Standing Committee on Access to Information, Privacy and Ethics
(0835)
[English]
The Chair (Mr. Bob Zimmer (Prince George—Peace River—Northern Rockies, CPC)):
I call to order this meeting of the Standing Committee on Access to Information, Privacy and Ethics. This is meeting 155.
This is the last of our international grand committee meetings this week, the International Grand Committee on Big Data, Privacy and Democracy.
With us today from Amazon, we have Mark Ryland, director of security engineering, office of the chief information officer of the Amazon web services.
From Microsoft Canada Inc., we have Marlene Floyd, national director of corporate affairs, and John Weigelt, national technology officer.
From the Mozilla Foundation, we have Alan Davidson, vice-president of global policy, trust and security.
From Apple Inc., we have Erik Neuenschwander. He is manager of user privacy.
We're going to get into your testimony. I wanted to say that the CEOs were invited today, and it's unfortunate that they didn't come. Again, as I've said to many of you just prior to the meeting, this is supposed to be a constructive meeting on how to make it better, and some of the proposals that your companies have right from the top are good ones, and that's why we wanted to hear them today and have the CEOs answer our questions, but we do appreciate that you're here.
We'll start off with Mr. Ryland for 10 minutes.
Mr. Mark Ryland (Director, Security Engineering, Office of the Chief Information Security Officer for Amazon Web Services, Amazon.com):
Thank you very much.
Good morning, Chair Zimmer, members of the committee, and international guests.
My name is Mark Ryland. I serve as the director of security engineering in the office of the chief information security officer at Amazon web services, the cloud computing division of Amazon.
Thank you for giving me the opportunity to speak with you today. I'm pleased to join this important discussion. I'd like to focus my remarks today on how Amazon puts security and customer trust at the centre of everything we do.
Amazon's mission is to be the earth's most customer-centric company. Our corporate philosophy is firmly rooted in working backwards from what customers want and continuously innovating to provide customers better service, more selection and lower prices. We apply this approach across all our areas of business, including those that touch on consumer privacy and cybersecurity.
Amazon has been serving Canadian customers since we first launched amazon.ca in 2002. Amazon now has more than 10,000 full-time employees in Canada. In 2018, we announced plans to create an additional 6,300 jobs.
We also have two tech hubs, one in Toronto and another in Vancouver. These are clusters of offices employing more than 1,000 software engineers and a number of supporting technical workers, building some of our most advanced global systems. We also have offices in Victoria for www.abebooks.com, and our AWS Thinkbox subsidiary in Winnipeg.
We operate seven fulfillment centres in Canada, and four more have been announced. They will all open this year, in 2019.
I would now like to talk about our cloud platform.
Just over 13 years ago, Amazon launched Amazon web services, which is our cloud computing business. Montreal is home to our AWS Canada region, which is made up of a number of distinct data centres. We launched AWS, because after over a decade of building and running amazon.com, we realized we had developed a core competency in operating massively scaled technology infrastructure and data centres. We embarked on a broader mission of serving developers and businesses with information technology services that they can use to run their own businesses.
The term “cloud computing” refers to the on-demand delivery of IT resources over the Internet or over private networks. The AWS cloud spans a network of data centres across 21 geographic regions around the globe. Instead of owning and maintaining their own data centres, our customers can acquire technology such as compute power, storage, and databases in a matter of seconds on an as-needed basis by simply calling an API or clicking a mouse on a graphical console.
We provide IT infrastructure and services in the same way that you just flip a switch to turn on the lights in your home and the power company sends you electricity.
One of this committee's concerns was democracy. Well, we're really democratizing access to IT services, things that only very large organizations could previously do, in terms of the scale involved. Now the smallest organizations can get access to that same type of very sophisticated advanced technology with simply a click of a button and just paying for their consumption.
Today AWS provides IT services to millions of active customers in over 190 countries. Companies that leverage AWS range from large Canadian enterprises such as Porter Airlines, Shaw, the National Bank of Canada, TMX Group, Corus, Capital One, and Blackberry to innovative start-ups like Vidyard and Sequence Bio.
I want to underline that privacy really starts with security. Privacy regulations and expectations cannot be met unless systems are maintaining the confidentiality of data according to their design. At AWS, we say that security is “job zero”, by which we mean it's even more important than a number one priority. We know that if we don't get security right, we don't really have a business.
AWS and Amazon are vigilant about the security and privacy of our costumers and have implemented sophisticated technical and physical measures to prevent unauthorized access to data.
Security is everyone's responsibility. While we have a world-class team of security experts monitoring our systems 24-7 to protect customer data, every AWS employee, regardless of role, is responsible for ensuring that security is an integral component of every facet of our business.
Security and privacy are a shared responsibility between AWS and the customer. What that means is that AWS is responsible for the security and privacy of the cloud itself, and customers are responsible for their security and the privacy of their systems and their applications that run in the cloud. For example, customers should consider the sensitivity of their data and decide if and how to encrypt their data. We provide a wide variety of encryption tools and guidance to help customers meet their cybersecurity objectives.
We sometimes say, “Dance like no one's watching. Encrypt like everyone is.” Encryption is also helpful when it comes to data privacy. In many cases, data can be effectively and permanently erased simply by deleting encryption keys, for example. (0840)
More and more, organizations are realizing the link between IT modernization offered by the cloud and a better security posture. Security depends on the ability to stay a step ahead of a rapidly and continuously evolving threat landscape, requiring both operational agility and the latest technologies.
The cloud offers many advanced security features that ensure that data is securely stored and handled. In a traditional on-premises environment, organizations spend a lot of time and money managing their own data centres, and worry about defending themselves against a complete range of nimble, continuously evolving threats that are difficult to anticipate. AWS implements baseline protections, such as DDoS protection, or distributed denial of service protection; authentication; access control; and encryption. From there, most organizations supplement these protections with added security measures of their own to bolster cloud data protections and tighten access to sensitive information in the cloud. They also have many tools at their disposal for meeting their data privacy goals.
As the concept of “cloud” is often new to people, I want to emphasize that AWS customers own their own data. Customers choose the geographic location in which to store their data in our highly secure data centres. Their data does not move unless the customer decides to move it. We do not access or use our customers' data without their consent.
Technology is an important part of modern life, and has the potential to offer extraordinary benefits that we are just beginning to realize. Data-driven solutions possess potentially limitless opportunities to improve the lives of people, from making far faster medical diagnoses to making farming far more efficient and sustainable. In addressing emerging technology issues, new regulatory approaches may be required, but they should avoid harming incentives to innovate and avoid constraining important efficiencies like economies of scale and scope.
We believe policy-makers and companies like Amazon have very similar goals—protecting consumer trust and privacy and promoting new technologies. We share the goal of finding common solutions, especially during times of fast-moving innovation. As technology evolves, so too will the opportunities for all of us in this room to work together.
Thank you. I look forward to taking your questions.
The Chair:
Thank you, Mr. Ryland.
Next up is Microsoft. Will it be Ms. Floyd or Mr. Weigelt?
Ms. Marlene Floyd (National Director, Corporate Affairs, Microsoft Canada Inc.):
We will share.
The Chair:
Okay. Go ahead.
[Translation]
Mr. John Weigelt (National Technology Officer, Microsoft Canada Inc.):
Thank you, Mr. Chair.
We're pleased to be here today.[English]
My name is John Weigelt. I'm the national technology officer for Microsoft here in Canada. My colleague Marlene Floyd, national director of corporate affairs for Microsoft Canada, joins me. We appreciate the opportunity to appear before this committee today. The work you've undertaken is important given our increasingly digital world and the impact of technology on jobs, privacy, safety, inclusiveness and fairness.
Since the establishment of Microsoft Canada in 1985, our presence here has grown to include 10 regional offices around the country, employing more than 2,300 people. At our Microsoft Vancouver development centre, over 700 employees are developing products that are being used around the world. Cutting-edge research on artificial intelligence is also being conducted by Ph.D.s and engineers at the Microsoft research lab in Montreal. That's in partnership with the universities there.
Powerful technologies like cloud computing and artificial intelligence are transforming how we live and work, and are presenting solutions to some of the world's most pressing problems. At Microsoft we are optimistic about the benefits of these technologies but also clear-eyed about the challenges that require thinking beyond technology itself to ensure the inclusion of strong ethical principles and appropriate laws. Determining the role that technology should play in society requires those in government, academia, business and civil society to come together to help shape the future.
Over 17 years ago, when Bill Gates asserted that “trustworthy computing” would be the highest priority at Microsoft, he dramatically changed how our company delivers solutions to the marketplace. This commitment was re-emphasized by our CEO, Satya Nadella, in 2016. We believe privacy is a fundamental human right. Our approach to privacy and data protection is grounded in our belief that customers own their own data. Consequently, we protect our customers' privacy and provide them with control over their data.
We have advocated for new privacy laws in a number of jurisdictions, and we were early supporters of the GDPR in Europe. We recognize that for governments, having computer capacity close to their constituents is very important. Microsoft has data centres in more regions than any other cloud provider, with over 100 data centres located in over 50 regions around the world. We're quite proud that two of these data centres are located here in Canada, in Ontario and Quebec.
Protecting our customers and the wider community from cyber-threats is a responsibility we take very seriously. Microsoft continues to invest over $1 billion each year in security research and development, with thousands of global security professionals working with our threat intelligence centre, our digital crimes unit, and our cyber-defence operations centre. We work closely with the Government of Canada's recently announced Canadian Centre for Cyber Security. We have partnered with governments around the world under the government security program, working towards technical information exchanges, threat intelligence sharing and even co-operative botnet takedowns. Further, Microsoft led the Cybersecurity Tech Accord, signed by over 100 global organizations that came together to defend all customers everywhere from malicious cyber-attacks and to do more to keep the Internet safe.
(0845)
Ms. Marlene Floyd:
Microsoft was also proud to be a signatory to the Paris call for trust and security in cyberspace announced in November by French President Emmanuel Macron at the Paris peace summit. With over 500 signatories, it is the largest ever multi-stakeholder commitment to principles for the protection of cyberspace.
Another focus of your committee has been the increasing interference by bad actors in the democratic processes of numerous countries around the world. We fully agree that the tech sector needs to do more to help protect the democratic process. Earlier this week, we were pleased to endorse the Canada declaration on electoral integrity announced by Minister Gould.
Microsoft has taken action to help protect the integrity of our democratic processes and institutions. We have created the Defending Democracy program, which works with stakeholders in democratic countries to promote election integrity, campaign security and disinformation defence.
As part of this program, Microsoft offers a security service called AccountGuard at no cost to Office 365 customers in the political ecosystem. It is currently offered in 26 countries, including Canada, the U.S., the U.K., India, Ireland and most other EU countries. It's currently protecting over 36,000 email accounts. Microsoft AccountGuard identifies and warns individuals and organizations of cyber-threats, including attacks from nation-state actors. Since the launch of the program, it has made hundreds of threat notifications to participants.
We have also been using technology to ensure the resiliency of the voting process. Earlier this month, we announced ElectionGuard, a free, open-source software development kit aimed at making voting more secure by providing end-to-end verification of elections, opening results to third party organizations for secure validation, and allowing individual voters to confirm that their votes were counted correctly.
At Microsoft, we're working hard to ensure that we develop our technologies in ways that are human-centred and that allow for broad and fair access by everyone. The rapid advancement of compute power and the growth of AI solutions will help us be more productive in nearly every field of human endeavour and will lead to greater prosperity, but the challenges need to be addressed with a sense of shared responsibility. In some cases this means moving more slowly in the deployment of a full range of AI solutions while working thoughtfully and deliberately with government officials, academia and civil society.
We know that there is more that we need to do to continue earning trust, and we understand that we will be judged by our actions, not just our words. Microsoft is committed to continuing to work in deliberate and thoughtful partnership with government as we move forward in this digital world.
Thank you, and we're happy to receive your questions.
The Chair:
Thank you, Ms. Floyd.
We'll go next to Mr. Davidson from Mozilla.
Mr. Alan Davidson (Vice-President, Global Policy, Trust and Security, Mozilla Corporation):
Members of the grand committee and the standing committee, thank you.
I'm here today because all is not well with the Internet. For sure the open Internet is the most powerful communications medium we've ever seen. At its best, it creates new chances to learn to solve big problems to build a shared sense of humanity, and yet we've also seen the power of the Internet used to undermine trust, magnify divisiveness and violate privacy. We can do better, and I'm here to share a few ideas about how.
My name is Alan Davidson. I'm the vice-president for policy, trust and security at the Mozilla Corporation. Mozilla is a fairly unusual entity on the Internet. We're entirely owned by a non-profit, the Mozilla Foundation. We're a mission-driven open-source software company. We make the Firefox web browser, Pocket and other services.
At Mozilla we're dedicated to making the Internet healthier. For years we've been champions of openness and privacy online, not just as a slogan but as a central reason for being. We try to show by example how to create products to protect privacy. We build those products not just with our employees but with thousands of community contributors around the world.
At Mozilla we believe the Internet can be better. In my time today, I would like to cover three things: first, how privacy starts with good product design; second, the role of privacy regulation; and third, some of the content issues that you folks have been talking about for the last few days.
First off, we believe our industry can do a much better job of protecting privacy in our products. At Mozilla we're trying to do just that. Let me give you one example from our work on web tracking.
When people visit a news website, they expect to see ads from the publisher of that site, from the owner of that website. When visitors to the top news sites, at least in the U.S., visit, they encounter dozens of third party trackers, trackers from sites other than the one that they're visiting, sometimes as many as 30 or 40. Some of those trackers come from household names and some of them are totally obscure companies that most consumers have never heard of.
Regardless, the data collected by these trackers is creating real harm. It can enable divisive political ads. It can shape health insurance decisions and is being used to drive discrimination in housing and jobs. The next time you see a piece of misinformation online, ask yourself where the data came from that suggested that you would be such an inviting target for that misinformation.
At Mozilla we've set out to try to do something about tracking. We created something we call the Facebook container, which greatly limits what Facebook can collect from you when you're browsing on Firefox. It's now, by the way, one of the most popular extensions that we've ever built. Now we're building something called enhanced tracking protection. It's a major new feature in the Firefox browser that blocks almost all third party trackers. This is going to greatly limit the ability of companies that you don't know to secretly track you as you browse around the web.
We're rolling it out to more people, and our ultimate goal is to turn it on by default for everybody. I emphasize that because what we've learned is that creating products with privacy by default is a very powerful thing for users, along with efforts like our lean data practices, which we use to limit the data that we collect in our own product. It's an approach that we hope others adopt, because we've learned that it's really unrealistic to expect that users are going to sort through all of the privacy policies and all the different options that we can give them to protect themselves. To make privacy real, the burden needs to shift from consumers to companies. Unfortunately, not everybody in our industry believes that.
Let me turn to my second point, which is that we believe that regulation will be an essential part of protecting privacy online. The European Union has been a leader in this space. Many other companies around the world are now following suit and trying to build their own new data protection laws. That's important because the approach we've had for the last two decades in our industry is clearly not working anymore. We've really embraced in the past this notion of notice and choice: If we just tell people what we're going to collect and let them opt out, surely they'll be fine. What we found is that this approach is really not working for people. We've been proponents of these new data protection rules, and we hope you will be too.
We believe that a good privacy law should have three main components. It needs clear rules for companies about what they can collect and use; it should have strong rights for individuals, including granular and revocable consent about specific uses; and it should be implemented within an effective and empowered enforcement agency, which is not always the case. We think that's an important component. (0850)
Critically, we believe that you can build those laws and you can include those components while still preserving innovation and the beneficial uses of data. That's why we're supporting a new federal privacy law in the U.S. and we're working with regulators in India, Kenya and in other places to promote those laws.
My third point is that given the conversation you have all had for the last few days, I thought it would be useful to touch on at least some of our views on the big issues of content regulation. Of all the issues being examined by the committee, we believe that this is the most difficult.
We've seen that the incentives for many in the industry encourage the spread of misinformation and abuse, yet we also want to be sure that our reactions to those real harms do not themselves undermine the freedom of expression and innovation that have been such a positive force in people's lives on the Internet.
We've taken a couple of different approaches at Mozilla. We're working right now on something we call “accountability processes”. Rather than focusing on individual pieces of content, we should think about the kinds of processes that companies should have to build to attack those issues. We believe that this can be done with a principles-based approach. It's something that's tailored and proportionate to different companies' roles and sizes, so it won't disproportionately impact smaller companies, but it will give more responsibility to larger companies that play a bigger role in the ecosystem.
We've also been really engaged in the issues around disinformation, particularly in the lead-up to the EU parliamentary elections that just happened. We're signatories to the EU Code of Practice on Disinformation, which I think is a very important and useful self-regulatory initiative with commitments and principles to stop the spread of disinformation. For our part, we've tried to build tools in Firefox to help people resist online manipulation and make better choices about and understand better what they're seeing online.
We've also made some efforts to push our fellow code signatories to do more about transparency and political advertising. We think a lot more can be done there. Candidly, we've met with mixed results from some of our colleagues. I think there is much more room to improve the tools, particularly the tools that Facebook has put out there for ad transparency. There is maybe some work that Google could do, too. If we can't do that, the problem is that we'll need stronger action from government. Transparency should be a good starting point for us.
In conclusion, I'd say that none of these issues being examined by the committee are simple. The bad news is that the march of technology—with artificial intelligence, the rise of the Internet of things and augmented reality—is only going to make it harder.
A concluding thought is that we really need to think about how we build our societal capacity to grapple with these problems. For example, at Mozilla we've been part of something called the responsible computer science challenge, which is designed to help train the next generation of technologists to understand the ethical implications of what they're building. We support an effort in the U.S. to bring back the Office of Technology Assessment to build out government's capacity to better understand these issues and work more agilely. We're working to improve the diversity in our own company and our industry, which is essential if we're going to build capacity to address these issues. We publish something every year called the “Internet Health Report”, which just came out a couple of weeks ago. It's part of what we view as the massive project we all have to help educate the public so that they can address these issues.
These are just some of the examples and ideas we have about how to work across many different levels. It's designing better products, improving our public regulations and investing in our capacity to address these challenges in the future.
We really thank you for the opportunity to speak with you today and we look forward to working with you and your colleagues around the world to build a better Internet.
Thanks.
(0855)
The Chair:
Thank you, Mr. Davidson.
Last up, from Apple Inc., we have Erik Neuenschwander, please. You have 10 minutes.
Mr. Erik Neuenschwander (Manager of User Privacy, Apple Inc.):
Thank you.
Good morning, members of the committee, and thank you for inviting me to speak with you today about Apple's approach to privacy and data security.
