'inclure des examens systémiques des activités de la GRC afin de veiller à ce qu'elles soient menées conformément aux lois, aux règlements, aux directives ministérielles ou à toute politique, procédure ou ligne directrice applicables.

La Commission a maintenant la capacité d'examiner toute activité de la GRC sans qu'une plainte du public lui ait été présentée ou sans établir de liens avec la conduite d'un membre.

Nous entreprenons actuellement deux de ces examens systémiques: l'un portant sur le harcèlement au travail, à la demande du ministre de la Sécurité publique, et l'autre — que j'ai lancé —, qui porte sur la mise en oeuvre par la GRC des recommandations pertinentes contenues dans le rapport de la commission d'enquête sur les actes de responsables canadiens relativement à Maher Arar. Les activités liées à la sécurité nationale de la GRC ont fait l'objet d'un examen rigoureux durant la Commission d'enquête O'Connor. Ainsi, j'estimais qu'il était important d'entreprendre un examen indépendant de la mise en oeuvre par la GRC des recommandations du juge O'Connor.

En tant que composante clé du cadre de sécurité et du renseignement du Canada, l'amélioration de la responsabilisation et de la transparence des activités de sécurité nationale de la GRC est le but ultime de l'examen de la CCETP. L'examen de la Commission porte sur six domaines clés fondés sur les recommandations pertinentes du juge O'Connor, c'est-à-dire: la centralisation et la coordination des activités de sécurité nationale de la GRC; l'utilisation par la GRC d'avis de surveillance à la frontière; le rôle de la GRC lorsque des Canadiens sont détenus à l'étranger; l'échange de renseignements entre la GRC et des entités étrangères; l'échange de renseignements par la GRC à l'intérieur du pays; et la formation des membres de la GRC en ce qui a trait aux opérations de sécurité nationale.

L'examen est en cours, et il exige que l'on se penche sur des renseignements de nature délicate et classifiée. Comme certains experts et observateurs ont déjà soulevé des préoccupations concernant le fait que la Commission obtiendrait ou non l'accès à des renseignements protégés par le secret professionnel, il importe de souligner que nous avons examiné des documents classifiés rendus accessibles par la GRC.

Une fois l'enquête achevée, un rapport sera présenté au ministre de la Sécurité publique et au commissaire de la GRC. Une version du rapport sera également rendue publique.

Cette enquête en cours fait ressortir le rôle clé de la CCETP relativement à l'examen des activités de sécurité nationale de la GRC. Je crois que l'examen effectué par les experts de la CCETP et par ses homologues, notamment le CSARS et le bureau du commissaire du CST, servira de complément au travail d'un comité de parlementaires.

Le projet de loi fait ressortir le rôle crucial des parlementaires en ce qui a trait au cadre de responsabilisation à l'égard de la sécurité nationale, tout en reconnaissant la contribution des organismes d'examen composés d'experts. À cet égard, j'ai hâte qu'un lien de travail axé sur la collaboration soit établi avec le comité.

Merci de m'avoir donné cette occasion de vous faire part de mes réflexions.

(1640)

Le président:

Merci beaucoup. [Français]

Nous continuons avec M. Plouffe. [Traduction]

L’hon. Jean-Pierre Plouffe (commissaire, Bureau du commissaire du Centre de la sécurité des télécommunications):

Monsieur le président et honorables députés, je suis heureux de comparaître devant le Comité au sujet du projet de loi C-22. M. Bill Galbraith, le directeur exécutif de mon bureau, m'accompagne.

Avant de formuler quelques commentaires au sujet du projet de loi sur lequel se penche le Comité, et comme il s'agit de ma première comparution devant lui, je vais décrire brièvement le rôle de mon bureau. [Français]

Vous avez ma biographie et un sommaire de mon mandat, alors je ne m'attarderai pas là-dessus, mais j'aimerais souligner que mes décennies d'expérience en tant que juge m'ont été très utiles dans mon rôle de commissaire du Centre de la sécurité des télécommunications, ou CST, un rôle que j'assume depuis plus de trois ans.

La Loi sur la défense nationale, qui fixe le mandat de mon bureau et du CST, exige que le commissaire soit un juge à la retraite ou un juge surnuméraire d'une cour supérieure du Canada.

Le commissaire du CST est autonome et sans lien de dépendance avec le gouvernement. Mon bureau a son propre budget accordé par le Parlement.

J'ai tous les pouvoirs en vertu de la partie II de la Loi sur les enquêtes, qui m'accorde un accès complet à toutes les installations, tous les fichiers, tous les systèmes et tous les membres du personnel du CST, et qui me confie le pouvoir d'assignation, au besoin.[Traduction]

Le rôle externe et indépendant du commissaire, axé sur le CST, aide le ministre de la Défense nationale, qui est responsable du CST, à assumer sa responsabilité envers le Parlement et, finalement, envers les Canadiens, pour cet organisme.

Laissez-moi maintenant aborder le projet de loi C-22.

J'ai affirmé à de nombreuses occasions qu'une plus grande mobilisation des parlementaires concernant la responsabilité liée à la sécurité nationale est effectivement la bienvenue. [Français]

Plus particulièrement depuis la divulgation par Edward Snowden de renseignements classifiés volés provenant de la National Security Agency des États-Unis et de ses partenaires, dont le CST, la confiance du public envers les agences de renseignement et envers les organismes d'examen ou de surveillance a été mise à l'épreuve. Ces divulgations ont considérablement changé le discours public.

(1645)

[Traduction]

Je crois qu'un comité possédant l'autorisation de sécurité requise et les organismes d'examen composés d'experts, comme mon bureau et celui de mes collègues du Comité de surveillance des activités de renseignement de sécurité — le CSARS —, qui se penche sur les activités du SCRS et de la Commission civile d'examen et de traitement des plaintes — la CCETP — relatives à la GRC, dirigée par M. McPhail, peut offrir un solide cadre complémentaire et complet de responsabilisation à l'égard des activités de sécurité et de renseignement et qu'il peut effectivement améliorer la transparence.