My name is Erik Neuenschwander, and I've been a software engineer at Apple for 12 years. I worked as the first data analysis engineer on the first iPhone. I managed the software performance team on the first iPad, and I founded Apple's privacy engineering team. Today I manage that team responsible for the technical aspects of designing Apple's privacy features. I'm proud to work at a company that puts the customer first and builds great products that improve people's lives.
At Apple we believe that privacy is a fundamental human right, and it is essential to everything we do. That's why we engineer privacy and security into every one of our products and services. These architectural considerations go very deep, down to the very physical silicon of our devices. Every device we ship combines software, hardware and services designed to work together for maximum security and a transparent user experience. Today I look forward to discussing these key design elements with you, and I would also refer the committee to Apple's privacy website, which goes into far more detail about these and other design considerations in our products and services.
The iPhone has become an essential part of our lives. We use it to store an incredible amount of personal information: our conversations, our photos, our notes, our contacts, our calendars, financial information, our health data, even information about where we've been and where we are going. Our philosophy is that data belongs to the user. All that information needs to be protected from hackers and criminals who would steal it or use it without our knowledge or permission.
That is why encryption is essential to device security. Encryption tools have been offered in Apple's products for years, and the encryption technology built into today's iPhone is the best data security available to consumers. We intend to stay on that path, because we're firmly against making our customers' data vulnerable to attack.
By setting up a device passcode, a user automatically protects information on their device with encryption. A user's passcode isn't known to Apple, and in fact isn't stored anywhere on the device or on Apple's servers. Every time, it belongs to the user and the user alone. Every time a user types in their passcode, iPhone pairs that input with the unique identifier that iPhone fuses into its silicon during fabrication. iPhone creates a key from that pairing and attempts to decrypt the user's data with it. If the key works, then the passcode must have been correct. If it doesn't work, then the user must try again. We designed iPhone to protect this process using a specially designed secure enclave, a hardware-based key manager that is isolated from the main processor and provides an additional layer of security.
As we design products, we also challenge ourselves to collect as little customer data as possible. While we want your devices to know everything about you, we don't feel that we should.
For example, we've designed our hardware and software to work together to provide great features by efficiently processing data without that data ever leaving the user's device. When we do collect personal information, we are specific and transparent about how it will be used, because user control is essential to the design of our products. For example, we recently added a privacy icon that appears on Apple devices when personal information is collected. The user can tap on it to learn more about Apple's privacy practices in plain language.
We also use local differential privacy, a technique that enables Apple to learn about the user community without learning about individuals within that community. We have pioneered just-in-time notices, so that when third party apps seek to access certain types of data, a user is given meaningful choice and control over what information is collected and used. This means third party apps cannot access users' data like contacts, calendars, photos, the camera or the microphone without asking for and obtaining explicit user permission.
These and other design features are central to Apple. Customers expect Apple and other technology companies to do everything in our power to protect personal information. At Apple we are deeply committed to that because our customers' trust means everything to us. We spend a lot of time at Apple thinking about how we can provide our customers not only with transformative products, but also with trusted, safe and secure products. By building security and privacy into everything we do, we've proved that great experiences don't have to come at the expense of privacy and security. Instead, they can support them.
I'm honoured to participate in this important hearing. I look forward to answering your questions.
Thank you.
(0900)
The Chair:
Thank you, Mr. Neuenschwander.
We'll start with questions from committee members. My colleague Damian Collins will be here shortly. He regrets he had another thing to attend to.
We'll start with Mr. Erskine-Smith for five minutes.
Mr. Nathaniel Erskine-Smith (Beaches—East York, Lib.):
Thanks very much.
Thank you all for your presentations. I know Microsoft supports the GDPR and stronger privacy rules. Obviously, Tim Cook has been public in support of the GDPR. Amazon, do you also support the GDPR?
Mr. Mark Ryland:
We support the privacy principles of user control, consent and so forth. We think the actual legislation is new enough and creates some burdens that we don't think directly impact user privacy in a positive way. While we're fully compliant and fully supportive of the principles, we don't necessarily think it's something that should be applied universally at this point.
Mr. Nathaniel Erskine-Smith:
Support of the principles includes the principle of data minimization.
Mr. Mark Ryland:
Yes, as well as user control. That's really the key principle.
Mr. Nathaniel Erskine-Smith:
Microsoft, would you agree with the principle of data minimization?
Mr. John Weigelt:
Yes, we would.
Mr. Nathaniel Erskine-Smith:
Good.
With respect to consumer privacy protection, one way to better protect consumer privacy is to have additional opt-in consents that are explicit for secondary purposes. For example, with Amazon's Echo, California was proposing smart speaker rules that there would have to be opt-in consents for that information to be stored. Do you agree with those rules?
(0905)
Mr. Mark Ryland:
We believe that the user experience should be very smooth and clear, and that people's expectations should be very reasonably met. For example, with the Echo device, you use a mobile application to set up your device, and it makes it very clear what the privacy rules are.
Mr. Nathaniel Erskine-Smith:
Is there an explicit opt-in consent for recording of those conversations?
Mr. Mark Ryland:
It's not an explicit opt-in consent, but it makes it clear about the recordings and it gives you full control over the recordings. It gives a full list of recordings and the ability to delete any particular one, or all of them. It's a very explicit and clear user interface for that.
Mr. Nathaniel Erskine-Smith:
If the GDPR were in effect, there would be a requirement for explicit opt-in consent.
Mr. Mark Ryland:
Possibly. There may be legal rulings that we.... That's part of the issue. A lot of specifics are unclear until there are more regulatory or judicial findings about what the exact meaning of some of the general principles is.
Mr. Nathaniel Erskine-Smith:
Representative from Apple, does Apple engage in web tracking?
Mr. Erik Neuenschwander:
We don't have the kind of destinations around the Internet that do that kind of web tracking. Of course, with our online store, for example, we have a direct first-party relationship with users who visit our sites.
Mr. Nathaniel Erskine-Smith:
There's probably a reasonable expectation that when I visit the Apple site, I know that Apple's going to want to communicate with me afterwards, but if I'm visiting other non-related sites around the Internet, Apple wouldn't be tracking me.
Mr. Erik Neuenschwander:
We're not, and in fact our intelligent tracking prevention is on by default in our Safari web browser, so even if Apple were to attempt that, intelligent tracking prevention would seek to prevent it.
Mr. Nathaniel Erskine-Smith:
Microsoft and Amazon, are you similar to Apple, or do you engage in web tracking on a wide variety of websites across the Internet?
Mr. Mark Ryland:
We are involved in the web ecosystem, with the ability to understand where people have come from and where they're going from our site.
Again, our primary business model is selling products to customers, so that's not the way we monetize our business.
Mr. Nathaniel Erskine-Smith:
Was that a yes to web tracking, fairly broadly?
Mr. Mark Ryland:
We participate in the advertising ecosystem, so yes.
Mr. Nathaniel Erskine-Smith:
I think that's a yes.
Microsoft, would you comment?
Mr. John Weigelt:
We have our properties, as do the other communities. We have the Microsoft store and the MSN properties, so we are able to determine where our customers are coming from.
Mr. Nathaniel Erskine-Smith:
The reason I ask is that we had an individual yesterday talking about how consent in some cases isn't good enough, and in some cases, I understand that. I'm a reasonably busy person, so I can't be expected to read every agreement about terms and conditions; I can't be expected to read all of them. If secondary consents are in every single app I use and I have to agree to 10 different consents, am I really going to be able to protect my own personal information? I don't think we should expect that of consumers, which is why we have consumer protection law and implied warranties in other contexts.
McNamee yesterday suggested that some things should strictly be off the table. I put it to Google that maybe Google shouldn't be able to read my emails and target me based on ads—that should be off the table. Do you think, Apple, that certain things should just be off the table?
Mr. Erik Neuenschwander:
Yes, when we.... Our iCloud service is a place where users can store their photos or documents with Apple, and we are not mining that content to build profiles about our users. We consider it the user's data. We're storing it on our service, but it remains the user's data.
Mr. Nathaniel Erskine-Smith:
Similarly, Microsoft and Amazon: Do you think certain data collection should simply be off the table completely?
Mr. John Weigelt:
One of the things we feel strongly about is users having visibility into what data they have shared with particular organizations. We've worked very closely—I have personally worked very closely—with information privacy commissioners across Canada to talk about the consent environment and what consent means. As we rolled out tools like Cortana, for example, we worked with the federal Privacy Commissioner's office to understand which of the 12 stages of consent for consumers were particularly important.
Mr. Nathaniel Erskine-Smith:
But I'm suggesting that beyond consent, certain things be off the table. For example, my personal pictures on my phone—should those be able to be scanned, and then I get targeted ads?
Mr. John Weigelt:
To be clear, we don't scan that information—
Mr. Nathaniel Erskine-Smith:
Well, I know you don't—
Mr. John Weigelt:
—however, we do provide—
Mr. Nathaniel Erskine-Smith:
—but should certain things be off the table? That is my point.
Mr. John Weigelt:
—visibility to customers so that they understand where their data is being used and give them full control.
Our privacy dashboard, for example, allows you to see what data is resident within the Microsoft environment and then you're able to control that and be able to manage that in a better fashion. It's all about having that user interaction so that they understand the value proposition of being able to share those things.
Mr. Nathaniel Erskine-Smith:
Amazon, should certain things just be off the table?
Mr. Mark Ryland:
I don't think you can say, a priori, that certain things are always inappropriate, because again, the customer experience is key, and if people want to have a better customer experience based on data that they share.... Consent, obviously, and control are critical.
Mr. Nathaniel Erskine-Smith:
Let's take the case of kids under the age of 18, for example. Maybe we should not be able to collect information about kids under the age of 18, or under 16, or under 13.
Kids, let's say. Should that be off the table?
(0910)
Mr. Mark Ryland:
We're going to comply with all of the laws of the countries where we operate, if that is—
Mr. Nathaniel Erskine-Smith:
Are you saying you don't have a view on an ethical basis with respect to collecting information from kids?
Mr. Mark Ryland:
We certainly have a view that parents should be in charge of children's online experience, and we give parents the full control in our systems for that experience.
Mr. Nathaniel Erskine-Smith:
Thanks very much.
It's so hard to say yes.
The Chair:
We will go to Peter next, for five minutes.
Hon. Peter Kent (Thornhill, CPC):
Thank you, Chair.
Thanks to all of our witnesses for appearing today.
My first question is for Mr. Ryland at Amazon.
In September of last year, your vice-president and associate general counsel for Amazon, Mr. DeVore, testified before a U.S. Senate committee and was very critical, I think it's fair to say, of the California consumer act that was passed.
Among the new consumer rights in that act that he was critical of was the right for users to know all of the business data that is collected about a user and the right to say no to the sale of that business data. It provides, in California, the right to opt out of the sale of that data to third parties. He said the act was enacted too quickly and that the definition of personal information was too broad.
I wonder if you could help us today by giving us Amazon's definition of protectable personal information.
Mr. Mark Ryland:
First of all, let me say that I work in Amazon web services on our security and privacy of our cloud platform. I'm not a deep expert broadly across all of our privacy policies.
However, I will say that certain elements of consumer data are used in the core parts of business. For example, if we sell a product to a customer, we need to track some of that data for tax purposes and for other legal purposes, so it's impossible to say that a consumer has complete control over certain things. There are other legal reasons that data must sometimes be retained, for example.
Hon. Peter Kent:
Have you had any users request or ask about the user data that has been collected about them and whether it has been sold?
Mr. Mark Ryland:
Yes, absolutely.
First of all, we do not sell our customer data. Full stop.
Second, we have a privacy page that shows you all the data we have accumulated about you—your order history, digital orders, book orders, etc. We have a whole privacy page for our Alexa Voice Service. All that gives users control and insight into the data we're utilizing.
Hon. Peter Kent:
Then despite Mr. DeVore's criticism, Amazon is complying with the California act and, I would assume, would comply with any other legislation passed anywhere in the world that was similar.
Mr. Mark Ryland:
We will always comply with the laws that apply to us wherever we do business. Absolutely.
Hon. Peter Kent:
Thank you.
I'd like to ask a question now to Mr. Davidson about Mozilla.
I know that Mozilla, with all of its good practices and its non-profit public benefit mandate, does work with Google and with Bing. I'm just wondering how you establish firewalls for user data accumulation that those two organizations would otherwise collect and monetize.
Mr. Alan Davidson:
It's a great question. It's pretty simple for us. We just don't send data to them beyond what they would normally get from a visitor who visits their website—the IP address, for example, when a visitor comes and visits them.
We make a practice of not collecting any information. If you're using Firefox and you do a search on Bing or on Google, we don't collect anything, we don't retain anything and we don't transmit anything special. That has allowed us to distance ourselves, honestly, and we have no financial incentive to collect that information.
Hon. Peter Kent:
I have a question for Mr. Neuenschwander.
In September of last year, the news broke that the Mac application Adware Doctor, which was supposed to protect Apple users from privacy threats, was in fact recording those users' data and delivering them to a server in China. Apple shut that down, but for how long was that exposure up? Have you determined who exactly was operating that server in China?
Mr. Erik Neuenschwander:
I remember that event and the action the App Store team took on it. Off the top of my head, I don't remember exactly the exposure. I'd be happy to go back and look up that information and get back to you with it.
(0915)
Hon. Peter Kent:
You're unaware of how long the exposure—
Mr. Erik Neuenschwander:
At this time, I don't remember exactly how long that exposure was.
Hon. Peter Kent:
This was, I understand, a very popular Mac application. How thoroughly do you research those applications in the reasonable capitalist rush to monetize new wonders?
Mr. Erik Neuenschwander:
For applications that are free on the store, there's no monetization for Apple in the App Store.
Since we introduced the App Store, we've had both a manual review and, in more recent years, added an automated review of every application that's submitted to the store, and then for every update of the applications on the store. Those applications undergo a review by a dedicated team of experts on the App Store side.
There is a limit that we don't go past, which is that we don't surveil our users' usage of the applications. Once the application is executing on a user's device, for that user's privacy we don't go further and take a look at the network traffic or the data that the user is sending. That would seem creepy to us.
We continue to invest on the App Store side to try to have as strong a review as we can. As applications and their behaviours change, we continue to enhance our review to capture behaviours that don't match our strong privacy policies on the stores.
Hon. Peter Kent:
For Microsoft and Ms. Floyd, in 2013 the European Commission fined Microsoft in the amount of some €561 million for non-compliance with browser choice commitments. There doesn't seem to have been any violation since. Does that sort of substantial fine teach lessons? We're told that even hundreds of millions of dollars or hundreds of millions of euros—even into the billion-dollar mark—don't discourage the large digital companies. I'm wondering about compliance and the encouragement to compliance by substantial financial penalties, which we don't have in Canada at the moment.
Mr. John Weigelt:
As we mentioned, trust is the foundation of our business. Any time there's a negative finding against our organization, we find that the trust is eroded, and it ripples throughout the organization, not only from the consumer side but also on the enterprise side.
That fine was substantive, and we addressed the findings by changing how we deliver our products within the marketplace, providing the choice to have products without that browser in place.
When we look at order-making powers here in Canada or whatnot, we can see that having that negative finding will really impact the business far more broadly than some of those monetary fines.
Hon. Peter Kent:
Would you encourage the Canadian government to stiffen its regulations and penalties for non-compliance with privacy protection?
Mr. John Weigelt:
I would encourage the Canadian government to have the voice you have around how technologies are delivered within the Canadian context. We have people here locally who are there to hear that and change the way we deliver our services.
Hon. Peter Kent:
Thank you.
The Chair:
Go ahead, Mr. Angus, for five minutes.
Mr. Charlie Angus (Timmins—James Bay, NDP):
Thank you, Mr. Chair.
I was talking to my friend at Apple about how I bought my first Mac Plus in 1984 with a little 350k floppy disk, and I saw it as a revolutionary tool that was going to change the world for the better. I still think it has changed the world for the better, but we are seeing some really negative impacts.
Now that I'm aging myself, back in the eighties, imagine if Bell Telephone listened in on my phone. They would be charged. What if they said, “Hey, we're just listening in on your phone because we want to offer you some really nifty ideas, and we'll have a better way to serve you if we know what you're doing”? What if the post office read my mail before I got it, not because they were doing anything illegal but because there might be some really cool things that I might want to know and they would be able to help me? They would be charged.
Yet in the digital realm, we're now dealing with companies that are giving us all these nifty options. This was where my colleague Mr. Erskine-Smith was trying to get some straight answers.
I think that as legislators, we're really moving beyond this talk about consent. Consent has become meaningless if we are being spied on, if we're being watched and if our phone is tracking us. Consent is becoming a bogus term, because it's about claiming space in our lives that we have not given. If we had old school rules, you would not be able to listen in on our phones and not be able to track us without our rights, yet suddenly it's okay in the digital realm.
Mr. Davidson, I'm really interested in the work that Mozilla does.
Is it possible, do you think, for legislators to put some principled ground rules down about the privacy rights of citizens that will not completely destroy Silicon Valley and they will not all be going on welfare and the business model will still be able to succeed. Is it possible for us to put simple rules down?
(0920)
Mr. Alan Davidson:
Yes.
I can say more.
Mr. Charlie Angus:
Say more.
Mr. Alan Davidson:
I think that actually—
Mr. Charlie Angus:
I love it when someone agrees with me.
Mr. Alan Davidson:
We were looking for some yeses.
You've heard examples already. We firmly believe that you can build good and profitable businesses and still respect people's privacy. You've heard some examples today. You've heard some examples from us. You can see good examples of laws that are out there, including the GDPR.
There are things that are probably beyond the pale, for which we need to have either clear prohibitions or really strong safeguards. I would say that I wouldn't totally reject consent. What we need is more granular consent, because I think people don't really understand—
Mr. Charlie Angus:
Explicit consent.
Mr. Alan Davidson:
—explicit consent.
There are lots of different ways to frame it, but there is a more granular kind of explicit consent. That's because there will be times when some people will want to take advantage of health apps or sharing their location with folks and with their family. They should be able to do that, but they should really understand what they're getting themselves into.
We believe that you can still build businesses that do that.
Mr. Charlie Angus:
Thank you.
Some of the concerns we've been looking at are in trying to get our heads around AI. This is the weaponization of digital media. AI could have a very positive role, or it could have a very negative role.
Mr. Ryland, certainly Amazon has really moved heavily in terms of AI. However, Amazon has also been noted as a company with 21st century innovation and 19th century labour practices.
With regard to the allegations that workers were being monitored right down to the level of being fired by AI tracking, is that the policy of Amazon?
Mr. Mark Ryland:
Certainly our policy is to respect the dignity of our workforce and to treat everyone in a proper fashion.
I don't know the specifics of that allegation, but I'd be happy to get back to you with more information.
Mr. Charlie Angus:
It was a pretty famous article about Amazon. It said that right down to the seconds, the workers were being monitored by AI, and those who were too slow were being fired.
I may be old school, but I would think that this would be illegal under the labour laws in our country. That is apparently how AI is being used in the fulfillment centres. That, to me, is a very problematic misuse of AI. Are you not aware of that?
Mr. Mark Ryland:
I'm not aware of that, and I'm almost certain that there would be human review of any decisions. There's no way we would make a decision like that without at least some kind of human review of machine-learning types of algorithms.
Mr. Charlie Angus:
It was a pretty damning article, and it was covered in many international papers.
Would you be able to get back to our committee and get us a response?
Mr. Mark Ryland:
I would be happy to follow up with that.
Mr. Charlie Angus:
I don't want to put you on the spot here, but I'd rather get a response on this. I think we would certainly want to get a sense of Amazon's perspective on how it uses AI in terms of the monitoring of the workers within the fulfillment centres. If you could get that to our committee, it would be very helpful.
Mr. Mark Ryland:
I will do that.
The Chair:
Thank you, Mr. Angus.
We'll go next to our delegation.
We'll start off with Singapore.
Go ahead, for five minutes.
Ms. Sun Xueling (Senior Parliamentary Secretary, Ministry of Home Affairs and Ministry of National Development, Parliament of Singapore):
Thank you, Mr. Chair.
I have some questions for Mr. Alan Davidson.
I was reading the Mozilla Manifesto with interest. I guess I had some time. I think there are 10 principles in your manifesto. Specifically on principle 9, it reads that “Commercial involvement in the development of the internet brings many benefits; a balance between commercial [benefit] and public benefit is critical.”
That's what principle 9 says.
Would you agree, then, that tech companies, even with the desire for growth and profitability, should not abdicate their responsibility to safeguard against abuse of their platforms?
Mr. Alan Davidson:
We absolutely agree with that. I would say that the manifesto, for those who haven't seen it, is really like our guiding principles. It was written almost 15 years ago. We just updated it with a new set of things we've added on to it to respond to modern times.
We think, yes, that balance is really important, and I think companies need to be thinking about the implications of what they're building. I also think government needs to put guardrails around it, because what we've seen is that not all companies will do that. Some companies need guidance.
Ms. Sun Xueling:
Also, I think there was an Internet health report that Mozilla Foundation put out, and I'd like to thank your organization, a non-profit working for the public benefit. I think the Cambridge Analytica scandal was referred to, and your report says that the scandal is a symptom of a much larger systemic issue, that the dominant business model and currency of today's digital world is actually based on gathering and selling data about us.
Would you agree, then, that the Cambridge Analytica scandal somehow demonstrates a mindset whereby the pursuit of profit and the pursuit for company growth had somewhat been prioritized over civic responsibility?
(0925)
Mr. Alan Davidson:
Yes, but our hope is that some of those are isolated instances. I would just say that not every company operates that way. There are, I think, companies that are trying to do the right thing for the user, trying to put their users first, and it's not just for altruistic purposes; I think it's because many of us believe that you build a better business and in the long term should be rewarded in the market if you put your users first.
Ms. Sun Xueling:
We also heard testimony yesterday. I think many of the grand committee members had spoken with businesses who talked about examples around Sri Lanka or Nancy Pelosi. It seemed that it was more about putting information out there, freedom of reach rather than real protection of freedom of speech, because there's no real freedom of speech if it is founded on false information or misleading information.
While we like to think that the Cambridge Analytica scandal is a one-off, I think our concern is that the existing business models of these corporate entities do not seem to give us the confidence that civic responsibility would be seen in the same light as company profits. I think that's where I'm coming from.
Mr. Alan Davidson:
As somebody who has been in this space for a long time, it is really disappointing to see some of those behaviours online. I do think that part of it has been the evolution of these business models, especially the ones that reward engagement as a major overriding metric. Our hope is that companies will do more and do better.
There is a risk in too much government intervention in this space, because we do want to make sure that we respect free expression. When governments are making strong choices about what is true and not true online, there's a lot of risk there. I think there's a serious balance needed there, and I think the starting point is using this bully pulpit to really push companies to do better. That is the right starting point. Hopefully that is effective.
Ms. Sun Xueling:
Yes. Thank you.
The Chair:
We'll go next to our Ireland delegation and Ms. Naughton.
Ms. Hildegarde Naughton (Chair, Joint Committee on Communications, Climate Action and Environment, Houses of the Oireachtas):
Thank you. Thank you all for coming before us this morning.
My first question is to Amazon. Last November, on Black Friday, I understand there were technical issues. Many of the customers' names and emails appeared on your website. Is that correct?
Mr. Mark Ryland:
No, that's not correct.
Ms. Hildegarde Naughton:
No? Okay. I thought there was some reporting in relation to that. Were there some technical issues last November?
Mr. Mark Ryland:
It doesn't sound familiar to me at all, but I'd be happy to double-check. No, I'm not familiar with that.
Ms. Hildegarde Naughton:
In relation to GDPR and data protection, from what my colleagues asked you earlier, you're saying you would be in favour of some form of GDPR being rolled out globally.
Mr. Mark Ryland:
Again, we believe that the principles of consumer trust—putting customers first, giving them control over their data and getting their consent for usage of data—make sense. The specific ways in which that is done and the amount of record-keeping and the bureaucracy involved sometimes seem to outweigh the benefit to consumers, so we really think we need to work together as a community to find a right balance that's not too onerous.
For example, a large company like ours might be able to comply with a very onerous regulation that's very expensive to implement, but a small business might not. We have to find ways in which those principles can be implemented in a way that's efficient and relatively simple and straightforward.
Yes, we definitely support the principles behind GDPR. We think the actual legislation is still a bit of a work in progress, in the sense that we don't know exactly what the meaning of some of the legislation will be once it gets to the regulatory or judicial level—what exactly constitutes reasonable care, for example, on the part of a company.
Ms. Hildegarde Naughton:
Okay, so are you open to that, or maybe to a different version of it across the world?
Mr. Mark Ryland:
Yes.
Ms. Hildegarde Naughton:
As you know, in the GDPR as it's currently working, there are those obstacles for some companies, but that has been worked through across the European Union.
Mr. Mark Ryland:
Yes.
Ms. Hildegarde Naughton:
I suppose you're waiting to see how that works out—
Mr. Mark Ryland:
We think there will be a lot of good learnings from that experience. We can do better in the future, whether it's in Europe or in other places, but again, the principles make sense.
(0930)
Ms. Hildegarde Naughton:
Okay.
This is a question for Microsoft: Earlier this year, I understand a hacker compromised the account of a Microsoft support agent. Is that correct?
Mr. John Weigelt:
That's correct. There was a disclosure of credentials.
Ms. Hildegarde Naughton:
I understand at the time Microsoft was saying there was a possibility the hacker accessed and viewed the content of some Outlook users. Did that actually happen? Did they access the content of Microsoft users?
Mr. John Weigelt:
Having that access from the support side gave them the possibility to be able to do so.
Ms. Hildegarde Naughton:
How was it that a hacker was able to, I suppose, compromise your own security or data security features?
Mr. John Weigelt:
That whole environment is an end-to-end trust-type model, so all you have to find is the weakest chain in the link. In this case, it was unfortunate that the administrative worker had a password that the hacker community was able to guess to get into that system.
Ms. Hildegarde Naughton:
What have you done to ensure this doesn't happen again? It seems like kind of a basic breach of data security for your users.
Mr. John Weigelt:
Absolutely. Any time there's an incident within our environment, we bring the Microsoft security response team together with our engineering teams to see how we can do better. We took a look at the environment to see what happened and to make sure we could put in place tools such as multi-factor controls, which would require two things to log in—something you know, something you have. We've been looking at things like two-person controls and tools like that, so that we can ensure we maintain our customers' trust and confidence.
Ms. Hildegarde Naughton:
You're on record for having put these changes in place. Have you had a report? Did you do a report in relation to how many users' information was accessed, or the content?
Mr. John Weigelt:
We'd have to come back to the committee on the report and its findings. I'm not aware of that report. I had not searched it out myself.
Ms. Hildegarde Naughton:
Okay.
In relation to the measures taken following that.... Again, this is about the trust of users online and what your company has done. Would it be possible to get feedback about that?
Mr. John Weigelt:
Absolutely.
Ms. Hildegarde Naughton:
Thank you.
The Vice-Chair (Mr. Nathaniel Erskine-Smith (Beaches—East York, Lib.)):
You have another minute.
Mr. James Lawless (Member, Joint Committee on Communications, Climate Action and Environment, Houses of the Oireachtas):
Thank you, Chair.
To Amazon, first of all, Is Alexa listening? I guess it is. What's it doing with that information?
Mr. Mark Ryland:
Alexa is listening for a keyword, the wake word, which alerts the system that you want to interact with it in some fashion. That information is not locally stored. There's nothing stored locally on the device. Once the keyword is recognized, it follows that. There's a light on the device that tells you that the device is now active, and the subsequent sound in the room is then streamed to the cloud.
The first thing the cloud does is to double-check the wake word. The software on the device often isn't sophisticated, so it occasionally makes mistakes. The cloud will then recognize that it wasn't a wake word, and then it will shut off the stream. However, if the cloud confirms that the wake word was used, that stream is then taken through a natural language processing system, which essentially produces a text output of it. From there, the systems take the next action that the user was asking for.
Mr. James Lawless:
Okay.
Is that information used by Amazon for profiling and/or marketing?
Mr. Mark Ryland:
That information becomes part of your account information, just as it would if you were buying books on our website. Therefore, it could influence what we present to you as other things you might be interested in.
Mr. James Lawless:
Okay.
Mr. Mark Ryland:
It's not passed to any third party. It's not used for advertising purposes and so forth.
Mr. James Lawless:
Okay, but if you've asked about the weather in Bermuda and then you go on the Amazon website, you might be pitched a holiday book guide for Bermuda. Is that possible?
Mr. Mark Ryland:
It's theoretically possible, yes. I don't know if that actual algorithm is there.
Mr. James Lawless:
Is it likely?
Mr. Mark Ryland:
I don't know. I'd have to get back to you on that.
Mr. James Lawless:
Okay, but it is actually using the queries, which Alexa processes, to be of profit to the user. This could be used to make intelligent marketing pitches on the platform, yes?
Mr. Mark Ryland:
This is because the user directly ties the device to their account and they have full visibility into the utterances. You can see a full list of what you've said and you can delete any one of those. Those will immediately get removed from the database and would not be the basis for a recommendation.
Mr. James Lawless:
Do users consent to that when they sign up? Is that part of the terms and conditions?
Mr. Mark Ryland:
I think it's very clear. The consent is part of the experience. To take a colloquial example, I haven't explicitly consented to my voice and video being recorded here today, but I understand from the context that it's probably happening. We believe that simple consumer experiences are best. We think our customers understand that for the service to work the way it's supposed to work, we are accumulating data about them—
The Vice-Chair (Mr. Nathaniel Erskine-Smith):
Thanks.
Mr. Mark Ryland:
—and we make it really, really easy to delete and to control that data.
(0935)
The Vice-Chair (Mr. Nathaniel Erskine-Smith):
Thanks very much, although you may have a better understanding of what's going on today than most users of Alexa.
Mr. Charlie Angus:
I'm sorry, Chair, but can I just make a point of order?
I want us to be really clear. When you're speaking before a committee, that's like speaking before a court. It's not about your consent to be recorded or that you think you may be recorded. This is a legal parliamentary process, so of course you're being recorded. To suggest that it's the same as Alexa selling you a thing in Barbados is ridiculous, and it undermines our Parliament.
I would just remind the witnesses that we are here to document for the international legislative community, and this will be on an official record.
The Vice-Chair (Mr. Nathaniel Erskine-Smith):
Thanks, Charlie.
We'll go to David for five minutes.
Mr. David de Burgh Graham (Laurentides—Labelle, Lib.):
Thank you. I'll start with Microsoft.
The Microsoft ecosystem is quite large, as you know. You have the majority of the world's desktops, with Office 365, LinkedIn, Bing, Skype, MSN, Live.com, Hotmail and so on. You obviously have the ability to collect a tremendous amount of data on a tremendous number of people. Can you assure me that there's no data about individuals interchanged between any of the different platforms?
Mr. John Weigelt:
Do you mean data between, let's say, an Xbox user and your Office 365 type of user? Is that the type of question?
Mr. David de Burgh Graham:
Yes, or LinkedIn and Bing. We heard quite a bit in the first couple of days of this committee about the creation of avatars of users of different companies. Does Microsoft create an avatar of their users? Does it create an impression of who is using their services?
Mr. John Weigelt:
What we see is that if you have a common Microsoft account, that allows you to maintain and manage your data across those properties. The Bing product team would not necessarily go directly from the Xbox team and back and forth for the data that's required. You are in control of your data that's in the centre.
Mr. David de Burgh Graham:
My question was whether there is an interchange of the data between the services. You have your common log-in, but once you've gone past the log-in, you can go to different databases. Do the databases interact?
Mr. John Weigelt:
Again, across all the different platforms, I would have to look at each individual scenario that's done there to say largely that there's no data exchange across....
Mr. David de Burgh Graham:
Okay.
You recently bought GitHub, an open-source company, which I thought was pretty interesting. Why?
Mr. John Weigelt:
We recognize that the open-source community is a very vibrant community with a great development model. That open dialogue, that open discussion, has gone beyond simply the software conversation to broader projects. We saw that as an opportunity for us to help engage with that community.
In the past, you've seen that there was almost this animosity between ourselves and the open-source community. We've really embraced the concept of open source and concepts of open data to be able to help bring better innovation to the marketplace.
Mr. David de Burgh Graham:
I come from the open-source community, so I can relate to that comment.
I'd like to speak to Mozilla for a second.
You talked about enhanced tracking protections. Would you describe tracking and anti-tracking as an arms race?
Mr. Alan Davidson:
Unfortunately, yes. I think we are very clear-eyed about the fact that we will build this set of tracking protections. We think they provide real value. I'll give a shout-out to our friends at Apple. They're doing something similar with Safari that's really good.
The trackers will find other ways to get around this, and we'll have to build new tools. I think this is going to be an ongoing thing for some time, which is unfortunate for users, but it is an example of how we can do things to protect users.
Mr. David de Burgh Graham:
Understood.
To go to Apple for a second, there was recently the sensor ID hack that was patched in 12.2 of iOS—I'm not familiar with it—that permitted any website anywhere in the world to track any iPhone and most Android devices based on sensory calibration data. You're probably familiar with this.
Mr. Erik Neuenschwander:
Yes, it's the fingerprinting issue.
Mr. David de Burgh Graham:
Yes, the fingerprinting issue. Can you tell us more about this, how it was used and if it is truly prevented now in iOS 12.2?
Mr. Erik Neuenschwander:
First, I'll step back, I think, to explain a bit of the context. When we're talking about, say, tracking, there can be some technologies that are explicitly for tracking, such as cookies. One of the evolutions we've seen is the development of what we call a synthetic fingerprint. It's just a unique digital number that is synthesized by a third party, probably to attempt to track. It can also be used for anti-fraud and some other reasons, but certainly it is fit for the purposes of tracking.
You're right. Some researchers, by looking at variations in sensor manufacture, identified that there was the ability to try to synthesize one of these unique identifiers. Fingerprinting, much like anti-tracking, is going to be something that will continually evolve and that we're committed to staying in front of. When you ask how it was used, I don't have any data that it was used at all, but I also can't assure you that it was not.
We introduced a number of mitigations in our most recent update, which the researchers have confirmed have blocked their version of the attack, but again, I'd put this in the context of fingerprinting being an evolving area, so I choose my word “mitigations” also carefully. Without actually removing sensors out of the device, there will continue to be a risk there. We're also going to continue to work to mitigate that risk and stay on top of it.
(0940)
Mr. David de Burgh Graham:
I have only about 20 seconds left. I have one more question for Apple.
On iOS, when you switch between applications, one application suspends and the next one opens. When you come back to the original application, if it's been more than a few seconds, it will reload the data. Is that not providing ample tracking opportunity to any website you're on, by saying that this is the usage of the device? I find it strange to have to do that, instead of storing the content that you're actually using.
Mr. Erik Neuenschwander:
I'll split that into two parts, I guess.
One, when the application gains the foreground and is able to execute, they can reload the content, if they see fit to reload the content. At that point, you've transferred control to that application, and it will be able to execute and reload, if you'd like.
It's our goal, actually, to minimize those reloads as part of the user experience. It's also our goal that the application currently in the foreground should get, within a sandbox, within a set of limitations we have, the maximum execution and other resources of the device. This can mean that the operating system will remove some of the resources of background applications.
In terms of the reloading that you're seeing, iOS, our operating system, could contribute to that, but fundamentally, regardless of what resources are preserved for that background application, when you transition back to an app, it has execution control and it can reload if it sees fit.
Mr. David de Burgh Graham:
Thank you.
The Chair:
Thank you, Mr. Graham.
We'll go to my co-chair, Mr. Collins.
Go ahead with your opening comments. It's good to have you back.
Mr. Damian Collins (Chair, Digital, Culture, Media and Sport Committee, United Kingdom House of Commons):
Thank you.
My apologies, since the other U.K. representatives and I were not here for the start of the session, but we're delighted to see all of the witnesses here on the panel.
We had focused yesterday on some of the social media platforms, but I think our interests are much broader, looking at a range of technology companies.
I wonder if I could start with a couple of questions first for Apple.
As I came in, there was a discussion about data collected about voice. Could you tell me a little bit about the sort of data Apple collects in terms of sound captured by its devices? With smart devices, are the devices capturing ambient background sound to gain an understanding of the users—maybe the environment they're in or what they're doing when they're using the device?
Mr. Erik Neuenschwander:
In terms of the information on our devices that support Siri, there is a part of the device that is constantly listening. On some of our devices we've isolated it beyond even iOS, beyond our operating system, into a dedicated coprocessor, basically a specialized piece of hardware, which is not recording or storing that information but is listening only for the wake-up word to trigger our personal assistant, so that information isn't retained on the device.
Further to the point of your question, it isn't being collected into any sort of derived profile to identify something about the users' behaviour or interests. No.
Mr. Damian Collins:
Is it collecting information about the environment they're in at the moment? Let's say, for example, I was commuting to work and I was on the bus. Would it pick up that sort of ambient sound?
Mr. Erik Neuenschwander:
It's not collecting it all. There's what we call a “ring buffer”. There's basically a short period that is transiently recorded to analyze for that wake-up word, and then it's continually overwritten as time progresses. There isn't any collection for more than just the ephemeral milliseconds of being able to listen for that wake-up word.
Mr. Damian Collins:
The only purpose of the listening is for a command to Siri.