Je crois que le comité aidera à rétablir et à améliorer la confiance du public, mais ce ne sera pas sans difficulté. Dans le passé, le commissaire du CST a rarement été invité à comparaître devant des comités parlementaires, et le travail de mon bureau pourrait ne pas avoir reçu tout le mérite qui lui est dû. Le comité des parlementaires pourrait aider à cibler l'attention sur le travail important des organismes d'examen spécialisés. Mon bureau et moi-même avons hâte de travailler avec le comité et avec son secrétariat.

Toutefois, pour une efficacité maximale, les rôles respectifs du comité de parlementaires et des organismes d'examen spécialisés doivent être bien définis, afin d'éviter le chevauchement des efforts et le gaspillage de ressources. À mon avis, c'est d'une importance primordiale. [Français]

Éviter le double emploi est un thème évident, et je suis heureux de le voir abordé dans le projet de loi, à l'article 9 intitulé « Coopération ». Le message est clair, mais nous devons travailler en étroite collaboration avec le secrétariat du comité pour garantir sa concrétisation. Les objectifs sont, à mon avis, d'assurer un examen d'ensemble complet et d'encourager la plus grande transparence possible.[Traduction]

J'ai certaines réflexions concernant la façon dont nous pourrions entamer une relation productive avec le comité et avec son secrétariat. Peut-être que nous pourrons étudier cette question durant notre période de questions.

Cependant, certains éléments devraient être abordés. J'ai un certain nombre d'observations à formuler au sujet des diverses parties du projet de loi. Le mandat en trois volets du comité, prévu à l'article 8 du projet de loi, est très vaste du fait qu'il est lié à toute activité qui comprend les opérations ainsi que les affaires administratives, législatives et autres. Sous le régime de la version actuelle du projet de loi, il s'agira d'une autre raison pour laquelle nous devrons, dès le départ, travailler en étroite collaboration avec le comité afin de veiller à ce que les règles soient définies en pratique, et non seulement dans le simple but d'éviter les chevauchements, mais aussi pour assurer la complémentarité. [Français]

J'ignore les intentions du gouvernement quant à cette approche très large. Toutefois, la combinaison de ces mandats pourrait nuire grandement à l'efficacité du secrétariat. Le comité devra établir ses priorités. C'est là une autre occasion pour le comité et les organismes de surveillance de travailler en étroite collaboration pour assurer une reddition de comptes globale efficace.[Traduction]

Ce qui est clair, c'est que le gouvernement veut soumettre à un examen les activités de sécurité nationale et de renseignement des organismes et des ministères qui ne font actuellement pas l'objet d'un examen. Pour que l'examen soit efficace, il est essentiel de maintenir la capacité d'examen par des experts dont nous disposons maintenant et de l'étendre aux organismes et ministères qui ne font actuellement pas l'objet d'un examen. On pourrait le faire en établissant un autre ou d'autres organismes d'examen ou en les répartissant entre les organismes d'examen existants. Je m'attends à ce que le comité de parlementaires dirige son attention vers cette question.

Selon mon interprétation de la version actuelle du projet de loi, il est clair que le comité n'a pas la même liberté d'accès que mon bureau, ou bien que le CSARS. Au titre de l'alinéa 8b), le comité peut examiner « les activités » qui sont liées à la sécurité nationale ou au renseignement, « à moins que le ministre compétent ne détermine » qu'il en va autrement. Cette disposition prévoit une limite possible à ce que le comité pourrait ou ne pourrait pas voir.

(1650)

[Français]

À mon avis, c'est là que la complémentarité du comité et des organismes de surveillance existants entre en jeu avec l'assurance que ces derniers ont un accès sans entrave aux organismes qu'ils examinent. La lacune, c'est qu'il existe des ministères et des agences qui ne sont pas encore soumis à la surveillance. [Traduction]

En conclusion, je proposerais deux ou trois petites modifications afin de clarifier les éléments, et je pourrais les fournir par écrit, par la suite, si vous le souhaitez, monsieur le président.

Merci de m'offrir l'occasion de comparaître devant vous aujourd'hui. Mon directeur exécutif et moi-même serions heureux de répondre à vos questions.

Le président:

Merci.

Je devrais toujours mentionner aux témoins que, si, à la fin de la séance, il y a quoi que ce soit que vous souhaitiez avoir dit et ne l'avez pas fait, il est très approprié que vous soumettiez cette information par écrit au greffier, et tout sera pris en compte par le Comité. Cela ne pose aucun problème.

Nous allons commencer par M. Erskine-Smith, pour sept minutes.

M. Nathaniel Erskine-Smith:

Merci beaucoup.

Je veux commencer par la relation de collaboration que vous avez mentionnée, monsieur McPhail, et l'accent que vous avez mis sur la nature complémentaire du comité de parlementaires et des organismes d'examen spécialisés.

Monsieur Plouffe, vous avez mentionné que vous aviez davantage accès à l'information que ne l'aurait certainement le comité, sous le régime de la version actuelle du projet de loi, non seulement au titre de l'alinéa 8b), mais aussi des limites d'accès à l'information prévues aux articles 14 et 16.

Nous avons accueilli d'autres témoins qui ont insisté sur le fait qu'il pourrait s'agir d'un problème pour la relation de collaboration et qui pourrait en fait nuire à l'adoption d'une approche complémentaire. Je me demande si vous avez quelque chose à dire à ce sujet.

M. Ian McPhail:

Les dispositions concernant l'accès à l'information ne sont pas identiques, comme vous l'indiquez, monsieur Erskine-Smith. Par exemple, la Loi sur la GRC confère à la CCETP un accès un peu plus vaste à l'information sur les enquêtes en cours, du fait que le commissaire de la GRC est tenu de décrire par écrit pourquoi ce serait inapproprié.

Toutefois, la réalité, c'est qu'en tant qu'organisme d'examen, la dernière chose que nous voudrions serait de nuire à une enquête criminelle en cours, alors nous nous éloignerions assurément de cette information. De même, je prévois que le comité de parlementaires — qui est aussi un organisme d'examen — adopterait aussi cette politique.