Mr. Erik Neuenschwander:
That's correct. Yes.
Mr. Damian Collins:
For product development or training purposes, is any of that information retained by the company?
Mr. Erik Neuenschwander:
Again, it's not even retained by the device. As it's transiently listening, it's being continually overwritten. When the user uses a wake-up word, there is some machine learning that happens on the device as it adapts the audio model to the speaker to reduce the number of false positives or false negatives for that wake-up word. Then if the user is using Siri, at the point Siri is woken up and being communicated with, that is the initiation of transmission of data to Apple.
Mr. Damian Collins:
What would the scope of that data be?
Mr. Erik Neuenschwander:
The scope of the data is the utterance until it reaches a termination point and Siri thinks the user has stopped talking, along with information like the device model to tailor the response back to the device and a random device-generated identifier, which is the key to the data that is held by Siri for purposes of your interactions with Siri. This is an identifier that is separate from your Apple ID and not associated with any other account or services at Apple.
Mr. Damian Collins:
Would Apple keep a record of the sort of things I've asked Siri about, the commands I've given?
Mr. Erik Neuenschwander:
Yes.
(0945)
Mr. Damian Collins:
Is that used by the company, or is that just used to inform the response to my device?
Mr. Erik Neuenschwander:
I guess the second part is a form of use by the company. Yes, we use it for Siri, and for Siri purposes alone.
Mr. Damian Collins:
To get at what the Siri purposes are, are the Siri purposes just actually making Siri more responsive to my voice—
Mr. Erik Neuenschwander:
Yes.
Mr. Damian Collins:
—or is the data kept by the company to understand what sorts of things people ask? Do you have metadata profiles of people based on how they use Siri?
Mr. Erik Neuenschwander:
The only metadata profile that we have is one that is used to tailor your actual interactions with Siri. For example, we are training our voice models to do natural language recognition on the sound profile. This is really just within the Siri business or the Siri experience. If your question is whether it informs some broader profile used by the company to market products and services, the answer is no.
Mr. Damian Collins:
Mark Ryland, does Amazon do that?
I'd be interested to know the difference between how Amazon uses data gathered from voice compared to how Apple does. There was a recent case of a user who actually put in a request for data that Amazon held. That included a series of voice recordings from their home that the company was apparently using for training purposes. I'm interested in how Amazon gathers data from voice and how it uses it.
Mr. Mark Ryland:
Similarly, the device listens for a wake-up word. It doesn't store any of that ambient data. Once it's awakened, it will begin to stream data to the cloud to do analysis of what the user is actually requesting. That data is stored; it's explicit in the user's profile, and they can see all the utterances. They can see what Alexa thought they said; they can actually see the text that it was translated into. It also gives them some understanding of where there may be some communication issues, and so forth.
They have the ability to delete that data, either individually or collectively. We use the data just as we would use data with other interactions with that person's account. It's part of their Amazon account. It's part of how they interact with our overall platform.
Mr. Damian Collins:
The representative from Apple has said that the device is constantly listening, but only for the Siri command. It would appear that if you have an Alexa device in your home, that is different. The device is always listening and it is actually retaining in the cloud the things it has heard.
Mr. Mark Ryland:
No. It's very similar. We're retaining the utterances after the wake word. It is just like Siri in that regard.
Mr. Damian Collins:
I know from my own personal experience that Alexa responds to commands other than the wake word. It might be triggered by something it has heard in the room that's not necessarily the wake command.
Mr. Mark Ryland:
That sounds like a malfunction to me. It's not supposed to respond randomly to ambient sounds.
Mr. Damian Collins:
Roger McNamee, who gave evidence to us yesterday, discussed how he put his Alexa in a box after the first day he got it because Alexa starting interacting with an Amazon TV commercial. I think most people who have these devices know that all sorts of things can set them off. It's not just the Alexa command or the wake word.
Mr. Mark Ryland:
Well, we're certainly constantly working to refine the technology and make sure the wake word is the way by which people interact with the device.
Mr. Damian Collins:
If you were retaining data from the device that is based on things that it's heard and is then retained in the cloud—which seems to be different from what Apple does—are you saying that it's only sound data that is based on commands that Alexa has been given?
Mr. Mark Ryland:
Yes. It's only the data that is in response to the user's attempt to interact with Alexa, which is based on the wake word.
Mr. Damian Collins:
Would Amazon be in a position to respond to a police request for data or information about a crime that may have been committed in a domestic setting based on sound picked up from Alexa?
Mr. Mark Ryland:
We happily obey the laws of all the countries in which we operate. If there is a binding legal order that's reasonable in scope and so forth, then we will respond to that appropriately.
Mr. Damian Collins:
That would suggest you're retaining more data than just simply commands to Alexa.
Mr. Mark Ryland:
No, the only thing we could respond with is the information that I just described, which are the responses that come from the user once they've awakened the device. There's no storage of ambient sound in the environment.
Mr. Damian Collins:
You're saying that when someone gives the wake word to the device, then the command they've given—their dialogue with Alexa, if you like—is retained?
Mr. Mark Ryland:
That is correct.
Mr. Damian Collins:
You're saying that unless the wake word is given, the device isn't triggered and it doesn't collect ambient data.
Mr. Mark Ryland:
That is correct.
Mr. Damian Collins:
Okay.
I'm interested in the data case I referenced earlier. The concern there seemed to be that ambient sound was being kept and recorded and the company was using it for training purposes.
Mr. Mark Ryland:
No. The reference to training is simply that we improve our natural language processing models using the data that the customers give to us through their interaction with the device. It's not at all based on ambient sound.
(0950)
Mr. Damian Collins:
It would seem that all of their commands to Alexa that are triggered by the wake word are being retained by the company in the cloud. Do you think your users are aware of that?
Mr. Mark Ryland:
I think so. In my experience with using a mobile device to set up the device at home, I immediately noticed that there is a history icon, essentially, where I can go and see all my interaction with the system.
Mr. Damian Collins:
I don't remember reading that anywhere. Maybe it's in the huge sort of War and Peace-like terms and conditions that are attached to the device.
I think that although it may be the same as using any other kind of search function, the fact is that he was talking to a computer, and I'm not sure users are aware that this information is stored indefinitely. I did not know that was being done. I had no idea how you'd go about identifying that. I'm slightly intrigued as well that you can, in fact, see a transcript of what you've asked Alexa.
Mr. Mark Ryland:
Yes, absolutely. It's in the mobile app, on the website and on the Alexa privacy page that you can see all of your interactions. You can see what the transcription system believed you said, and so forth.
Mr. Damian Collins:
Presumably all of that is merged into a bucket of data that Amazon holds about me in terms of my purchasing habits and other things as well.
Mr. Mark Ryland:
It's part of your account data.
Mr. Damian Collins:
It's a lot of data.
The Chair:
Mr. Davidson wants to respond.
Mr. Alan Davidson:
I wanted to jump in to just say that I think this also highlights the problem we've been talking about with consent.
I'm a loyal Amazon Echo user. They've done a wonderful thing by putting this up. A couple of weeks ago, I went with my family, and we saw the data that was stored, but I have to say it is....
I'm a total privacy nut. I read all this stuff that you get, and I was shocked, honestly, and my family was shocked to see these recordings about us and our young children from years ago that are stored in the cloud. It's not to say that something was done wrongly or unlawfully. I think it's wonderful to see this kind of level of transparency, but users have no idea it's there. I think that many users have just no idea that this data is out there, and they don't know how it's going to be used in the future either.
I think that as an industry, we need to do a much better job of giving people better granular consent about this, or better information about it.
The Chair:
Yes.
Mr. Alan Davidson:
I don't mean to pick on Amazon; it's a wonderful product.
The Chair:
We'll move on next to Mr. Gourde.
I see a lot of hands going up. There's going to be lots of time for everybody today.
Go ahead, Mr. Gourde, for five minutes.
[Translation]
Mr. Jacques Gourde (Lévis—Lotbinière, CPC):
Thank you, Mr. Chair.
My question will focus on a more technical subject.
You, and especially Amazon and other similar organizations, have a lot of information and personal data on your clients.
I'm sure that you're taking every possible measure to secure all the data. However, given the emergence of artificial intelligence, you may have received services to help you predict the market in the future.
It could be useful—especially for Amazon—to be able to predict, let's say for next summer, which item on order could qualify for a discount and be put on sale.
Perhaps some subcontractors or individuals have provided services related to the new algorithm systems. Basically, they sold these services to help you.
Can these subcontractors, if you use them—of course, you don't need to tell us—guarantee that, when they use your company's data to provide this type of service, they won't sell personal information to other people or to larger organizations? These organizations would be very happy to obtain the information, whether they use it to sell advertising or for other purposes.
Do any organizations provide this type of service?
[English]
Mr. Mark Ryland:
We do contract with third parties for certain delivery of some services and, under very carefully controlled conditions, we share personal data.
For example, if we're contracting with a delivery service, we share the name and address of the customer where the package has to be delivered, but I think, for all of these core machine-learning cases of the kind you're talking about, that is all internal to our company. We do not contract out access to the core business data that we use for, essentially, running our business. It's only going to be around the peripheral use cases, and in cases where we do share data, we have audit rights and we carefully control, through contract and audit, the usage that our contractors make of any data of our customers that we do share with them for these very limited purposes.
(0955)
[Translation]
Mr. Jacques Gourde:
Do any other organizations use algorithm strategies to promote your products?
[English]
Mr. John Weigelt:
We have a very robust data governance model at Microsoft whereby we recognize and are able to attribute and mark data and appropriately protect it. In areas where we need subcontractors, we use a very limited set.
A lot of adjudication occurs before we select our subcontractors, and they must enter into agreements with us to maintain the privacy of the data they are safeguarding. We have strict rules around the use of that data and the return of that data to us. We have a very robust program of policies, procedures and technical safeguards around subcontractor use to ensure that data isn't misused.
Artificial intelligence is an area of key interest to us, and certainly Satya Nadella, in his book Hit Refresh, has put together principles around the responsible use of AI to empower people. It's really the first principle. We've embraced them within our organization, ensuring that we have a robust governance structure around AI. We have a committee that looks at application of AI both inside and outside the organization to make sure we use it responsibly.
Putting these pieces in place internally helps us better manage and understand how those tools are being used and put them in place in an ethical framework. We're quite pleased that we're working with governments around the world, be they the EU with their AI ethics work or the recent OECD guidelines, or even here in Canada with the CIO Strategy Council's work on an AI ethics framework, so that we can help people and other organizations get a better sense of some of those responsible techniques, processes and governance models that need to be put in place.
Mr. Erik Neuenschwander:
I'm not aware of Apple doing the kind of modelling you're talking about. Instead, our machine learning tends to be on device intelligence.
For instance, as the keyboard learns about the user, the device itself collects and uses this information to train itself for that user without the information leaving the device. Where we are collecting data to help inform community models, we're using things like local differential privacy, which applies randomization to the data before it leaves the user's device, so we're not able to go back and tie the individual user inputs and their content to a user. It's very much a device focus for us.
[Translation]
Mr. Jacques Gourde:
Mr. Davidson, do you want to add anything?
[English]
Mr. Alan Davidson:
We don't deploy any of those kinds of systems. In some of our research we have been looking at experimenting on devices also. I think that's a very solid approach to trying to protect people's privacy.
The Chair:
Thank you, Mr. Gourde.
Next up, from the U.K., we have Mr. Ian Lucas.
Mr. Ian Lucas (Member, Digital, Culture, Media and Sport Committee, United Kingdom House of Commons):
If I can pick up on what Mr. Collins was asking, I was intrigued about both the phone for Apple and the Alexa device. Have there been any attempts to hack into the systems you have and access the information you retain?
Mr. Erik Neuenschwander:
Apple's systems are under constant attack. I don't know precisely if Siri itself has been a subject of attack or not, but I think a good default position would be to assume it has. However, because the Siri data is not associated with the overall Apple account, while we consider it very sensitive and will strive to protect it, it would also be challenging to gather an individual user's data out of the Siri system, even if it were breached.
Mr. Ian Lucas:
Has there ever been a successful hack into the system with respect to a particular individual?
Mr. Erik Neuenschwander:
I'm not aware of any, no.
Mr. Mark Ryland:
Similarly, we've been protecting customer data very successfully for 20-plus years. This is a new kind of data, obviously a very sensitive kind, but we continue to have a very successful record there, and there's no indication of any kind of compromise of Alexa-related data.
The Chair:
We'll move next to Mr Lawless for five minutes.
Mr. James Lawless:
Thank you.
Going back to security and data privacy and encryption, I think Apple talked about the Key Store on the iPhone and iPad, and Mozilla, I think, also has a Key Store-type feature in the browser.
One of the challenges of security is that our passwords, I think, have become so secure that nobody knows what they are anymore, except for the devices themselves. On the Apple Key Store—I think it's called the Key Store application—you can ask it to generate a password for you, and then you can ask it to remember it for you. You don't know what it is, but the app and the device know what it is, and I guess that's stored in the cloud somewhere. I know you gave an overview at the start.
I suppose Mozilla has a similar feature that allows you to ask the platform to remember the password for you, so you have multiple passwords, and I think probably Microsoft does as well in its browsers. Again, if you log in to Mozilla or Edge or any browser, you find you can autopopulate all your password keys. We end up with this situation like Lord of the Rings, in a “one ring to rule them all” scenario. In our attempts to complicate and derive better security, we've ended up with one link in the chain, and that link is pretty vulnerable.
Maybe I could get some comments on that particular conundrum from all the platforms.
(1000)
Mr. Erik Neuenschwander:
I think the application you're referring to is the Keychain Access application on the Mac and on iOS devices. Within “settings”, “passwords” and “accounts”, you can view the passwords. They are, as you say, auto-generated by the platform. Most users experience that through our Safari web browser, which offers a feature to link into the keychain. It is, as you say, stored in the cloud.
It is stored in the cloud end-to-end encrypted—I want to make that clear—so it's actually encrypted with a key that Apple never possesses. While we put that in the cloud, both to allow you to recover the passwords and to synchronize them among all devices that you've signed in to iCloud, we do that in a way that does not expose the passwords to Apple.
I think that you're right that passwords continue to be an area of challenge in terms of protecting user accounts. You see many companies, certainly Apple among them, moving to what's called two-factor authentication, in which merely the password is not sufficient to gain access to the account. We're very supportive of that. We've taken a number of steps over the years to move our iCloud accounts to that level of security, and we think that it's good industry progress.
The last thing I would say is that absolutely, the password data is extremely sensitive and deserves our highest level of protection. That's why, separate from the Keychain Access application you're talking about on the Mac, on our iOS devices and now on our T2—that's the name of the security chip in some of our latest Macs—we're using the secure enclave hardware technology to protect those passwords and separate them from the actual operating system. We have a smaller attack surface for that, so while it's absolutely a risk that we're highly attentive to, we've taken steps, down in our hardware design, to protect the data around users' passwords.
Mr. Alan Davidson:
It's a great question. I would just add that it seems counterintuitive, right? I think that 10 years ago we would have said, “This is crazy. You're going to put all your passwords in one place?” We offer a similar product—Lockwise—on our browser to help people.
I think that today the security experts will tell you this is a far better solution for most people because the biggest problem that we all have is that we can't remember our passwords, so we end up using the same password everywhere, or we end up using dumb passwords everywhere, and then that's where we get into trouble.
Our own polls of security experts and our own internal experts have said that it is actually far smarter to use a password manager, to use one of these systems. For most of us, the threat of that central vulnerability is actually a lot lower than the threat otherwise. I'd encourage you all to use password managers and think about that.
I've just sent out a note to all of our employees saying that they should do it. We all take that incredibly seriously. Two-factor authentification is an important part of this, and it's an important part of how those managers work. We take the responsibility to guard those things very seriously, but it is actually, as it turns out, a better solution for most consumers today.
Mr. John Weigelt:
Just to chime in, we see that local hardware-based protections based on encryption are important to help support that password protection. Work that together with multifactor authentication, perhaps using something you have, something you own.
I think an interesting counterpoint to this and an interesting add-on is the ability to make very robust decisions about individuals, about their use of a particular system. We use anonymized, pseudonymized data to help organizations recognize that “Hey, John's logging in from here in Ottawa, and there seems to be a log-in coming from Vancouver. He can't travel that fast.” Let's alert somebody to do that on an organizational perspective to intervene and say, “Look, we should perhaps ask John to refresh his password.”
There's another thing that we're able to do, based upon the global scope of our view into the cyber-threat environment. Often malicious users share dictionaries of user names and passwords. We come across those dictionaries, and we are able to inform our toolsets so that if organizations—say, food.com—find out that one of their names is on there, they are able to go back there as well.
For data associated with the use of a particular toolset, anonymization and pseudonymization help to provide greater assurance for privacy and security as well. Let's make sure we recognize that there's a balance we can strike to make sure that we maintain privacy while at the same time helping safeguard those users.
(1005)
Mr. James Lawless:
It's a very interesting area, and it continues to be challenging. There's a usability trade-off versus security.
I remember an IT security manager in a large corporation telling me about a policy he implemented before there were password managers, going back maybe a decade. He implemented a policy of robust passwords so that everybody couldn't use their household pet or their birthplace and so on. Then he found that despite having this enforced policy, everybody was writing their passwords down because there was no way they could otherwise remember them, so it was kind of counterproductive.
I have one final question, and then I'm going to share time with my colleague. I think there's a website called haveyoubeenhacked.com or haveibeenhacked—something like that—which basically records known breaches. If your data and any of your platforms or other third party apps or sites are in the cloud and are compromised, you can do a search for yourself or for your details and pull it back.
Is there any way to remedy that? I ran it recently, and I think there were four different sites that had been compromised that my details were on. If that happens on your platforms, how do you do that? How do you mitigate that? Do you just inform the users? Do you reach out, or do you try to wipe that data set and start again? What happens there?
Mr. John Weigelt:
We have breach notification requirements, obligations, and we notify our users if there's a suspected breach of their environment and recommend that they change their passwords.
For the enterprise set, like that toolset that I mentioned—“Have I been pwned?”, I think it's called—
Mr. James Lawless:
That's the one, yes.
Mr. John Weigelt:
—that site has readily available dictionaries, so we feed those back to enterprise users as well. There's the notification of the individual users, and the we also help enterprises understand what's happening.
Mr. Alan Davidson:
We do the same thing in the sense that we all have data breach obligations and would do those things in such a situation. We've also put together our own version of that “have I been hacked” Firefox monitor. For Firefox account holders who opt into it, we'll actually notify them affirmatively of other attacks that we're notified about, not just any breach on our system but on others as well. I think that's going to be a service that people find valuable.
Mr. James Lawless:
That's good.