M. Nathaniel Erskine-Smith:

Je comprends cela, si nous voulons établir une relation de travail. J'ai entendu le témoignage d'autres témoins selon lequel il est très important d'établir une bonne relation de travail, non seulement avec les organismes d'examen composés d'experts, mais aussi avec les organismes gouvernementaux, mais, bien entendu, on aurait cette interaction directement avec le commissaire, et il fournirait les motifs. Dans ce cas-là, cette conversation serait close dès le départ, conformément à l'article 14, en particulier.

M. Ian McPhail:

C'est possible, et je dirais que le comité devra avancer à tâtons. Il se pourrait bien que des amendements puissent être apportés au projet de loi maintenant. Au cours des prochaines années, on verra comment il fonctionne en pratique...

M. Nathaniel Erskine-Smith:

Mais, à votre avis, en pratique, cette relation de travail — où on interagit directement avec le commissaire de la GRC, où il fournit les motifs de refus et où il y a un peu de compromis — fonctionne assez bien.

M. Ian McPhail:

En fait, l'exemple que j'ai donné portait sur les affaires liées aux enquêtes criminelles en cours. Dans ma déclaration préliminaire, j'ai mentionné notre examen de la mise en œuvre des recommandations du juge O'Connor. Dans le cadre de cet examen, nous avons eu accès à des renseignements protégés par le secret professionnel et classifiés. La GRC a collaboré pleinement. Nous prévoyons que cette collaboration se poursuivra. Si ce n'est pas le cas, la loi prévoit un mécanisme pour déterminer quels processus devraient avoir lieu.

M. Nathaniel Erskine-Smith:

On dirait qu'ils fonctionnent assez bien, que, dans les deux sens, et sans que l'accès à l'information soit complètement limité...

M. Ian McPhail:

Si je puis formuler un autre commentaire, même si la loi interdit que le poste de président — mon poste — soit occupé par un ancien membre de la GRC, heureusement, nous comptons au sein de notre personnel d'anciens membres supérieurs de la GRC, comme M. Evans, par exemple, et, pour cette raison, nos membres savent aussi où aller, quels renseignements doivent être conservés et où ils le seront. Ainsi, il ne s'agit pas d'une demande de documents non éclairée et, à cet égard, pour revenir à la première partie de votre question, je pense que la commission pourrait être utile au comité de parlementaires.

(1655)

M. Nathaniel Erskine-Smith:

Monsieur Plouffe, peut-être que vous pourriez parler de l'égard au chapitre de l'accès à l'information entre le commissaire du CST et le comité de parlementaires.

L’hon. Jean-Pierre Plouffe:

De mon point de vue, en tant que commissaire du SCC, j'ai mon propre mandat sur lequel me concentrer, et le comité aura son propre mandat sur lequel se concentrer. C'est pourquoi, dans ma déclaration, j'ai insisté sur l'importance de la complémentarité entre les deux comités, afin que le problème de l'accès, en théorie, n'en soit pas un en pratique.

M. Nathaniel Erskine-Smith:

Mais elle pourrait poser problème en pratique, comme l'ont indiqué MM. Roach et Forcese, par exemple. Ils ont utilisé un certain nombre d'exemples divers. Un exemple serait d'être exclu des opérations d'application de la loi en cours. Ils affirment qu'une opération d'application de la loi est encore en cours en ce qui a trait au bombardement d'Air India de 1985. Ils ont également parlé de l'affaire des détenus afghans.

Si on empêchait le comité de parlementaires d'accéder à l'information relative à ces enjeux, et s'il veut présenter de son propre chef une demande de renseignements au sujet de laquelle le public est certainement préoccupé, ne s'agit-il pas là de quelque chose dont nous devrions nous inquiéter? Le comité de parlementaires ne pourrait-il pas travailler avec le commissaire du CST, sur un pied d'égalité, et disposer du même accès à l'information?

L’hon. Jean-Pierre Plouffe:

Je pense que vous faites allusion aux exceptions prévues à l'article 14.

M. Nathaniel Erskine-Smith:

C'est exact.

L’hon. Jean-Pierre Plouffe:

Nous pouvons être d'accord ou non avec ces exceptions, mais, de mon point de vue, elles ne sont pas déraisonnables, si on tient compte du projet de loi dans son ensemble, de son objet et son régime ainsi que du contexte en entier. Je crois également qu'un autre témoin qui a comparu devant vous auparavant — M. Atkey — a formulé un commentaire à ce sujet en disant qu'il en acceptait la plupart.

M. Nathaniel Erskine-Smith:

Oui, quoiqu'il a affirmé que nous devrions supprimer l'article 16 et la limite prévue à l'alinéa 8b).

Le président:

Vous avez 15 secondes.

M. Nathaniel Erskine-Smith:

Voici quelle serait ma dernière question. S'il s'agit de parlementaires possédant l'autorisation de sécurité nécessaire, pourquoi devrions-nous nous sentir plus à l'aise d'accorder un accès complet à votre bureau, mais pas à eux?

L’hon. Jean-Pierre Plouffe:

C'est une bonne question, et je suppose que c'est au gouvernement d'y répondre. Je soupçonne — en n'oubliant pas qu'il s'agit d'un nouveau comité et que c'est la première fois que des parlementaires participeront à ces affaires — que le gouvernement veut procéder avec prudence et lentement. Nous verrons, à mesure que les choses évolueront, quels changements devraient être apportés au projet de loi. [Français]

Le président:

Merci beaucoup, monsieur Plouffe.[Traduction]

Madame Gallant — je ne sais pas si je dois dire mademoiselle ou madame —, bon retour.

Mme Cheryl Gallant:

« Madame », c'est bien.

Le président:

Je sais. Il m'a simplement fallu une minute.

Mme Cheryl Gallant (Renfrew—Nipissing—Pembroke, PCC):

Merci, monsieur le président. Mes questions s'adresseront surtout à vous, monsieur Plouffe.

Tout d'abord, dans vos commentaires, vous avez mentionné que le gouvernement voulait soumettre à un examen les activités de sécurité nationale et de renseignement des organismes et des ministères qui ne font actuellement pas l'objet d'examens. Voudriez-vous nommer les organismes et les ministères que vous estimez ne pas faire l'objet d'examens adéquats actuellement?

L’hon. Jean-Pierre Plouffe:

Je dois admettre que je n'ai pas la liste à portée de main, en ce moment, pour vous le dire exactement. L'Agence des services frontaliers, par exemple, est le premier qui me vient à l'esprit. Je pense que cette agence devrait être examinée par quelqu'un. En guise d'exemple, ce pourrait être le CSARS, car le travail que fait ce comité, d'une part, et celui que fait l'agence des services frontaliers, d'autre part, sont un peu semblables. Le CSARS pourrait être l'organisme d'examen pour cette agence.

En ce qui concerne les autres ministères qui ne font pas l'objet d'examens, le gouvernement a le choix de les répartir entre les organismes d'examen existants — par exemple, le commissaire du CST, le CSARS, la CCETP — ou de créer un nouvel organisme ou de nouveaux organismes. Je pense qu'il importe que les organismes et les ministères qui ne font pas l'objet d'examens soient examinés.

(1700)

Mme Cheryl Gallant:

Ma préoccupation tient au fait que nous voyons, de temps en temps, au Parlement, un enjeu qui est de nature délicate, qui est urgent — par exemple, la présélection des réfugiés syriens —, le système qui est en place pourrait présenter certaines lacunes. Le Comité a peut-être voulu l'étudier, mais s'est fait dire non. Nous avons tout simplement été dépassés par la tyrannie de la majorité. Considérez-vous qu'il soit préoccupant que ce que pourraient devoir étudier les parlementaires au sein de comités permanents puisse, parce que le gouvernement voudrait le cacher aux yeux du public, être renvoyé à ce comité spécial?

L’hon. Jean-Pierre Plouffe:

Si je comprends bien votre question... je suis désolé. Pourriez-vous la répéter, seulement l'essentiel?

Mme Cheryl Gallant:

Pensez-vous que le gouvernement pourrait vouloir renvoyer une question qu'un comité pourrait vouloir étudier à ce comité spécial simplement afin qu'elle reste en dehors du domaine public?

L’hon. Jean-Pierre Plouffe:

Non, je ne le pense pas du tout. Comme je le dis, les mandats sont différents, mais ils sont complémentaires. Selon moi, ce qui importe — comme je l'ai dit dans ma déclaration préliminaire — c'est le travail de collaboration: le comité de parlementaires, d'une part, et les organismes d'examen composés d'experts, d'autre part. Si nous faisons cela, je suppose que cela répondra à votre question.

Mme Cheryl Gallant:

D'accord. Vous avez affirmé que le comité n'a pas la même liberté d'accès que votre bureau ou le CSARS, quoique dans un domaine précis, son accès est plus explicite. De quel domaine s'agit-il?

L’hon. Jean-Pierre Plouffe:

Il s'agit de l'accès aux opinions juridiques, le secret professionnel de l'avocat.

Mme Cheryl Gallant:

Très bien. Selon l'alinéa 8b), c'est à moins que le ministre compétent ne détermine qu'il en va autrement, alors comment les membres du comité spécial seront-ils en mesure de vérifier s'il existe un motif pour lequel le comité ne devrait pas accéder à certains renseignements?

M. J. William Galbraith (directeur exécutif, Bureau du commissaire du Centre de la sécurité des télécommunications):

Le projet de loi établit que, si un ministre refuse, ou bien si l'accès à l'information est refusé au comité, une explication doit être donnée. Est-ce ce à quoi vous faites allusion?

Mme Cheryl Gallant:

Nous voyons cela tout le temps au comité de la défense, quand on dit que quelque chose est une question de sécurité opérationnelle. Nous ne savons pas s'il s'agit vraiment d'une affaire de sécurité opérationnelle. On ne fait peut-être qu'utiliser cela comme moyen d'éviter de fournir des renseignements. Comment les membres du comité sauraient-ils qu'il y a vraiment un problème de sécurité nationale et que ce n'est pas plutôt le ministère ou l'organisme qui ne veut pas donner accès à l'information?

L’hon. Jean-Pierre Plouffe:

Le projet de loi — si je ne me trompe pas — contient une disposition selon laquelle, si un ministre refuse ce type de renseignements, il doit vous donner les motifs, la raison pour laquelle il ne communique pas ce type d'information.

Mme Cheryl Gallant:

Le projet de loi... il est question de l'alinéa 8b). Les témoins pourraient expliquer comment le...

L’hon. Jean-Pierre Plouffe:

C'est l'alinéa 8b)?

Mme Cheryl Gallant:

Oui. Êtes-vous certain que le gouvernement ou l'organisme ne pourrait pas simplement utiliser la sécurité nationale comme disposition de sauvegarde pour ne pas être tenu de fournir les renseignements au comité?

(1705)

L’hon. Jean-Pierre Plouffe:

Je ne vois pas pourquoi ils feraient cela, sauf s'ils sont de mauvaise foi, et je présume que tout le monde agit de bonne foi, à moins qu'on me prouve le contraire.

Mme Cheryl Gallant:

Très bien.

Nous allons passer à la procédure du comité. Il est énoncé: Le président convoque les réunions du Comité.

Est-ce que l'un ou l'autre des témoins estime qu'il devrait y avoir une disposition permettant à un certain nombre des membres du comité — un nombre minimal qui équivaudrait ou serait inférieur au nombre de députés — de convoquer une réunion du comité?

L’hon. Jean-Pierre Plouffe:

Parlez-vous d'un quorum?

Mme Cheryl Gallant:

Oui.

L'hon. Tony Clement:

C'est à l'article 17.

L’hon. Jean-Pierre Plouffe:

L'article 17, n'est-ce pas? Je remarque qu'il n'y a aucune disposition dans le projet de loi au sujet d'un quorum pour le comité. Il est mentionné qu'il y a neuf membres, et les articles 18 et 19, par exemple, traitent de la voix prépondérante, mais pas du quorum. Je pense qu'il devrait y avoir une disposition qui précise que le quorum du comité est, disons, de cinq membres ou peu importe.

Le président:

Vous devez vous arrêter ici.

Monsieur Dubé, veuillez poursuivre. [Français]

M. Matthew Dubé:

Merci, monsieur le président.