Mr. Erik Neuenschwander:
If Apple security teams, in addition to the steps that have been discussed here, become aware that an account has likely been breached, then we can take steps through what's called “automated reset” on the account. We will actually force a password reset and do additional challenges to the user if they have two-factor authentication using their existing trusted devices to re-establish access to that account.
Mr. James Lawless:
Yes, it's very hard to get back in when you're out, because I've had that experience.
Voices: Oh, oh!
Mr. Erik Neuenschwander:
You mentioned balancing usability and security.
Mr. James Lawless:
Yes.
Mr. Erik Neuenschwander:
We try to strike a balance there between whether you are the good guy trying to get back in, so let's not make it hard for you, or let's definitely keep that bad guy out. That's an evolving space.
Ms. Hildegarde Naughton:
Can I just come into that, please?
The Chair:
We're actually way over time. The chair is taking the second round, and I already have you as number one on our second round, Hildegarde. Once we get through everybody, we'll start through that next round. It shouldn't be very long.
We'll go to Ms. Vandenbeld now for five minutes.
Ms. Anita Vandenbeld (Ottawa West—Nepean, Lib.):
Thank you very much.
I'd like to begin with the lack of utility of the idea of consent anymore. When you want to use a certain app or you want to use something, there are good purposes and bad purposes. Let's say that, for instance, I'm on my iPhone and I'm leaving Parliament and it's 9 p.m. My iPhone tells me exactly which route to take to get to my home. It knows where I live because it has seen that I take that route every day, and if I suddenly start taking a different route to a different place, it will know that as well.
Well, that's great when I want to know whether or not I should take the 417, but for my phone to know exactly where I'm sleeping every night is also something that could be very disturbing for a lot of people.
We don't really have a choice. If we want to use certain services, if we want to be able to access Google Maps or anything like that, we have to say yes, but then there's that alternate use of that data.
By the way, on the comment about this being a public hearing, we have a tickertape right on the side of the wall there that says this is in public. I wish there were a tickertape like that when you're searching on the Internet so that you know whether what you're doing is going to be recorded or made public.
My question, particularly to Apple, is on your collection of data about where I've been. It's not just a matter of where I'm going that day. It's not that I want to get from A to B and I want to know what bus route I should take; it's that it knows exactly the patterns of where I am travelling in terms of location.
How much of that is being stored, and what are the other purposes that this could be used for?
(1010)
Mr. Erik Neuenschwander:
I'd like to be really precise, madam, about the “you” and the “it” in your sentences because I think you used them correctly, but there is a subtle distinction there. “It”—your phone—does know that. Your phone is collecting based on sensor data and behavioural patterns and tries to infer where your home is—and that is your iPhone. “You”, being Apple, does not know this information, or at least not via that process. If you leave a billing address with us for purchases or something, that's different, but the information that your iPhone is becoming intelligent about remains on your phone and is not known by Apple.
When you ask about how much of it is collected, well, it's collected by the phone. It's collected under our “frequent locations” feature. Users can go and browse and remove those inside the device, but the collection is just for the device. It's not actually collected by Apple.
As for the purposes to which it can be put, over our versions of the operating system we try to use that information to provide good local experiences on the device, such as the time-to-leave notifications or notifications of traffic incidents on your route home; but that isn't going to extend to purposes to which Apple, the corporate entity, could put that data, because that data is never in our possession.
Ms. Anita Vandenbeld:
I think that goes to what Microsoft started talking about in their opening statement, which is the ability of hackers to access the data. Apple's not using this data, but is it possible, through cyber-threats, that other bad actors might be able to get in and access this data?
I'm actually going to ask Microsoft.
You talked about doing $1 billion a year in security research and development, and there's a term that you threw out, “co-operative botnet takedowns”. I'd like you to explain that a bit, as well as the work that you're doing on cybercrimes.
We know that once the data is out there, it's impossible to put back, and a lot of these Cambridge Analyticas and other data aggregators are using it, so what are you doing to make sure that this data doesn't get out there in the first place?
Mr. John Weigelt:
When we look at the marketplace, we see it's continuously moving, right? What was put in place for security controls 10 years ago is different today, and that's part of the efforts of the community that's out there securing the IT environment.
From our case, we analyze those common techniques. We then try to make sure that those techniques go away. We're not just trying to keep up; we're trying to jump ahead of the malicious user community so that they can't repeat their previous exploits and they will have to figure out new ways to do that.
We look at tools like encryption, tools like hardening up how the operating system works, so that things don't go in the same place every time. Think of it as if you change your route when you go home from Parliament at night, so that if they are waiting for you at the corner of Sparks, then they won't get you because you have changed your route. We do the same thing within the internal system, and it breaks a whole bunch of things that the traditional hacker community does. We also include privacy within that, and accessibility, so our whole work is around trust, security, privacy and accessibility.
At the same time, there is a broader Internet community at large, so it's nothing we can do alone. There are Internet service providers, websites, and even home computers that get taken over by these zombie networks. Hackers have started to create networks of computers that they co-opt to do their bidding. They may have up to a million zombie computers attacking different communities. It really takes the Internet down and bogs it down with traffic and whatnot.
In order to take that down, you need technical sophistication to be able to take it over, but you also need the support of legal entities within regions. One of the things that's unique for us is that our cybercrime centre has worked with government authorities in finding novel legal precedents that allow these networks to be taken down, so in addition to the technology side, we make sure we're on side from the legal side to conduct our operations.
Lastly, what we did for the Zeus and Citadel botnets, which were large zombie networks that had placed themselves into corporate Canada, was work with the Canadian Cyber Incident Response Centre as well as the corporation to clean up those infections from those machines so they would go quietly, and they could start up again.
Ms. Anita Vandenbeld:
Mr. Davidson, would you comment?
Mr. Alan Davidson:
I have two quick points.
First, we work on something that we call “lean data practices”. It's the idea that we should not keep data if we don't need it. The best way to secure data is not to retain it. Sometimes it's needed, but sometimes it's not. The industry could do a better job and consumers could learn more about insisting that data not be kept if it's not needed.
Second, location is a particularly sensitive area. It's probably an area that is ultimately going to need more government attention. Many users probably would feel really comfortable with an Apple or a Microsoft holding this data, because they have great security experts and stuff like that. We worry a lot about some of the smaller companies and third parties that are holding some of this data and maybe not doing it as securely.
(1015)
The Chair:
We will go to Ms. Jo Stevens from the U.K.
Ms. Jo Stevens (Member, Digital, Culture, Media and Sport Committee, United Kingdom House of Commons):
Thank you, Chair.
I would like to turn to a different subject altogether, competitions and markets. I would like to ask Mark and Erik if they think different competition and antitrust rules should apply to tech giants, considering their unprecedented influence and market power.
Mr. Erik Neuenschwander:
When it comes to antitrust regulations, I'm working with an engineering organization, so I can't say I've given a lot of thought to the regulation side. I would be happy to take any questions and refer them back to our legal or government affairs teams.
Ms. Jo Stevens:
As a consumer, do you think that large global tech giants have too much market influence and power?
Mr. Erik Neuenschwander:
My focus, in terms of our platforms, is to put the user in control of data and to leave as much control as possible in the hands of users.
Mr. Mark Ryland:
We're a relatively large company, but of course, that is largely the result of the fact that we operate globally. We operate in a lot of different markets. In any given market segment, we typically can be often a very small or middle-size player.
Again, I'm not going to opine in any depth about competition laws. It's not my area of expertise, but we feel the existing competition law as it exists today is adequate to deal with technology companies.
Ms. Jo Stevens:
How about you, John?
Mr. John Weigelt:
We've been around for quite some time, since the 1970s, so we've had some focus on the organization and the way we do our business. I think we've made appropriate adjustments, which we made based on the input and the perspective of governments around the world.
One thing that is important to me as a Canadian working for Microsoft here in Canada is the partner ecosystem and the enabling of Canadian innovation and Canadian business. Over 12,000 partners who make a living off of the toolset have the reach from a consistent platform to be able to sell innovation around the world based upon these toolsets and have a multiplying factor for the revenue that they generate here in the nation.
Sometimes with packaged software it's an eight-to-one multiplier. For cloud computing, it's estimated to be as high as a 20-to-one multiplier for the use of these toolsets, so we see that as a great economic enabler. Having that global reach is an important factor for the partners we work with.
Ms. Jo Stevens:
That quite neatly leads me on to my next question. I think there is quite a strong argument that global tech giants are a bit like a public utility and should be treated as such because of the power you wield.
Bearing in mind what you said just now about innovation, do you think that if that was the case and there was a bigger antitrust emphasis, it would negatively impact innovation? Is that your main reason?
Mr. John Weigelt:
I was making a linkage between those themes. My sense was that, look, we democratize technology. We make it silly simple for emerging nations and emerging companies with great ideas to leverage very advanced technology. When you think about artificial intelligence and the work that's happening in Montreal, Toronto, and even globally, the ability to make use of these tools to provide a new market is critically important.
I see this as a catalyst for the innovation community. We're working across the five Canadian superclusters, which is Canada's innovation engine around agriculture, oceans and advanced manufacturing, to build out new toolsets. Our ability to look across those communities and do cross-platform types of approaches and leverage our experience on a platform provides for activities in the community's best interest.
For example, in the ocean supercluster, working with data and having data about our oceans and having that sharing of a common commodity across the community is something we advocate to help that community grow . Having that platform and easy access to it provides that innovation.
(1020)
Ms. Jo Stevens:
Would either of you like to comment on the innovation point from your company's perspective?
Mr. Mark Ryland:
Yes, I would be happy to.
We face robust competition in all the markets we operate in. Cloud computing is a great example. There are not a large number of players in the cloud market, but competition is very strong, prices are dropping, and it enables, as my colleague was saying, new kinds of business models that were really previously impossible.
I worked for some years in our public sector business at Amazon Web Services. What I saw there was that we had very small companies, 10-, 20- or 30-person companies, competing for large government contracts that would have been impossible for them to compete for prior to the existence of cloud computing. It would have required a very large, dedicated government contractor to compete for these large contracts because they required so much infrastructure and so much capital investment in order to go after a large contract.
With the ability to get onto many IT services from cloud, you now have this great democratization, to reuse that word, of international market access, of mom-and-pop shops with international market access, whether through Amazon sellers on our retail site or through using our cloud platform. I think competition is really strengthened because some of these large-scale players enable people to access a broader set of markets.
Ms. Jo Stevens:
But they have to do it through you, don't they? Where else would they go?
Mr. Mark Ryland:
No, you can do it through us or our competitors.
Ms. Jo Stevens:
But there aren't that many competitors, are there?
Mr. Mark Ryland:
There are not a huge number of competitors, but the competition is fierce.
Ms. Jo Stevens:
It sounds a bit odd to me that you have very few competitors, yet it's fierce. That's not what I'd normally assume to be the case.
How about you, Erik?
Mr. Erik Neuenschwander:
From what little I know about legislation, it appears to be very challenging to write. I would presume that a goal of any legislation would be not to limit innovation, not to put a ceiling on what companies can do, but instead to try to put a floor for good behaviours.
Ms. Jo Stevens:
Okay, thank you.
The Chair:
Thank you, Jo.
We'll go next to Raj Saini for five minutes.
Mr. Raj Saini (Kitchener Centre, Lib.):
Good morning, everybody.
I'm sure you're all aware of the term “data-opoly”. Right now, in front of us, we have Apple, which controls a popular mobile operating software system. We have Amazon, which controls the largest online merchant platform software. We also have Microsoft, which has the ability to acquire a lot of data and use it to gain market advantage.
In talking about competition, I want to go beyond what Ms. Stevens said. When we look at the European Union right now, we see that Apple violated European state aid rules when Ireland granted undue tax benefits of 13 billion euros. In some cases, you paid substantially less tax, which was an advantage.
In the case of Amazon, the European Commission targeted Amazon's anti-competitive most favoured nation clause, and Luxembourg gave Amazon illegal tax benefits worth some 250 million euros.
My point is not in any way to embarrass you, but obviously there is a problem with competition. The problem stems from the fact that there are different competitive regimes or competition laws, whether it be in Europe, whether it be the FTC, or whether it be Canada. In European competition law, a special duty is imposed on dominant market players. That is not the same as the United States, because the same infractions were not charged in the United States. Do you think it's something that should be considered because of your dominant market status?
Mr. Mark Ryland:
As I said, I'm not an expert on competition law. We certainly obey the laws of the countries and regions in which we operate, and we will continue to do so.
Mr. Raj Saini:
Well, the European Commission fined Amazon, so you didn't really follow the law.
My question is about the special duty imposed in European competition law on dominant market players. Do you think that should come to the United States and Canada also?
Mr. Mark Ryland:
I really should get back to you on that. I'm not an expert in that area. I'd be happy to follow up with our experts in that area.
Mr. Raj Saini:
Sure.
Apple, would you comment?
Mr. Erik Neuenschwander:
I am aware that the state aid story made a great deal of press, I think, but I'm really aware of it as a consumer of the news. I haven't done a lot of reading on European competition law. Similarly, as I'm focused on privacy by design from the engineering side, for questions on that I'll have to get the company to get back to you.
Mr. Raj Saini:
Okay.
Amazon is probably the most dominant bookseller in the market. Do you agree with that?
Mr. Mark Ryland:
No, I don't agree with it.
Mr. Raj Saini:
You don't? Who's bigger than you?
Mr. Mark Ryland:
There's a huge market in book sales from all kinds of retailers, from Walmart to—
(1025)
Mr. Raj Saini:
Who sells more books than you?
Mr. Mark Ryland:
I don't know the answer to that, but I'd be happy to look it up for you.
Mr. Raj Saini:
Okay.
One of the approaches you use when you allow books to be sold—I read this somewhere, so correct me if I'm wrong—is that you approach small booksellers and you exact a sizable fee from them to list their books. You don't pay authors per copy when they download the book, but you pay per page. If they don't finish the book, then you pocket the difference. You track online what people read. If people are reading popular authors, you don't provide a discount to them, because you know they will buy the book anyway.
Do you think this is fair, or is what I'm saying wrong?
Mr. Mark Ryland:
I don't know the facts surrounding the questions you just raised, so I can't really answer. I would be happy to get back to you on that.
Mr. Raj Saini:
Okay.
This is my final question. Let's suspend animation for a second and look at Amazon as a mall. You own the mall. You grant space to other retailers. You allow them to be on your platform. You control access to customers and you collect data on every site. You're operating the largest mall in the world.
In some cases, whenever small retailers show some success, you tend to use that information to diminish competition. Since you have access to all the third party people who are selling products on your site, do you think that's fair?
Mr. Mark Ryland:
We don't use the data we acquire for supporting our third party seller marketplace. We don't use that data for purposes of our own retail business or for purposes of product lines that we launch.
Mr. Raj Saini:
You're sure about that.
Mr. Mark Ryland:
Yes.
Mr. Raj Saini:
You're saying that if anybody lists a product on your website, you do not track the sales of that product to know which product is popular and which product is not popular.
Mr. Mark Ryland:
We track the data for supporting that business and the customers of that business. We don't use that data in our retail business.
Mr. Raj Saini:
You won't see which product is selling more or selling less and try to compete with that in any way.
Mr. Mark Ryland:
In terms of the part of our business that supports this vast third party marketplace, which has enabled great success for thousands of companies and mom-and-pop shops around the globe, absolutely that part of our business uses the data to maximize the success of the marketplace. It's not used in our retail business.
Mr. Raj Saini:
One of the complaints in the area of innovation is that a number of market players are dominant because of the access to data they have and because of their ability to retain and use that data. In many cases, smaller companies or smaller players don't have access to the data, don't have access to the market. More importantly, in some cases, when emerging companies are on the rise, the larger companies will buy the technology to kill the technology so it does not compete.
Is that something Amazon or Apple or Microsoft is involved in, in any way?
Mr. Mark Ryland:
If you look at our history of acquisitions, they tend to be very small and very targeted, so in general, the answer would be no.
Mr. Erik Neuenschwander:
I believe that's also the answer for Apple.
Mr. Raj Saini:
I mean any emerging technology, any company that's emerging that might be a competitor to any of your platforms. You don't engage in that, or you just...? I don't get what you mean.
Mr. Erik Neuenschwander:
The acquisitions that I'm familiar with have been companies like, say, AuthenTec, which was a firm whose technology we used to build the first version of touch ID into our phones. We look for technological innovations that we can integrate into our products, but I don't really see that as a fingerprint sensor company directly competing with Apple.
Mr. John Weigelt:
We're actively involved with the start-up community around the world. Programs like BizSpark and Microsoft Ventures help our partners and start-ups really get their legs under them so that they can sell their product. We are a commodity software provider—we provide a common platform that helps communities around the world—so there will be areas that are innovated on top of our platform. We saw one such platform here built out of Montreal, Privacy Analytics, which was a start-up here that was doing perfect forward privacy. That was a technology that we didn't have that we thought would help catalyze our business, and as a result we acquired the company with the goal of building that into our products.
We make a decision about whether we build or buy based on the resources that we have, and in some cases there's great innovation out there that we acquire and build into our toolset. That's really how we look at that acquisition strategy.
Mr. Raj Saini:
Thank you.
The Chair:
Thank you, Mr. Saini.
Last up will be Mr. Baylis.
What's going to happen is Mr. Baylis will finish, and then we're going to start the rounds all over again. Delegations will all start from the top again, just to be clear.
Mr. Baylis, go ahead for five minutes.
Mr. Frank Baylis (Pierrefonds—Dollard, Lib.):
Thank you, Chair.
Thank you to the witnesses. You're both very knowledgeable and very open and willing to answer questions, which was not exactly what we had yesterday, so I'm very grateful for that.
Mr. Davidson, in your opening remarks you mentioned that Google and Facebook have an opportunity to improve their transparency. Could you expand a bit on that, please?
(1030)
Mr. Alan Davidson:
Sure.
We do think that ad transparency is a major tool to think about in how we fight disinformation protection, particularly in the election context. We've been working with some of the other big players as part of this EU code of practice, to try to get better transparency tools out there for consumers to see what ads they're seeing and for researchers and for journalists to understand how these big disinformation campaigns happen. We have a fellow at the Mozilla Foundation working on this. The big frustration, honestly, is that it's very hard to get access to these archives of ads, even though some of our colleagues have pledged to make that access available.
We recently did an analysis. There are five different criteria that experts have identified—for example, is it historical? Is it publicly available? Is it hard to get the information? It's those kinds of things.
We put out a blog post, for example, that Facebook had only met two of the five criteria, the minimum criteria that experts had set for reasonable access to an ad archive. Not to pick on them—we've already picked on them publicly—but I'll say we hope we can do more, because I think without that kind of transparency....
Google did better. It got four out of five on the experts' chart, but without more transparency around ads, we're really stuck in trying to understand what kinds of disinformation campaigns are being built out there.