Je remercie également les témoins d'être parmi nous.

Ma question s'adresse à M. Plouffe.

En vertu de la Loi sur la défense nationale, une partie de votre mandat consiste à dénoncer toutes les activités du CST qui ne sont pas conformes à la loi. Nous présentons pour notre part un amendement qui donnerait à ce comité la responsabilité d'alerter le ministre de la Sécurité publique ainsi que le ministre de la Justice. C'est donc semblable à votre mandat.

J'aimerais d'abord que vous nous parliez de l'importance de cet aspect de votre mandat et que vous nous disiez ensuite si, selon vous, notre amendement est une proposition appropriée pour ce comité.

L’hon. Jean-Pierre Plouffe:

Une partie de mon mandat consiste à m'assurer que les activités du CST sont conformes à la loi. Il va donc de soi que, si elles n'y sont pas conformes, je dois en aviser le ministre de la Défense nationale, qui est responsable du CST, ainsi que le procureur général du Canada, et ce, en vertu de la Loi sur la défense nationale. Si vous lisez le rapport annuel que j'ai publié l'année dernière et qui a été déposé devant les Chambres, vous constaterez que j'ai rapporté un cas où cela s'était produit.

Le rôle du comité est de s'assurer que les activités des « agences surveillées » sont conformes à la loi. Je ne vois pas pourquoi vous ne pourriez pas, vous aussi, avoir le pouvoir de dénoncer de tels cas au ministre responsable de l'agence en question ainsi qu'au procureur général du Canada.

M. Matthew Dubé:

C'est parfait, je vous remercie beaucoup.

On a beaucoup parlé de l'alinéa 8b) et du pouvoir que le ministre a d'empêcher une enquête du comité, ce qui n'est le cas ni chez vous ni auSIRC...

L’hon. Jean-Pierre Plouffe:

C'est le Comité de surveillance des activités de renseignement de sécurité, ou CSARS.

M. Matthew Dubé:

Oui, merci, c'est déjà difficile de connaître tous les acronymes, mais c'est encore plus compliqué avec les acronymes bilingues.

Vous avez parlé de la complémentarité. Cela pourrait être un exemple où on pourrait travailler ensemble. J'aimerais prendre un angle différent et j'aimerais avoir votre opinion là-dessus.

Vous avez parlé d'un point très important pour le comité des parlementaires, c'est-à-dire la confiance du public. Ne croyez-vous pas qu'en ajoutant des pouvoirs discrétionnaires à un ministre — même si on peut se fier à d'autres organismes déjà existants pour superviser la situation — on nuit à un objectif clé, soit la confiance du public? On sait que le ministre peut interdire des enquêtes, ce qui n'est pas le cas avec d'autres comités de surveillance.

L’hon. Jean-Pierre Plouffe:

Tout d'abord, il faut comprendre quelle est la nature du comité que le projet de loi veut créer. C'est un comité de parlementaires, mais ce n'est pas un comité du Parlement, c'est une créature de l'exécutif. Je pense que ce n'est pas la première fois que vous entendez cela. C'est la raison pour laquelle le premier ministre et les ministres ont un rôle à jouer. Si c'était un comité du Parlement, ce serait différent.

C'est un comité de parlementaires, c'est donc un comité de l'exécutif. Ce comité, entre parenthèses, doit donc faire rapport au premier ministre dans certains cas et à certains ministres dans d'autres cas. C'est la philosophie.

Un jour, on évoluera peut-être dans un sens où, avec la pratique, on s'apercevra — un peu comme cela se passe en Angleterre actuellement — qu'on a un comité du Parlement et non un comité de parlementaires.

(1710)

M. Matthew Dubé:

Merci.[Traduction]

Monsieur McPhail et monsieur Evans... Vous avez soulevé un point intéressant au sujet de l'importance de ne pas être un ancien membre de la GRC, monsieur McPhail, et de l'indépendance que cela procure. Je me demande simplement quelle est votre opinion à ce sujet. Nous avons suivi un processus semblable relativement au choix du président du comité, c'est-à-dire que, si le premier ministre nomme le président, je pense qu'il y a une certaine ressemblance. C'est comme si vous étiez un ancien membre de la GRC. Cela peut représenter un certain conflit d'intérêts. Quelle importance a votre indépendance et comment vous permet-elle de faire preuve d'une surveillance adéquate?

M. Ian McPhail:

Selon moi, monsieur Dubé, ce n'est pas vraiment une question de conflit réel; il s'agit plutôt de confiance du public.

Je vais parler au nom de M. Evans, mais je peux également parler pour tous les anciens membres de la GRC qui font partie du personnel de notre commission. Ils sont tous, selon moi, très déterminés à exécuter le mandat de la commission; ils mettent à profit non seulement leur détermination, mais également leurs connaissances spécialisées et leur expertise, ce qui est franchement inestimable.

Je pense que — et, évidemment, cela va au-delà de mon autorité ou de celle de la commission —, puisque le projet de loi vise le redressement et qu'il est conçu pour accroître la confiance du public, il est difficile de s'imaginer que le premier ministre ou un certain nombre de parlementaires puissent nommer comme président une personne dont la nomination nuirait à la confiance du public.

M. Matthew Dubé:

En effet. Je le reconnais.

Le président:

Vous avez 30 secondes.

M. Matthew Dubé:

Rapidement, ma dernière question est la suivante: Quelle était l'importance de l'examen continu des recommandations du juge O'Connor? À quel point était-ce important que vous ayez accès à tous les renseignements? Vous en avez parlé dans votre déclaration préliminaire, mais est-ce vraiment important? C'est quelque chose dont nous discutons au sujet du projet de loi, n'est-ce pas?

M. Ian McPhail:

C'est essentiel, mais comme je l'ai dit plus tôt, nous n'avons pas eu à nous en remettre à une quelconque disposition législative à ce jour. Je ne peux prédire l'avenir, bien évidemment, mais à ce jour, la GRC s'est montrée pleinement coopérative et a donné un accès complet à nos enquêteurs.

M. Matthew Dubé:

Cet accès complet est essentiel pour faire votre travail.