Mr. Frank Baylis:
You mentioned that if they're not willing to self-regulate, you felt that they should be regulated. Did I understand that correctly?
Mr. Alan Davidson:
What I was trying to say is that if we can't get better information....Transparency is the first step here, and it can be a really powerful tool. If we could have transparency and more notice to people about what political advertising they're seeing, that could go a long way toward helping to deal with these disinformation campaigns and this election manipulation. If we don't get that transparency, that's when it will be more reasonable for governments to try to step in and impose more restrictions. We think that's a second-best answer, for sure. That's what I think we were trying to get at.
Mr. Frank Baylis:
My colleague, Charlie, my senior colleague—
Mr. Charlie Angus:
Your older brother.
Mr. Frank Baylis:
My older brother Charlie here has made an argument that some things should require consent—you talked about granular consent—while some things should just be prohibited. Do you agree with this line of thought?
Mr. Alan Davidson:
We have said we believe that. We think it's important to recognize that there is a lot of value that people get out of different kinds of tools, even around things like health or financial or location information, so we want to give people that ability. Probably when you get to kids and certain kinds of health information, the bar needs to be very high, if not prohibited.
Mr. Frank Baylis:
My colleague here, my younger brother Nathaniel, has said that certain age things.... For example, we prohibit driving at a certain age and we prohibit drinking at a certain age. Are there any thoughts from the rest of the panel on this concept of just out-and-out prohibiting some data collecting, whether it's age related or some type of data? Do any of you have anything to add to that?
Mr. Erik Neuenschwander:
In my earlier answers I talked about how we seek to leave the data on the user's device and under their control. I'd separate collection by a corporate entity from collection from a device that's under the user's control. Where possible, we want to leave that control in the hands of the users through explicit consent and through retaining the data on their device.
Mr. Frank Baylis:
If it's collected, but not used or seen by a corporation such as yours.... If the corporation has collected it and just held it, and then I can delete it or not, you see that as differentiated from collecting it for use elsewhere. Is that what you're saying?
Mr. Erik Neuenschwander:
I do see collection from a company compared to being on the user's device as different. I almost wouldn't want to use the word “collection”. Maybe we should say “storage” or something.
Mr. John Weigelt:
I take pause when I try to answer that question, to be thoughtful around potential scenarios. I try to imagine myself as a parent and how these tools would be used. I really think it depends on the context in which that interaction occurs. A medical setting will be dramatically different from an online entertainment setting.
The context of the data is really important in managing the data, in terms of the obligations for safeguarding protections or even for the prohibition of collecting that data.
Mr. Frank Baylis:
Do I have time for another question, Mr. Chair?
The Chair:
You do if you have a very quick, 30-second comment.
Mr. Frank Baylis:
Leading into cloud computing, it sounds like a beautiful cloud, but there's no cloud. There's a physical server somewhere. That's what we're talking about. Let's forget the cloud; it's a physical server. The laws that apply to it depend on where that server actually sits.
We talk about Apple, Microsoft or Amazon—and Amazon, this is a big part of your business. If we Canadian legislators make a bunch of laws that protect Canada, but your server happens to be outside of Canada, our laws have zero impact.
Are you doing anything about aligning with government laws by making sure that these servers sit within the confines of the country that's legislating them?
(1035)
Mr. Mark Ryland:
We do have our data centres in multiple countries around the world, including Canada. There is legal control there, but we have to obey the laws of all the countries where we operate. Those laws may have extraterritorial impact as well.
Mr. John Weigelt:
We have delivered data centres in 54 regions around the world and we've put data centres here in Canada, in Toronto and Quebec City. I happen to be accountable for making sure that they're compliant with Canadian laws and regulations, be it the Office of the Superintendent of Financial Institutions, the federal government's legislation or provincial privacy legislation. It's critically important to us that we make sure we respect the local legal environment. We treat data that's stored in those data centres like a piece of paper. We want the laws to make sure that they treat that electronic information like the piece of paper.
We have been staunch advocates for the CLOUD Act, which helps to clarify the conflict of laws that are a challenge for multinational companies like ours. We abide by laws around the regions, but sometimes they conflict. The CLOUD Act hopes to set a common platform for understanding around mutual legal assistance treaties, or to follow on from that—because we all understand that mutual legal assistance treaties are somewhat slow and based upon paper—this provides new legal instruments to to provide confidence to governments that their residents' information is protected in the same manner that it would be protected in local data centres.
The Chair:
Thank you.
Thank you, Mr. Baylis.
It hasn't come up yet, so that's why I'm going to ask the question.
We're here because of a scandal called Cambridge Analytica and a social media company called Facebook. We wanted to differentiate between who you are. You're not social media; social media was here yesterday. You're big data, etc.
I have a comment specifically for Apple. This is why we wanted Tim Cook here. He has made some really interesting comments. I'll read exactly what he said:
First, the right to have personal data minimized. Companies should challenge themselves to strip identifying information from customer data or avoid collecting it in the first place. Second, the right to knowledge—to know what data is being collected and why. Third, the right to access. Companies should make it easy for you to access, correct and delete your personal data. And fourth, the right to data security, without which trust is impossible.
That's a very strong statement. Apple, from your perspective—and I'm also going to ask Mozilla—how do we or how would you fix Facebook?
Mr. Erik Neuenschwander:
I don't know that I would presume to even understand the aspects of Facebook enough to fix it.
What I know we can focus on is primarily two ways. I always put technological solutions first. What we want to do is put the user in control of the data and of access to the data on their device. We've taken it upon ourselves as part of our platform to put the operating system as a barrier between applications and the user's data, and to require that user's consent, as mediated by the operating system, to come in between that app and its data. This is a set of things that we've evolved over time.
You've heard comments today about trying to keep usability front of mind as well, so we're trying to keep things clear and simple for users to use. In doing that, we've built refinements into our technology platform that allow us to expand that set of data that the operating system.... Again, this is separate from Apple, the corporate entity. The operating system can take a step forward and put the user in control of that access.
That's a process that we're going to remain committed to.
The Chair:
To me, changing legislation around this is very difficult, given all the parameters that are around us. It might be simpler for somebody like Tim Cook and an ideology that considers users as paramount. It might be simpler for Apple to do this than for legislators around the world to try to pull this off. However, we're giving it a soldier's try. We're definitely trying.
Mr. Davidson, do you have any comment on how we fix Facebook?
(1040)
Mr. Alan Davidson:
It's very hard from the outside to decide how to fix another company. I think a lot of us are really disappointed in the choices they've made that have created concern among a lot of people and a lot of regulators.
Our hope would be for privacy and more user control. That's a huge starting point.
I guess if I were going to say anything to my colleagues there, it would be to be a little less short term in their thinking about how to address some of these concerns. I think they have a lot of tools at their disposal to give people a lot more control over their information.
There are a lot of tools in the hands of regulators right now to try to make sure we have good guardrails around what companies do and don't do. Unfortunately, it sets a bad standard for other companies in the space when people aren't obeying good privacy practices.
We all can do things on our side too. That's why we built the Facebook container in our tracking tools: to try to give people more control.
The Chair:
Thank you for your answer.
I'm getting signals for questions again. We'll start with my co-chair and we'll go through our normal sequencing. You'll have time. Don't worry.
We'll go to Mr. Collins to start it off.
Mr. Damian Collins:
Thank you.
I will start with Mr. Ryland and Amazon.
Following on from the chair's comments about Facebook, if I connect my Amazon account to Facebook, what data am I sharing between the two platforms?
Mr. Mark Ryland:
I'm not familiar with any way in which you do connect your Facebook account to Amazon. I know that Amazon can be used as a log-in service for some other websites, but Facebook is not one of those. I'm not familiar with any other connection model.
Mr. Damian Collins:
You're saying you can't do it. You can't connect your Facebook and Amazon accounts.
Mr. Mark Ryland:
As far as I know, that's true. I'll follow up to make sure that's true.
Mr. Damian Collins:
There was the Digital, Culture, Media and Sport Committee in London, which I chaired with my colleagues here. We published some documents in December of last year that were relevant to the Six4Three case.
At the same time, there was also an investigation by The New York Times that suggested a series of major companies had entered into special data reciprocity agreements with Facebook so that they had access to their users' Facebook data and to their friends' data as well. Amazon was listed as one of those companies.
Could you say what sort of data protocols you have with Facebook and whether that gives you access not just to your customers' data or Facebook account holders, but also their friends as well?
Mr. Mark Ryland:
I'll have to get back to you on that. I really don't know the answer to that question.
Mr. Damian Collins:
It was a quite major story in The New York Times last year. I'm amazed that you were not briefed on it.
I'll ask the same question of Microsoft as well.
You can log into Skype with your Facebook account. Again, if you're connecting your Skype and your Facebook accounts, what sort of data are you sharing between them?
Mr. John Weigelt:
As far as I understand, it's a simplified log-in from Facebook into your Skype account. When you connect, there should be a pop-up that provides you with an indication of what Facebook is giving to the Skype environment.
It's a simplified log-in type of environment.
Mr. Damian Collins:
What type of data is shared between the different accounts? For users who do that, what type of data about their Skype usage is shared with Facebook?
Mr. John Weigelt:
It's simply a log-on.
Mr. Damian Collins:
Yes, but all these Facebook log-ins have data reciprocity agreements built into them as well. The question is whether—
Mr. John Weigelt:
It's simply a simplified way to share an identity token, so to speak, so that you can log in to Skype.
Mr. Damian Collins:
I know the way the basic log-in works, but these log-in arrangements with Facebook give reciprocal access to data between the two. There's actual connecting, effectively.
Mr. John Weigelt:
It's nothing that would not have been disclosed in that initial connection, so when you connect, when you actually do that linkage, there is a pop-up that says this is the data that will be interacted or interchanged.
Mr. Damian Collins:
Then it's in the terms and conditions.
Mr. John Weigelt:
It's in the actual pop-up that you have to go through. It's a simplified term, and as I understand it, it's a tiered notice. It provides you notice of what the category of data is, and then as you click through it, you have the ability to dig deeper to see what that is.
Mr. Damian Collins:
In layman's terms, would Facebook know who I was engaging with on Skype?
Mr. John Weigelt:
I don't believe so, but I'd have to get back to you on that. I really don't believe so.
Mr. Damian Collins:
Okay.
I'll just go back to Amazon. I want to quickly get this out.
Under “How do I connect my Facebook account to Amazon?”, Amazon.com says:
From Settings, tap My Accounts, and then tap Connect your social networks.
Tap Connect Your Facebook Account.
Enter your log-in information, and then tap Connect.
That is a pretty simple way of connecting your Facebook account with your Amazon account, so I'll just ask again: If you do that, what type of data are you sharing between the two platforms?
(1045)
Mr. Mark Ryland:
I'll need to get back to you on that. I really don't know the answer to that.
Mr. Damian Collins:
Okay. I think this is pretty basic stuff. My concern is that data is being shared between the two platforms.
Again, in a question asked in The New York Times investigation, it said there were preferential data reciprocity agreements between Amazon, between Microsoft and Facebook, so that they not only had access to the data about the Facebook accounts of their users but the users' friends as well, which was a setting that had been turned off for other apps. However, the major partners of Facebook, in terms of the money they spend together or the value of the data, have preferential access.
Again, I'll ask one more time whether either Amazon or Microsoft can say something about that—the nature of the data, what it includes, and whether you still have those arrangements in place.
Mr. John Weigelt:
I can't comment on—
Mr. Damian Collins:
I don't know whether that means you don't know what to say or you don't know. Either way, if you could write to us, we'd be grateful.
Mr. Mark Ryland:
Yes.
Mr. John Weigelt:
Absolutely.
Mr. Mark Ryland:
We'll follow up on that.
The Chair:
We'll go next to Mr. Erskine-Smith for five minutes.
Mr. Nathaniel Erskine-Smith:
Thanks very much.
I first want to talk about ethical AI. This committee started a study on this topic, and the Government of Canada now requires algorithmic impact assessments for government departments when they employ an algorithm for the first time, as a risk assessment in the public interest. Do you think that should be a requirement on large public sector, big-data companies such as yourselves?
I'll start with Amazon and go down the table.
Mr. Mark Ryland:
We strive very hard to work on good algorithmic fairness, and it's one of our fundamental principles. We have test data sets to make sure that we're constantly meeting the bar on that.
Mr. Nathaniel Erskine-Smith:
Do you think there should be transparency to the public so that there's proper public accountability with the algorithms that you employ with such large troves of data and personal information?
Mr. Mark Ryland:
I think the market is doing a good job of making sure that companies set a good bar on that.
Mr. Nathaniel Erskine-Smith:
You see, the frustrating thing is that previously you said you agree with the principles in the GDPR, and algorithmic explainability is a principle in the GDPR.
Apple, what do you think about it?
Mr. Erik Neuenschwander:
In the machine learning that we employ, we do want users to understand that we do it primarily by putting it on the users' devices and training it on their data, as I've said. When we're training generalized models, we're doing that based on public data sets. Primarily, we're not training on personal data.
Where we would be training on personal data, we absolutely want to make sure that it is explainable and understandable by users.
Mr. Nathaniel Erskine-Smith:
Then you believe in that public transparency.
Mr. Erik Neuenschwander:
We believe in transparency across many things.
Mr. Nathaniel Erskine-Smith:
Microsoft, would you comment?
Mr. John Weigelt:
We're participating and we're contributing to the work that's happening here in Canada and one of the challenges around definitions. For large-scale unhuman intervention-type systems, there needs to be ability to tell the user what's happening behind the scenes.
It's a big area of controversy, a big area of research around explainability, generalizability, and how we look at outcomes.
The way that documentation is currently written, it almost looks as though if you have website localization—for example, if I am coming from Quebec and I then present a French website because of that—it would require algorithmic risk assessment and notice to the public.
Mr. Nathaniel Erskine-Smith:
You're concerned with definition, but in principle you agree with the idea.
Mr. John Weigelt:
In principle, we agree with the idea and applaud the Government of Canada for putting that in place right now, and others should examine similar opportunities.
Mr. Nathaniel Erskine-Smith:
Including the private sector and Microsoft.
On competition law, I read a quote yesterday from the German regulator, who noted Facebook's superior market power and said, “The only choice the user has is either to accept comprehensive combination of data or to refrain from using the social network. In such a difficult situation the user's choice cannot be referred to as voluntary consent.”
Does the same principle apply to your companies?
Mr. Mark Ryland:
We face robust competition in the markets we're in. In the cloud business, for example, our main competition is the old way of doing IT business, and there's a vast array of competitors across that.
Mr. Nathaniel Erskine-Smith:
I appreciate that. I'll flip it a bit. Should the impact on consumer privacy be a consideration in competition law?
Mr. Mark Ryland:
Again, it's an area outside of my expertise. I hate to give that answer.
Mr. Nathaniel Erskine-Smith:
It's frustrating, because I did specifically let Amazon know that competition would be a matter we'd be discussing today.
Other companies, do you have a view as to whether the impact on consumer privacy should be a consideration in competition law?
Mr. Erik Neuenschwander:
You imply that there is, at least in some cases, a single, all-or-nothing sort of consent, and we're very cognizant of that. What we do is offer very nuanced and fine-grained consent. It's possible to use an Apple device without signing in to or creating any Apple account, so we try to differentiate and separate those things.
(1050)
Mr. Nathaniel Erskine-Smith:
I appreciate that.
Does Microsoft have a view?
Mr. John Weigelt:
It's all about the data, and in particular safeguarding the data and how the data is used. I think you need to look more broadly at the data use. Perhaps data sheets for data would help in that regard, because I think privacy is about that data's security and accessibility.
Mr. Nathaniel Erskine-Smith:
I'm interested in seeing what the associate general counsel says tomorrow at the competition commissioner's data forum.
I'm moving forward with a secondary question on competition law.
In the 1990s, Explorer was free, and yet Microsoft was prevented from monopolizing the browser space. It wasn't protecting consumers on price; it was actually protecting innovation.
I'm going to pick on Amazon a bit. You said before that what I input into Alexa becomes part of my user profile. I assume that also means that what I watch on Prime, purchase from any number of sellers and search for on Amazon or beyond on the Internet all combine into a single profile, presumably to direct targeted ads.
I also wonder if my user profile, combined with everyone's user profile, drives your decisions to create new products. Is that fair?
Mr. Mark Ryland:
We certainly look at the trends, purchases and behaviour of our customers, in terms of determining future—
Mr. Nathaniel Erskine-Smith:
Far apart from that, and in answer to Mr. Saini's questions, you said you're not tracking the information of third party sellers on your websites. If you look at it from the other perspective, you are tracking all of our individual purchase decisions on Amazon and combining all of those decisions in order to compete against those third party sellers in your marketplace. How is that not use of dominance?
Mr. Mark Ryland:
I think the fact that the third party marketplace is wildly successful and that there are a huge number of very successful businesses in it is a very clear indicator that this is not a problem.
Mr. Nathaniel Erskine-Smith:
You don't think you have an unfair market advantage.
Mr. Mark Ryland:
No.
Mr. Nathaniel Erskine-Smith:
The last question I have was raised by—
The Chair:
Please go very quickly, because I know we're trying to squeeze everybody in.
Mr. Nathaniel Erskine-Smith:
With respect to the monetization of personal data, I raised the point with experts yesterday that the business model is the problem. That was put forth by a number of folks, and Apple, I think—Tim Cook—made the same point about the industrial data complex.
Microsoft and Amazon, do you think the business model is itself a problem? You just want to collect more and more information about us. What's the value to us in your collecting so much information about us? Is the business model a problem?
Mr. John Weigelt:
To be clear, the information we collect is only there for the products. We're not looking at doing things personalized to you and you only, to target to you.
When we find that people aren't using a feature, grosso modo we anonymize, pseudonymize, and that's a great feature. We try to surface that feature in subsequent releases. That's simply there to help enhance our business. We're a software and services company. That's what we do, and that's our business line.
Mr. Mark Ryland:
Our business model is very consistent with consumer privacy, because it's all about meeting customer choice through a traditional purchase-and-sale model of capabilities and products and services.
Mr. Nathaniel Erskine-Smith:
Thank you.
The Chair:
Now we'll go to Mr. Angus for five minutes.
Mr. Charlie Angus:
Thank you very much.
Diapers.com was an online business selling diapers in this competitive market that Amazon says is out there. Jeff Bezos wanted to buy it. They refused, so Amazon went to predatory pricing. Amazon was losing $100 million on diapers every three months to put a competitor out of business or to force them to sell. They finally agreed, because they were afraid Amazon would drop prices even lower.