M. Ian McPhail:

Absolument.

M. Matthew Dubé:

Merci.

Le président:

Merci beaucoup.[Français]

La parole est à M. Di Iorio.

M. Nicola Di Iorio (Saint-Léonard—Saint-Michel, Lib.):

Merci, monsieur le président.

Je vous remercie, messieurs, de votre collaboration et de votre précieux témoignage.

Je vais traiter de l'article 8 du projet de loi où il est question du mandat du comité. On peut lire: « Le Comité a pour mandat: »

À l'alinéa b), il est écrit:[Traduction] toute activité mais voici ce qui précède: à moins que le ministre compétent ne détermine que l'examen porterait atteinte à la sécurité nationale; [Français]

D'autres témoins ont porté à notre attention qu'il y avait répétition dans le projet de loi. Je veux avoir votre point de vue sur cela. Est-il question de répétition dans le projet de loi?

Allons tout d'abord à l'article 14.

À l'article 14, alinéa b), on ne parle plus d'un examen, mais de renseignements, ce qui m'apparaît beaucoup plus restreint.

L’hon. Jean-Pierre Plouffe:

Est-ce l'article 14 ou l'article 15?

M. Nicola Di Iorio:

C'est l'alinéa 14b) dans lequel on parle de renseignements, et non plus d'un examen.

À l'alinéa 14d), on traite de l'identité d'une personne. Encore là, il n'est pas question d'un examen.

À l'alinéa 14e), il est question de renseignements et, encore là, il n'est pas question d'un examen.

J'attire aussi votre attention sur l'article 16 où, à nouveau, on nous parle d'un renseignement, et non pas d'un examen.

Êtes-vous aussi d'avis qu'il y a duplication inutile et qu'on répète des choses pour rien? D'après vous, ces exceptions faites aux articles 14 et 16 sont-elles justifiées?

(1715)

L’hon. Jean-Pierre Plouffe:

Tout à l'heure, avec M. Dubé, nous avons parlé un peu de l'alinéa 8b). Cet alinéa est une restriction; combien de fois va-t-il être appliqué? Il faut se poser la question. Si je me fie à ce qu'un ministre a dit récemment, cette prérogative ne va être utilisée que très rarement.

J'avais une note en anglais qui exprime ma pensée. Permettez-moi de vous la lire. [Traduction]

Elle se lit comme suit: « Selon mon expérience, les craintes sont souvent pires que la réalité. »[Français]

C'est une restriction, mais c'est une exception. Le principe d'une exception, c'est d'être utilisée très rarement.

M. Nicola Di Iorio:

Est-ce que vous êtes d'accord que le ministre pourrait laisser passer l'examen, alors que le projet de loi précise que certains renseignements ne peuvent pas être divulgués au comité?

L’hon. Jean-Pierre Plouffe:

Il faut bien comprendre — et je pense que vous le comprenez aussi — qu'il y a une différence entre un examen, qui fait partie du mandat, et l'accès aux renseignements dont il est question à l'article 13 et aux articles suivants. Je crois que ce n'est pas tout à fait la même chose.

M. Nicola Di Iorio:

C'est bien.

Maintenant, monsieur McPhail et monsieur le juge, j'attire votre attention sur l'article 9.

L’hon. Jean-Pierre Plouffe:

Oui.

M. Nicola Di Iorio:

À l'article 9, intitulé « Coopération », on peut lire ceci:[Traduction] Le Comité et chacun des organismes de surveillance prennent toute mesure raisonnable pour coopérer afin d'éviter que l'exercice du mandat du Comité ne fasse double emploi avec l'exercice du mandat de l'un ou l'autre des organismes de surveillance. [Français]

Est-ce que vous êtes d'accord?

Monsieur le juge, vous avez vous-même indiqué que c'est un comité de parlementaires dont une bonne partie des membres — la vaste majorité, mais pas tous — sont élus. Ce sont des gens qui tous les quatre ans se présentent devant le peuple pour faire renouveler leur mandat.

L’hon. Jean-Pierre Plouffe:

Oui.

M. Nicola Di Iorio:

Est-ce que vous êtes d'accord pour dire que, en cas de divergence, ce comité a préséance sur les comités comme celui que vous présidez?

L’hon. Jean-Pierre Plouffe:

Vous parlez des comités d'experts?

M. Nicola Di Iorio:

Je parle des comités d'experts comme celui que vous présidez, comme celui que M. McPhail préside. Je pose la question à M. McPhail aussi, évidemment.

L’hon. Jean-Pierre Plouffe:

Je ne vois pas cela ainsi. Je ne pense pas que ce soit une question de préséance. Je comprends un peu le sens de votre question, mais chaque comité ou chaque organisme a son propre mandat. Je ne crois pas que ce soit une question de préséance. Je ne le vois pas comme cela du tout.

Le mandat d'examen par des experts que nous avons, par rapport au Centre de la sécurité des télécommunications, c'est une chose. Cela implique des examens approfondis plusieurs fois par année et ainsi de suite. J'imagine que le comité, par son mandat, va probablement s'en tenir aux questions plus générales plutôt qu'aux questions particulières ou de détail comme nous le faisons.

Je pense que ce sont deux mandats qui se complètent. Il n'y a pas de question de préséance; les deux sont importants.

M. Nicola Di Iorio:

Avez-vous un pouvoir de citation à comparaître?

L’hon. Jean-Pierre Plouffe:

Oui.

M. Nicola Di Iorio:

Le comité devrait-il avoir un pouvoir de citation à comparaître?

L’hon. Jean-Pierre Plouffe:

Cela pourrait être utile. Je ne vois pas de problème à faire témoigner des gens si vous le voulez.

Par exemple, si vous êtes en train de faire un examen sur le ministère X, que vous voulez avoir accès à des documents et à des témoins et qu'on vous les refuse, cela peut être embêtant si vous n'avez pas de pouvoir de coercition,

M. Nicola Di Iorio:

Il faudrait donc prévoir le pouvoir de subpoena duces tecum, c'est-à-dire le pouvoir d'assignation à produire des pièces.