We talk about antitrust because of the “kill zone” of innovation that The Economist is talking about, but with Amazon, it's the kill zone of competition—the power that you have through all of your platforms to drive down prices and actually put people out of business. Shaoul Sussman says that the predatory pricing practices of Amazon are antitrust in nature and need legislation.
What do you say?
Mr. Mark Ryland:
Again, I have to say that I'm not an expert in competition law and I don't know the history or the details of some of the things you mention.
In the general business that we're in, we see robust competition across all these businesses. There are a lot of new start-ups, and we even have a great number of competitors who use our Amazon Web Services platform. Some of the largest online commerce platforms in, say, Germany and Latin America use AWS and trust us with their businesses, so we think competition is working.
Mr. Charlie Angus:
Yes, so you've got all the people to use your cloud services and then you can drive down prices against mom and pop. Lena Kahn, from Open Markets, says that because you are controlling so much market dominance in so many various areas, you can use your profits from the cloud to run predatory pricing and to run down competition. She says that your “structure and conduct pose anticompetitive concerns—yet it has escaped antitrust scrutiny”.
This is an issue that I think legislators need to think about. We see that in Canada one of the great advantages you have is that you're not paying taxes the way our poorest businesses have to. In the U.K., you made 3.35 billion pounds and paid only only 1.8 million pounds in taxable income. I mean, you're like our biggest welfare case on the planet if you're getting that.
In the U.S., it's even better. You made $11 billion in profits and you got a $129-million rebate. You were actually paying a negative 1% tax rate. That seems to me to be an extraordinary advantage. I don't know of any company that wouldn't want to get a rebate rather than pay taxes—or any citizen.
How is it that we have a marketplace where you can undercut any competitor and you can undercut any book publisher and you're not even properly paying taxes? Don't you think that it's at least our job to rein you guys in and make sure that we have some fair rules in the marketplace?
(1055)
Mr. Mark Ryland:
Again, I apologize. I'm not an expert in the competition law area. The panel discussion was on security, consumer protection and privacy, where I do have some expertise, but I'm not able to answer your questions on that area.
Mr. Charlie Angus:
Yes, that's unfortunate. I mean, this is why our chair asked that we get people who would be able to answer questions, because these are the questions that as legislators we need to have answered. We're dealing in this new age, and your colleagues at Facebook have put us in this situation. If Facebook had better corporate practices, we might not even be paying attention, but we're having to pay attention. If Amazon was not engaged in such anti-competitive practices, we might think that the free market was great, but it's not great right now, and you can't answer those questions for us.
It puts us in a bind, because as legislators we're asking for answers. What's a fair taxation rate? How do we ensure competition in the marketplace? How do we ensure that we don't have predatory pricing that is deliberately driving down prices and putting businesses—our businesses— out of business because you have such market dominance and you can't answer the question? It leaves us very confused. Should we call Alexa or Siri? Would they help?
Voices: Oh, oh!
Mr. Mark Ryland:
I apologize, but I don't have the expertise to answer those questions.
Mr. Charlie Angus:
Thank you.
The Chair:
I would like to highlight what Mr. Angus said. This is the reason we asked Mr. Bezos to come. He can answer those kinds of questions before this grand committee. He's exactly the person who could have answered all our questions. We wouldn't have kept anybody off the panel, but certainly we wanted people who could give us comprehensive answers with regard to the whole package.
I will go next to Mr. Lucas from the U.K.
Mr. Ian Lucas:
John, could I return to transfer of data within Microsoft? You mentioned that Microsoft has acquired a number of companies. LinkedIn, which you mentioned, was one of them. Can you just be clear? If I give information to LinkedIn, within the Microsoft organization is it then transferred to other businesses within Microsoft?
Mr. John Weigelt:
Absolutely not. LinkedIn remains rather independent from the organization.
Mr. Ian Lucas:
You're saying there is a wall around the information that is collected by LinkedIn and it's not transferred within the Microsoft organization.
Mr. John Weigelt:
Any transfer of.... Excuse me. Let me step back from that. Any connection between your LinkedIn profile and, let's say, your Office toolset is done by the user, and that's a connection that's done explicitly. For example, in your email clients, you may choose to leverage your LinkedIn connection there. That's something that the user intervenes with in their LinkedIn profile. It's their Office—
Mr. Ian Lucas:
I'm interested in the default position. If I join LinkedIn and I don't go through the terms and conditions and I give information to LinkedIn, does it get transferred or is it capable of being transferred to other businesses within the Microsoft family, as you guys like to call it?
Mr. John Weigelt:
LinkedIn doesn't share that information across the business from the back end.
Mr. Ian Lucas:
As a general rule regarding the separate businesses within the Microsoft organization, is the information transferred generally?
Mr. John Weigelt:
As a general rule, each business line is independent.
(1100)
Mr. Ian Lucas:
Is the information transferred between the separate businesses?
Mr. John Weigelt:
Personal information is maintained by each individual business line.
Mr. Ian Lucas:
I just asked a very specific question. Is the policy of the Microsoft organization to allow transfer of personal data between separate businesses owned by Microsoft?
Mr. John Weigelt:
This is a consistent purpose—
Mr. Ian Lucas:
Can I have a yes or no?
Mr. John Weigelt:
It's a consistent purpose question, right? So we, as a—
Mr. Ian Lucas:
It's a question to which either yes or no is the answer.
Mr. John Weigelt:
I will have to answer that I cannot affirm or deny that there is.... I don't have that knowledge.
Mr. Ian Lucas:
Right, okay. That's not very helpful.
Could you come back to me on that question?
Mr. John Weigelt:
Absolutely.
Mr. Ian Lucas:
Thank you.
Erik, I have in front of me two very impressive Apple devices, although my techie colleagues tell me that my iPhone is really very old.
The issue I have is that people access, for example, Facebook, very much through Apple, through the hardware that you provide. You have said that a lot of information goes into the Apple phone or the iPad, and it's not transferred elsewhere, and it's not your responsibility to transfer it elsewhere. I don't really buy that argument, because people access other platforms through your hardware.
You are one of the biggest businesses on the planet and you can deal with whom you like. Why should you be allowing businesses that don't agree with your approach to privacy to use your hardware to do business?
Mr. Erik Neuenschwander:
I don't know if the businesses agree or disagree with our approach. I think we'd certainly encourage.... We try to demonstrate that people can copy us in our approach to privacy.
What my team seeks to do and what I think the focus is, as I said, is to put the information on the device, but I do think we have a responsibility about where it goes. That's why we've taken steps in our operating system to get in between an application and certain data on the device.
There is some data that we've never exposed on the device, and I don't think we would. For instance, the user's phone number or hardware identifiers that could be used for tracking have never been available on our platform.
We did this with the design of a technology we call sandboxing, which actually separates applications from themselves and from data in the OS.
Mr. Ian Lucas:
My point is that you set out the principles. The chairman set them out, and it's really complex and difficult for us to legislate on these issues, as we're all discovering.
You can do business with Facebook or not. You could disallow access to Facebook through your hardware if you so chose if they did not adhere to the principles. Facebook has done your industry a lot of damage. Why do you continue to do business with them?
Mr. Erik Neuenschwander:
I guess if you're talking about their availability on the App Store, I think there are two—
Mr. Ian Lucas:
Well, it's a fact that so many people access Facebook through your devices.
Mr. Erik Neuenschwander:
Right, so on one hand, under the hypothetical, if the Facebook application wasn't there, Facebook offers a website, and people would still be able to access Facebook through the website, through our browser, or through a competing browser.
If we go further down that route and say that we should actually begin imposing what I would call—
Mr. Ian Lucas:
It's not imposing; it's about agreement. If you believe in your principles and you're an ethical company, then you should deal with people who abide by your principles. That's within your power.
Mr. Erik Neuenschwander:
Well, I suppose what's within my power are the technical controls. My approach is to say that underneath any application or any service running on the phone, we should find technical measures to keep the user in control of their data.
Mr. Ian Lucas:
What you could do is not do business with Facebook. You could choose an approach whereby you set out your principles and you apply them in dealing with who you want. Why don't you do that?
Mr. Erik Neuenschwander:
If I take that as the availability of Facebook on our App Store, it would not measurably impact privacy to withdraw that application from the App Store.
Mr. Ian Lucas:
You really don't?
Mr. Erik Neuenschwander:
I think that users—
Mr. Ian Lucas:
Do you think you'd get a bit of a headline?
(1105)
Mr. Erik Neuenschwander:
We'd get headline, sure. I don't personally believe that headlines necessarily impact privacy, with respect. I think users would—
Mr. Ian Lucas:
Don't you think it would make a substantial impact on the approach that Facebook has been taking?
Mr. Erik Neuenschwander:
As you point out, Facebook is an extremely popular service. Users would turn to web technologies in other ways to continue to access Facebook. I don't personally see a way that either Apple could or, out of respect for an individual's privacy, that I would be—
Mr. Ian Lucas:
What concerns me is that you're presenting yourselves as the good guys, but you're facilitating the bad guys through the use of your hardware.
Mr. Erik Neuenschwander:
We have taken many steps over the years to continue to constrain and raise the bar higher than any other platform on privacy and user control over the data on our hardware. It's precisely because of our hardware integration that we've been able to take so many positive, proactive steps toward putting users in control of data and finding ways to encourage date minimization.
Mr. Ian Lucas:
But you still want to do business with the bad guys.
The Chair:
Thank you, Mr. Lucas. We have to move on.
Next is Ms. Naughton, from Ireland.
Ms. Hildegarde Naughton:
Thank you.
I want to go back to Mr. Ryland and my earlier question in relation to Amazon displaying the names and email addresses of customers. Were you categorical that it did not happen?
Mr. Mark Ryland:
I'm certainly not familiar with the incident. I don't believe so, but we'll follow up.
Ms. Hildegarde Naughton:
There were two articles on November 21, 2018, in The Guardian and The Telegraph. Both of them stated that Amazon suffered a major data breach that caused the names and email addresses of customers to be disclosed on its website.
Mr. Mark Ryland:
I'd be happy to follow up on that.
Ms. Hildegarde Naughton:
Thank you. I just wanted to clarify that. It's very much on the record.
The Chair:
Go ahead, Mr. Lawless.
Mr. James Lawless:
I have a question about data portability and the GDPR principle. It struck me as an issue.
In terms of big data, it's where it sits, how it's housed and what form it's kept in, etc. Is that something you embrace? Do you want to hold proprietary data, so that it's exclusive to your corporation, or is it something you're comfortable with using open formats to share? Where are each of you at on data portability at the moment?
Mr. Alan Davidson:
We think access and data portability are extremely important parts of the GDPR and are actually really important pillars of any good privacy rules. Not only that, but they also could have a positive effect in the competition space. We think there's a lot of promising work to be done in not just getting people to be able to see what people have—and we do that when we hold data—but also in making it useful.
It's not just, “I can download my entire Facebook corpus of data”—which I've done and people should do, and it's really interesting—but it's also making it useful, so that I could take it somewhere else if I wanted to.
Mr. John Weigelt:
We're committed to the GDPR and the data portability principles. The big question comes around the interoperability of those profiles or that data, and making sure that you can move them from one place to another in a format that's appropriate. The jury is still out about where people want to move their data and in what formats.
Mr. James Lawless:
Microsoft has advanced on that. I know at one stage there was an alleged issue at Microsoft in terms of proprietary formats, but I know now there's always an option to “save as” in a more open format. Is that where you've gone with that?
Mr. John Weigelt:
Absolutely. We've even seen in cloud computing the industry move to take arbitrary activities and move them from one place to another. That's something that we've embraced. We've also looked to the open-source/open data community for advice and guidance.
Mr. Erik Neuenschwander:
In the expectation of GDPR, Apple launched a data and privacy portal. Users can download their personal information, both under access and under portability, in human and machine-readable formats.
Mr. Mark Ryland:
Speaking for Amazon web services, where I work, importing and exporting are fundamental capabilities of our platform. We never have an import service that doesn't have an accompanying export service, whether they are virtual machine formats or other kinds of import/export data formats. We have tools always going bidirectionally.
We also work a lot with the open-source community for the portability of application codes and so forth. For example, a lot of our platforms are supporting things like docker formats for containers, Kubernetes for cluster management and so forth. Users can very readily create highly portable systems and data portability across platforms. That's something customers expect, and we want to meet those customer needs.
(1110)
Mr. James Lawless:
You're saying it's the likes of Apache and the open-source foundations and those sorts of guidelines. We're merging open standards, and I suppose they're being embraced to an extent, or maybe they were pre-GDPR-type community concepts, but they're pretty much across the board now. Is that the case?
Mr. John Weigelt:
Absolutely.
Mr. James Lawless:
Yes, okay. That's very good. Thank you.
Thank you, Chair.
The Chair:
Next we'll go to Singapore for five minutes.
Ms. Sun Xueling:
Mr. Davidson, you mentioned earlier in a reply to Mr. Baylis that with regard to political ads, your first preference was for company action to promote transparency. I'd like to highlight two instances in which it seems that company action has fallen short.
In April 2018, Facebook implemented new rules for political ad transparency. They acknowledged they were slow to pick up foreign interference in the 2016 U.S. elections. They said they were increasing transparency around ads and that this would increase accountability, yet in late October 2018, Vice News published a report showing how easy it was to manipulate the so-called safeguard that Facebook had put in place. The reporters had been required to have their identification verified as having U.S. addresses before they could buy ads, but once verified, the reporters were able to post divisive ads and lie about who paid for them.
That's for Facebook.
Separately, in August 2018, Google said it had invested in robust systems to identify influence operations launched by foreign governments, but shortly after that, a non-profit organization, Campaign for Accountability, detailed how their researchers had posed as an Internet research agency and bought political ads targeting U.S. Internet users. According to CFA, Google made no attempt to verify the identity of the account and they approved the advertisements in less than 48 hours. The adverts ran on a wide range of websites and YouTube channels, generating over 20,000 views, all for less than $100.
Therefore, it does not sound as if the platforms are anywhere close to fulfilling their assurance to safeguard against foreign interference.
Would you agree with that?
Mr. Alan Davidson:
I think we clearly have a long way to go, absolutely, and it's been frustrating for those of us working in this space because we think that ad transparency is an incredibly important tool in being able to do this, and the other tools are not as good.
Ms. Sun Xueling:
Yes. It does not seem that it's a technical problem per se, because the researchers flagged that they used the Russian IP address to access Google's Russian advert platforms and supply the details of the Internet research agency, and they went as far as to pay for the adverts using Russian rubles.
That seems to suggest to us that it's more about a desire to sell ads rather than to cut foreign interference.
Mr. Alan Davidson:
I'd caution you a little. The jury is still out. It's still early days. There's a lot more to do, I think. Perhaps the experience in the parliamentary elections in Europe and the elections in India will be informative. That's where people were trying to take much more proactive steps. I think we need to be able to assess that. That's partly why transparency is important.
Platforms need to do more, but as somebody else among your colleagues has pointed out, we should also look at who is perpetrating these acts—
Ms. Sun Xueling:
Definitely, yes.
Mr. Alan Davidson:
—and this is where we as companies need the help of government when nation states are attacking companies.
Ms. Sun Xueling:
You used the term earlier about having guardrails.
Mr. Alan Davidson:
Yes.
Ms. Sun Xueling:
I think that's important to prevent all of us from dropping into the abyss of disinformation.
Mr. Alan Davidson:
Agreed.
Ms. Sun Xueling:
Thank you.
Chair, thank you.
The Chair:
Thank you.
We'll go to Anita next. Go ahead.
Ms. Anita Vandenbeld:
To change the topic a little, in your opening remarks, Mr. Davidson, you talked about the fact that your company's workforce is focusing more on diversity. We know and we've heard testimony that algorithms are influenced by the social biases of those who are programming them, so if most of the programmers are young 20-something males, their social bias will be perpetrated through the algorithms.
How important is it that the workforce be diversified? How are you doing that, and what impact is it having?
Mr. Alan Davidson:
We think it's extremely important. It's essential not just because it's the right thing to do—and it is the right thing to do—but also because our argument is we all will build better products if we have a more diverse workforce that reflects the broader base of the communities we serve.
It's been a big struggle in Silicon Valley, in the tech industry generally, and I think we all should acknowledge that. We constantly need to work on it.
We've made it a very big priority in our company. As an example, every executive in our company has goals for the year. We call them objectives and key results. We all set our own, but one is mandatory for everybody: How well did you do in diversity in your hiring? It adds that little extra push to know you're being graded on it.
We need to do more of that, and we will be the first to say we have a way to go. I think we've probably made a lot of progress in gender diversity, particularly within our technical community. We've done less well and still have a long way to go on other kinds of ethnic diversity, and we are really working on it.
(1115)
Ms. Anita Vandenbeld:
Thank you.
Mr. Alan Davidson:
Thank you for raising it.
Ms. Anita Vandenbeld:
Could I ask the other platforms to each comment on that aspect?
Mr. John Weigelt:
At Microsoft, Satya Nadella has made it a top priority, and we recognize that our decisions and our products are better if our company better reflects the communities we serve.
Here in Canada, we're working to have Microsoft Canada reflect the cultural mosaic that Canada has, which includes not only gender but ethic backgrounds and orientation. Also, for those people who have unique adaptive requirements and unique work styles, such as visual challenges or hearing challenges or perhaps mental attention challenges....
Really, we're creating that community, and we build that into our AI ethics program. We have a governance committee that looks at sensitive uses of AI, but then we convene a very diverse community to do a 360° view of that sensitive use. We want very explicitly to have that cross-sectional perspective from every person in the organization who has a comment and to represent, again, that cultural mosaic. That way, we feel we can address some of those potential unintended consequences up front and be able to provide advice and guidance going forward.
Ms. Anita Vandenbeld:
Go ahead.
Mr. Erik Neuenschwander:
Diversity is one of the four corporate values that our CEO Tim Cook has espoused, in addition to privacy. They're both quite important. It goes far beyond AI. Certainly speaking from a privacy dimension, it's very much about the human condition, and having a diversity of viewpoints will help us make good choices.
I don't have the numbers at hand about how our diversity is today. I'm sure we still have a long way to go. We have taken steps not only to improve our hiring and our outreach in terms of bringing diverse people into the workforce, but also in taking a look at churn, or career longevity. It's one thing to get somebody in the door, but you also want to make sure they have a productive and fulfilling career experience to stay and continue contributing.
As I said, we have more work to do on both of those dimensions.
Ms. Anita Vandenbeld:
Thank you.
Mr. Mark Ryland:
You'll hear a similar story from Amazon. We place a big focus on diversity. It's a big part of our corporate goals, and hiring managers and executives are given specific goals in that area.
Of course, it's not just a matter of hiring. It's also a matter of career longevity, career management and creating communities of interest within our company that allow people to feel both integrated into the larger organization and to have communities of interest that they feel very much at home in.