(1720)

L’hon. Jean-Pierre Plouffe:

Oui, c'est à prendre en considération. Il s'agit du pouvoir d'assignation des personnes ou des personnes avec des documents, ce qu'on appelle un duces tecum, comme vous le savez.

M. Nicola Di Iorio:

Monsieur McPhail, qu'en pensez-vous? [Traduction]

M. Ian McPhail:

C'est une excellente question, mais je crois qu'elle concerne le rôle essentiel des parlementaires et des organismes d'examen. Ce n'est pas vraiment à moi de décrire ces rôles, mais je pense que vous serez d'accord avec moi pour dire que les rôles essentiels des parlementaires sont d'examiner, et, au besoin, d'édicter une loi et de demander au pouvoir exécutif de rendre des comptes. Le rôle des organes d'examen est de mettre en œuvre les directives du Parlement dans leur domaine respectif.

Je présume que, si la même philosophie devait s'appliquer au comité de parlementaires proposé, ce ne serait probablement pas le souhait du comité ou de tout autre comité du genre de faire double emploi avec le travail effectué en examinant en détail des questions particulières. Il faudrait plutôt examiner, par exemple, la question qui vient tout juste d'être soulevée aujourd'hui, c'est-à-dire celle qui concerne l'accès que devraient avoir les policiers à des documents supposément confidentiels contenus dans des téléphones cellulaires, à des messages chiffrés.

Le président:

Merci, monsieur McPhail.

M. Ian McPhail:

Il y a un débat public très pertinent à ce sujet, mais ce n'est pas le rôle d'un organisme d'examen, clairement. Ce n'était qu'un simple exemple.

Le président:

Merci. Nous devons poursuivre. Vous avez parlé pendant huit minutes trente. [Français]

M. Nicola Di Iorio:

Merci. [Traduction]

Le président:

Monsieur Clement.

L'hon. Tony Clement:

J'aimerais revenir sur ce qui a été décrit par des témoins antérieurs comme étant le « triple verrou » qui figure dans le projet de loi à l'article 8, à l'article 14 et dans un autre article. J'aimerais savoir à quel point les témoins estiment que cela est raisonnable.

Le triple verrou signifie qu'il existe des articles qui énoncent clairement que le mandat du comité peut être limité s'il y a un problème de sécurité nationale, quelque chose qui « porterait atteinte à la sécurité », comme le prévoit l'article 8. Puis il y a l'article 14, où figure une liste complète de tous les renseignements auxquels n'a pas accès le comité, et il est question du refus de communication. J'imagine que l'article 16 serait le dernier; il incorpore par renvoi la Loi sur la protection de l'information. Cela a déjà été décrit au Comité comme étant un triple verrou qui entrave la capacité du comité de faire son travail.

Je parle en tant que membre de l'ancien gouvernement, et nous ne voulions pas que le comité soit créé en premier lieu, mais il me semble que, si vous vous donnez la peine de mettre en place le comité, ce devrait être un comité qui est réellement apte et capable de prendre des mesures. Les témoins, M. Kent Roach, entre autres, ont décrit cela comme un triple verrou, en des termes peu élogieux.

Monsieur Plouffe, vous êtes évidemment le commissaire d'un organisme, et monsieur McPhail, vous avez eu affaire à ces genres d'examens par le passé. Il faut trouver un équilibre, et je comprends cela, mais comment pouvons-nous trouver le juste équilibre? Manifestement, personne autour de cette table ne veut porter atteinte à la sécurité nationale, grands dieux non! Par ailleurs, si je peux le dire ainsi, tous les parlementaires sont des gens honorables, et ce sont des gens occupés, donc le fait de nous astreindre à créer un comité dénué de pouvoirs réels me semble une perte de temps.

J'aimerais entendre votre point de vue à ce sujet, messieurs.

M. Ian McPhail:

Monsieur Clement, votre argument est très valable, et j'ai le sentiment que tous vos collègues, des deux côtés de la table, sont d'accord avec vous.

Je peux seulement ajouter quelques précisions au sujet de l'information qui figure à l'alinéa 14e): les renseignements qui ont un lien direct avec une enquête en cours menée par un organisme chargé de l'application de la loi et pouvant mener à des poursuites;

Le libellé utilisé dans notre mesure habilitante est un peu plus général.

Je vais revenir à ce que je disais il y a un moment, c'est-à-dire que je ne crois pas qu'il est dans votre intention que le comité effectue ses propres enquêtes au sujet de mesures particulières de la GRC en ce qui concerne ses activités liées à la sécurité nationale.

Je vais vous donner un exemple si vous me le permettez. Les activités de la GRC liées à la sécurité nationale ont une portée beaucoup plus étendue que ce que pense le public, selon moi, parce que de nombreuses dispositions en matière de sécurité nationale ont été enchâssées dans le Code criminel. Par conséquent, la GRC a un mandat d'application de la loi. La GRC travaille également en étroite collaboration, dans bon nombre de ces domaines, avec d'autres organismes du gouvernement fédéral et avec les services de police provinciaux et même municipaux.

Notre organisme a le...

(1725)

L'hon. Tony Clement:

Je suis désolé...

M. Ian McPhail: Est-ce que je m'éloigne du sujet?

L'hon. Tony Clement: ... mais je n'ai que 15 secondes et j'aimerais entendre l'opinion de M. Plouffe également. Je comprends ce que vous voulez dire.

M. Ian McPhail:

D'accord. Nous pouvons travailler avec les organismes provinciaux de surveillance et avec d'autres intervenants.

Le président:

J'ai bien peur que votre temps ne soit écoulé.

M. Ian McPhail:

Oh, je suis désolé.

Le président:

Madame Damoff, vous avez cinq minutes.

Mme Pam Damoff (Oakville-Nord—Burlington, Lib.):

Merci beaucoup.

Mon collègue aimerait poser une courte question également, donc je vais partager mon temps avec lui. Je n'aurai probablement assez de temps que pour une seule question.

Je m'adresse à vous deux. Nous savons à quel point il est important que le public ait confiance en nos corps policiers. Selon vous, comment le comité peut-il travailler avec vos organismes pour renforcer cette confiance et faire en sorte que le public soit bien outillé pour comprendre l'équilibre entre la sécurité publique et nos droits et libertés civiles? Y a-t-il quelque chose dans le projet de loi qui pourrait être amélioré pour continuer dans cette voie?

L’hon. Jean-Pierre Plouffe:

Je pense que l'un des principaux obstacles au rétablissement et à l'accroissement de la confiance du public sera la transparence. Le comité, tout comme les organismes d'examen composés d'experts, doit s'efforcer de fournir le plus de renseignements possible au Parlement et au public en général afin qu'il y ait une meilleure compréhension de ce qui se fait, de la raison pour laquelle cela est fait et, plus particulièrement, des mesures en place pour protéger la vie privée des citoyens canadiens.

En ce qui concerne le CSTC, que j'examine, j'insiste sur le concept de la transparence depuis les trois dernières années et j'essaie de convaincre l'organisme de publier toujours plus de renseignements à l'intention du public, puisque la publication de plus de renseignements fait partie intégrante du concept de transparence. Je pense que l'accent devrait être mis sur la transparence.

Mme Pam Damoff:

Monsieur McPhail.

M. Ian McPhail:

Madame Damoff, je suis d'accord avec le juge Plouffe en ce qui concerne chaque point qu'il a soulevé.

Je voudrais aussi ajouter qu'il y a une tension constante, comme vous l'avez souligné, entre, d'une part, notre désir de préserver les libertés civiles et notre engagement à cet égard et, d'autre part, la protection des Canadiens du point de vue de la sécurité nationale. Selon moi, la façon exacte d'établir un équilibre est l'un des objectifs principaux du comité, parce que les organismes d'examen ne sont pas en mesure d'exercer cette fonction. Le comité, pourvu qu'il n'y ait pas de partisanerie indue, devrait être en mesure de le faire.

(1730)

Mme Pam Damoff:

Merci beaucoup.

Le président:

Monsieur Graham.

M. David de Burgh Graham (Laurentides—Labelle, Lib.):

Merci.

J'ai une petite question pour M. Plouffe, mais je pense qu'elle est importante.

Le CSTC fait partie intégrante de notre structure de sécurité nationale et gère un nombre beaucoup plus élevé de technologies que la plupart des ministères, et la surveillance de mathématiciens et de cryptographes dont l'emploi à temps plein consiste à chiffrer des messages est forcément une tâche complexe. C'est une chose d'avoir un accès complet à tout; c'en est une autre d'interpréter les données. Lorsqu'il est question de renseignements d'origine électromagnétique, d'exploration de données, et ainsi de suite, et en ce qui concerne l'atteinte délibérée de machines ciblées, qui effectue les vérifications des codes de responsabilité?

Voici un exemple de ce qui me préoccupe. Selon la revue WIRED, l'année dernière, Kaspersky Lab a mis au jour un projet assez fascinant mené par le « groupe Equation », qui peut mettre à jour un micrologiciel sur un lecteur de disque dur à distance, et on croit que le groupe relève d'un partenaire du Groupe des cinq de la National Security Agency. Ce sont des travaux de langage d'assemblage de bas niveau et ils requièrent des connaissances très spécialisées.

Quels sont les processus en place pour détecter une méthode aussi perfectionnée au chapitre de la capacité de surveillance et déterminer comment cela se fait ou comment cela a pu se faire?

L’hon. Jean-Pierre Plouffe:

Eh bien, j'ai le sentiment que c'est pour cette raison qu'on nous appelle des organismes d'examen composés d'experts. Des experts travaillent pour nous. Je suis d'accord avec vous pour dire que ce n'est pas toujours facile de comprendre ce que fait le CSTC et, croyez-moi, j'ai été nommé il y a trois ans et j'essaie toujours de comprendre exactement en quoi consistent ces activités. C'est très complexe, mais je peux compter sur des experts. Il y a huit ou neuf experts qui travaillent pour moi à mon bureau, et ces experts sont d'anciens employés du CSTC, du SCRS ou d'un service de sécurité, peu importe, alors ce sont des experts.

M. David de Burgh Graham:

Ce sont des gens qui regardent de près les codes et la technologie en tant que telle, et pas seulement les dossiers qui en découlent.

M. J. William Galbraith:

Si vous me le permettez, commissaire...?

M. Jean-Pierre Plouffe: Oui.

M. J. William Galbraith: Vos propos sont très détaillés, très poussés. Nous...

M. David de Burgh Graham:

C'est un domaine dont nous ne parlons pas, et je veux m'assurer que nous en parlions.

M. J. William Galbraith:

Au moment de déterminer les activités qui feront l'objet d'un examen et d'établir l'ordre de priorité de ces activités, nous nous penchons sur les risques au chapitre de la conformité et de la vie privée. En ce qui concerne les activités que nous examinons, nous recevons les comptes rendus du CSTC et, lorsque nous cernons les activités, il est possible qu'une considération du genre entre en ligne de compte. À partir de là, nous déterminons quels sont les risques pour la vie privée qui se posent et quels sont les risques liés à la conformité, de manière générale. Puis, nous déterminons quelle priorité doit être accordée à chaque aspect.

S'il faut entrer dans le genre de détails dont vous parlez, nous allons, au besoin, nous en remettre à l'autorité du commissaire, aux ingénieurs informatiques contractuels, par exemple, pour nous assurer de comprendre ce qui se passe. Je dois dire que le CSTC est assez coopératif et transparent avec le bureau du commissaire, comme on a pu le voir dans le cas des métadonnées l'année dernière.

Le président:

Merci beaucoup, monsieur Galbraith.

Cela conclut notre rencontre. Merci à tous et merci aux témoins d'avoir été présents avec nous.

Je vais vous demander de quitter la salle assez rapidement, car j'aimerais avoir une brève rencontre avec le sous-comité.

La séance est levée.

Hansard Hansard

committee foss hansard secu 32438 words - whole entry and permanent link. Posted at 22:43 on November 15, 2016

(RSS) Website generating code and content © 2001-2020 David Graham <david@davidgraham.ca>, unless otherwise noted. All rights reserved. Comments are © their respective authors.