We do a lot of work across all those areas to increase the diversity of the business. Again, we think that's best for business. Not only is it the right thing to do, but it will help us to build better products, because the diverse backgrounds of our employees will match the customers we're trying to serve.
Ms. Anita Vandenbeld:
Thank you.
The Chair:
Thank you, Ms. Vandenbeld.
I have an explanation of what's going to happen. We have a few more comments, and then we're going to have some final closing comments of the IGC from our vice-chairs, my co-chair and then me. Then we'll be done. It might go a little past 11:30, but it will be very close.
I have Mr. Kent for five minutes.
Hon. Peter Kent:
Thank you, Mr. Chair.
If I could come back to the topic of competition, antitrust and monopolies in the new marketplace, there's been a lot of discussion recently, particularly in the United States, about the new digital monopolies and the fact that they may be a lot more durable than monopolies in the past—the railroads, the phone companies and so forth. They can overwhelm competition by either buying it or destroying it.
Yesterday I quoted, to the Facebook representative who was before us, the writings of Chris Hughes, the disillusioned former co-founder of Facebook. I know there's been some suggestion from some of our panellists today that their companies may be willing to accept versions of the European legislation, but one of Mr. Hughes' headlines suggests that Facebook should, in fact, be broken up and be subject to antitrust application. He said, “Facebook isn't afraid of a few more rules. It's afraid of an antitrust case”.
I know the defence against antitrust prosecution is a little more difficult because your big data monopolies use the excuse that your service is free and that there's not a tangible or identifiable dollar cost to what consumers are buying.
Again, this question may be greater than your job descriptions allow, which is why we asked that CEOs be present with us today, but I wonder, particularly in the case of Amazon and Microsoft, if you could discuss your companies' views with regard to countering these growing antitrust discussions and calls for breakup in the interests of greater competition and greater consumer protection.
I'll start with Mr. Ryland.
(1120)
Mr. Mark Ryland:
I'd be happy to say a few words about that.
Again, our business model is very traditional. We're selling goods and services—they have monetary value—both in our retail Amazon.com business and our cloud computing business, and we are facing robust competition across all kinds of different services and platforms that are not limited to online. There's a vast variety of channels and mechanisms that people use to acquire IT services, whether it be for a cloud or other kinds of capabilities. It's just a very different business model from our perspective, and our use of data to enhance the consumer experience is, we believe, very much adding value for consumers, and they really enjoy the experience of using these technologies.
I think it's a very different approach to some of the issues that you raise. Again, that's kind of a high-level statement, and beyond that, in terms of specifics around competition law, I've already disclosed that I'm not an expert.
Again, I think our business model is very traditional in that regard, so I think it's a bit different.
Hon. Peter Kent:
Thanks.
I'll go to Microsoft.
Mr. John Weigelt:
I think that as you look at our longevity since the seventies, we've seen ebbs and flows. We used to have a phone. We have a great browser, but it has undergone a number of revisions. The vision of having a PC on every desktop has now changed to a phone in every pocket. We see these ebbs and flows that move through the environment.
As for the consumer data environment, consumers will go to services that are popular to them, and they will have ebbs and flows. Certainly if you speak with millennials today, the millennials are off in different places. For example, my children, who are kind of in that space, although they'll disagree that they're millennials, will say, “Dad, I'm not there, so don't talk to me on that channel—talk to me on this channel.” These things ebb and flow.
The data then lends itself to algorithms. We see an algorithmic age coming, and people using algorithms as a monetization technique. We see a move from algorithms to APIs and people monetizing APIs.
What we have is this continual innovation engine that's moving forward. We need to work together to try to figure out those unintended consequences, the lessons that we are learning along the way when it comes to disinformation, such as, for example, the squishy bag that happens when we push down on one place and then are surprised when it's “Oh, we didn't think about that.” Working together, then we can put in place those instruments to be able to do that.
I've abstracted this out, I know, from your question around anti-competition and antitrust, but I'd like to look at it from the macro level and how these things ebb and flow. How do we then put in place strong protection mechanisms for businesses and for people? That's through partnerships.
Hon. Peter Kent:
Next are Apple and then Mozilla.
Mr. Erik Neuenschwander:
I don't know that I have much to add to the comments of the other panellists. I think that we are very much about both trying to put the diversity of the App Store in front of our users and trying to enable great competition. I think that has been wildly successful for many different companies in that space.
When it comes to personal data, we practice data minimization and are not trying to empower Apple but instead to empower users.
Mr. Alan Davidson:
I would just say that I work at a company that in some ways has its roots in a reaction to a dominant player in the market, which at the time was Internet Explorer. I think we do believe that antitrust law provides some really important guardrails in the market. We want what everybody wants, which is a level playing field of competition.
We think there are a lot of concerns out there about size. With size comes responsibility. We also think that there are a lot of very powerful tools in the hands of antitrust regulators today. We probably need to think about how to give them more information, more tools and a better understanding of things such as APIs and the power of data in their analysis. That's really where the upgrade needs to happen first, even as we think about how to expand the roles. This is a very important area.
(1125)
Hon. Peter Kent:
To contemporize digitally...?
Mr. Alan Davidson:
A contemporized digital antitrust enforcer is what we need out there.
Hon. Peter Kent:
Thank you.
The Chair:
Thank you, Mr. Kent.
Last in the line of questions is David. Go ahead, Mr. Graham.
Mr. David de Burgh Graham:
Thank you.
I got everybody else earlier, so I want to go to Mr. Ryland from Amazon for a bit.
Earlier you were talking to Mr. Lucas about whether Alexa has ever been compromised. As I recall, you said that it has not. Is that correct?
Mr. Mark Ryland:
That's right.
Mr. David de Burgh Graham:
Are you not familiar with the Checkmarx hack of only a year ago that did a complete compromise of Alexa and could cause Alexa to stream live audio in an unlimited amount?
Mr. Mark Ryland:
I wasn't familiar with that particular.... I'll get back to you on that.
Mr. David de Burgh Graham:
Are you not the director of security engineering?
Mr. Mark Ryland:
What's that?
Mr. David de Burgh Graham:
Are you not the director of security engineering?
Mr. Mark Ryland:
I am, at Amazon Web Services, yes.
Mr. David de Burgh Graham:
You're at Amazon Web Services; so we weren't sent someone from Amazon proper. I just wanted to get that clear.
Amazon has an integrated marketing system. If I go and search for something on Amazon, and then I go onto another computer on another website, I will have ads pop up for me from Amazon saying, “Hey, do you want to buy this thing that you searched for on a different device on a different day at a different time with a different IP address?” How does Amazon know that? What kind of data exchange happens between Amazon and other sites like Facebook and other websites all across...? For example, National Newswatch does that to me.
What is the information exchange there? How do you know who I am on another device?
Mr. Mark Ryland:
We do participate in ad exchanges. We have a whole privacy site on our website that allows you to opt out of advertising. Again, that's not personal data. That's anonymized data. It's based on demographic profiling.
Again, it's straightforward to opt out of that on our website, or you can use some of the industry's tools, such as AdChoices, to opt out from participating in ad networks.
Mr. David de Burgh Graham:
It's anonymized data, but it knows exactly that one thing that I looked for three hours ago.
Mr. Mark Ryland:
I can't speak to the very specific experience you had, but we're not using your personal data for that type of use case.
Mr. David de Burgh Graham:
Okay.
At the very beginning of the meeting, you had some interesting perspectives on consent for the use of data. It caused a very good intervention from Mr. Angus. In Amazon's opinion or in your opinion, what is the limit of consent for the sharing of data? Is it explicit? If something is advertised on the box as a “smart” device, is that enough for consent to share data?
Mr. Mark Ryland:
We think context awareness makes sense. The reasonable consumer consuming a certain experience will have some idea of what is involved. If that is not there, then we want that to be more explicit. It's very contextual.
It also depends, obviously, on the type of data. Some data is much more sensitive than other data. As one of the other panellists mentioned, using an online gaming platform is different from using a health care site, so it's being context aware and content aware. Context-based consent makes a lot of sense.
Mr. David de Burgh Graham:
Okay.
You mentioned earlier that you're a customer-oriented company. Are you also a worker-oriented company?
Mr. Mark Ryland:
Yes. We very much try to be very worker-oriented.
Mr. David de Burgh Graham:
Do you not get engaged in anti-union practices?
Mr. Mark Ryland:
Again, it's not my area of expertise, but I would say that we treat our workers with respect and dignity. We try to pay a solid wage and give them reasonable working conditions.
Mr. David de Burgh Graham:
Do you engage in any data collection from your own employees?
Mr. Mark Ryland:
Like all companies, we collect data around things like web access and an appropriate use of our technology to protect other workers in the workforce.
Mr. David de Burgh Graham:
Then at no time did Amazon distribute anti-union marketing materials to newly acquired companies.
Mr. Mark Ryland:
I'm not familiar with that particular scenario.
Mr. David de Burgh Graham:
Well, the next time we have this committee, I hope we have somebody at Amazon who knows the policies of Amazon rather than AWS. You do very good work at web services, but we need to know about Amazon as a whole company.
I think that's all I have for the moment. Thank you.
The Chair:
Thank you, David.
I did neglect Jo from the U.K., and—
Mr. James Lawless:
Chair, before you hand it to Ms. Stevens, I must apologize; we need to catch a flight.
I would just thank the committee for the engagement over the last few days.
The Chair:
All right. Thank you. We will see you again in November of this year.
Mr. James Lawless: Absolutely.
The Chair: Give our best to Ms. Naughton. Thank you for coming.
Mr. James Lawless:
Thank you very much.
The Chair:
Go ahead, Jo.
Ms. Jo Stevens:
Thank you very much, Chair.
I want to go back to something you said earlier, John, about a board or a group that you have to look at sensitive use of AI. Can you give me an example of what sort of AI deployment you would describe as “sensitive”?
(1130)
Mr. John Weigelt:
One area is the use of artificial intelligence in medical diagnosis. We look at three criteria: Can it approve or deny consequential services? Is there infringement on human rights or human dignity? Are there health and safety issues at hand?
In one case, researchers were training artificial intelligence algorithms on chest X-rays. They then wanted to put that onto the emergency room floor, and they said, “Hey, this might impact patients. We need to understand how this works.” Our committee came together. We reviewed the datasets. We reviewed the validity of that open-source dataset and the number of people there. Then we provided guidance back to the researchers who were putting this in place. The guidance was along the lines of, “Hey, this is not for clinical use”, because software as a medical device is a completely different area. It requires certifications and whatnot.
However, if we're trying to assess whether or not artificial intelligence could potentially have the ability to learn from these scans, then that would be a good use. That's how we would tend to look at that situation.
Ms. Jo Stevens:
That's a really useful example. Thank you.
We do know, and there's plenty of evidence about this, that there is both deliberate and unconscious bias inherent in AI. I think there's quite a strong argument for a regulatory approach to govern AI deployment, much like we have in, say, the pharmaceutical sector. When you look at a product, before you can put it on the market, you have to look at what might be the unintended side effects of a particular medicine.
What do you feel about that? Do you think there is an argument for a regulatory approach, particularly because, as we know, the current deployment of AI does discriminate against women and does discriminate against black and ethnic minority citizens? People are losing jobs and are not gaining access to services like loans and mortgages because of this.
Mr. John Weigelt:
Absolutely. I think your point is well made around the unintended creep of bias into AI decision-making solutions, so we do need to guard against that. It's one of those engineering principles that we're working hard on to come out with guidance and direction to our teams.
There are some areas where we've advocated for very swift and direct action to move more carefully and more deliberately, and one area is facial recognition software. It's to your very point that a lot of these models have been trained on a very homogeneous community and are therefore not looking at the diverse community that they must serve.
We are quite strong advocates for putting in place legislative frameworks around some of the consent regimes, such as whether you have banners on the streets that say that, whether you have measurements, what the difference is between public and private space, and things like that.
Ms. Jo Stevens:
How willing are you to make the work that you've been doing public? I appreciate if you're doing it behind the scenes. That's great, but it would be useful to know what you're doing and what your colleagues are doing.
Mr. John Weigelt:
Absolutely. Clearly, we need to do more about advising and alerting the community about all the great work that's under way. We've published guidance around bots and how to make sure that bots are behaving properly, because we've had our own negative experience around a foul-mouthed, bigoted bot that was trolled for a while. We learned from that. Our CEO stood behind our team, and we did better. Now we've provided guidance, and it's publicly available.
We have what is called the AI Business School, which has a complete set of lectures for business leaders to put in an AI governance model. We're working with that community to help them. We're working to evangelize the work that we're doing internally around our AI ethics overview.
Lastly, I would say that we're working in the 60-plus different regulatory guidance document activities that are happening around the world so that we can start to socialize this from a practical experience perspective. Here in Canada there's the AI impact assessment and the AI ethics guidance standard that are being developed.
Ms. Jo Stevens:
It would be really nice to see a virtual assistant that is not a subservient female in the future. I look forward to seeing something different.
Thank you.
The Chair:
Thank you, Jo.
Now we'll get into our closing comments from our vice-chairs and then the co-chair.
Nate, would you start with your 60 seconds, please?
Mr. Nathaniel Erskine-Smith:
I think if we've learned anything from the last few days, it's that we continue to live in an age of surveillance capitalism that has the potential for serious consequences to our elections, to our privacy and to innovation, frankly.
While it has been frustrating at times, I do think we have made progress. We have had every single platform and big data company now say what they haven't said previously: They are going to embrace stronger privacy and data protection rules.
We had the platforms yesterday note that they need public accountability in their content control decisions and yesterday they acknowledged corporate responsibility for algorithmic impacts, so there is progress, but there is also a lot more work to do with respect to competition and consumer protection, and with respect to moving from an acknowledgement of responsibility for the algorithms that they employ to real accountability and liability when there are negative consequences to those decisions.
I think there's a lot more work to do, and that will depend upon continued global co-operation. I think our Canadian community has worked across party lines effectively. This international committee has now worked effectively across oceans, in some cases, and across countries.
The last thing I will say is that it's not just about addressing these serious global problems with serious global co-operation among parliamentarians; it requires global co-operation from companies. If there is any last takeaway, it is that the companies simply didn't take it seriously enough.
(1135)
The Chair:
Thank you, Mr. Erskine-Smith.
Next we will go to Charlie.
Mr. Charlie Angus:
Thank you to our two excellent chairs. Thank you to our witnesses.
I think we have seen something extraordinary. I've been very proud of the Canadian Parliament and our willingness to be part of this process.
There's been some extraordinary testimony in terms of the quality of questions, and I've been very proud to be part of it. Two extraordinary facts are that we have never in my 15 years ever worked across party lines on pretty much anything, and yet we came together. Also, we have never, ever worked across international lines. We can thank a Canadian whistle-blower, Christopher Wylie, who opened the door to the digital Chernobyl that was happening around us.
As politicians, we stay away from complex technical things. They frighten us. We don't have the expertise, so we tend to avoid them, which I think was a great advantage for Silicon Valley for many years.
These things are not all that technical. I think what we've done these last two days with our international colleagues—and what we will continue to do internationally—is to make it as simple and clear as possible to restore the primacy of the person in the realm of big data. Privacy is a fundamental human right that will be protected. Legislators have an obligation and a duty to protect the democratic principles of our country, such as free expression and the right to participate in the digital realm without growing extremism. These are fundamental principles on which our core democracies have been founded. It's no different in the age of the phone than it was in the age of handwritten letters.
I want to thank my colleagues for being part of this. I think we came out of this a lot stronger than we went in, and we will come out even further. We want to work with the tech companies to ensure that the digital realm is a democratic realm in the 21st century.
Thank you all.
The Chair:
Thank you, Charlie.
Go ahead, Damian.
Mr. Damian Collins:
Thank you very much, Mr. Chairman.
I'd just like to start by congratulating you and the members of your committee for the excellent job you've done in hosting and chairing these sessions. I think it's done exactly what we hoped it would do. It has built on the work we started in London. I think it's a model for co-operation between parliamentary committees in different countries that are working on the same issues and benefiting from related experience and insights.
The sessions have been split between what we call social media companies yesterday and other data companies here. Really what we're talking about is that while there are different functions, these are all basically huge data businesses. What we're interested in is how they gather their data, what consent they have for doing so and how they use it.
Across the sessions, time and again we saw companies unwilling to answer direct questions about how they gather data and how they use it. Whether it's asking how Amazon and Facebook share data.... Even though this is widely reported, we don't know. My colleague, Mr. Lucas, asked about LinkedIn and Microsoft data being shared. It's possible to totally integrate your LinkedIn data with your Microsoft tools, and a quick Google search can tell you exactly how to it.
I don't understand why companies are unwilling to talk openly about the tools they put in place. People may consent to use these tools, but do they understand the extent of the data they're sharing when they do? If it's as simple and straightforward as it seems, I'm always surprised that people are unwilling to talk about it. For me, these sessions are important because we get the chance to ask the questions that people won't ask and to continue to push for the answers we need.
Thank you.
The Chair:
I'll speak to the panellists first and then get into some closing comments.
I want to encourage you. You had promised, especially Mr. Ryland, about giving us a lot of the documents that you didn't.... Various commenters didn't have all the information that we were asking for. I would implore you to provide the information we requested to the clerk next to me so we can get a comprehensive answer for the committee. We'll provide it to all the delegates here.
Something that's really going to stick with me is a comment by Roger McNamee about the term "voodoo dolls”.
I watch my kids. I have four children. One is 21, one is 19, one is 17 and one is 15. I watch them becoming more and more addicted to these phones. I see work done by our colleagues in London about the addictive capabilities of these online devices. I wondered where are they going with this. You see that the whole drive from surveillance capitalism, the whole business model, is to keep them glued to that phone, despite the bad health it brings to those children, to our kids. It's all for a buck. We're responsible for doing something about that. We care about our kids, and we don't want to see them turned into voodoo dolls controlled by the almighty dollar and capitalism.
Since we like the devices so much, I think we still have some work to do to make sure we still provide access. We like technology and we've said that before. Technology is not the problem; it's the vehicle. We have to do something about what's causing these addictive practices.
I'll say thanks and offer some last comments.
Thanks to our clerk. We'll give him a round of applause for pulling it off.
He has that look on his face because events like this don't come off without their little issues. We deal with them on a real-time basis, so it's challenging. Again, I want to say a special thanks to Mike for getting it done.
Thanks also to my staff—over to my left, Kera, Cindy, Micah, Kaitlyn—for helping with the backroom stuff too. They're going to be very much de-stressing after this.
I'll give one shout-out before we finally close—oh, I forgot the analysts. Sorry. I'm always forgetting our poor analysts. Please stand.
Thank you for everything.
Thanks to the interpreters as well. There were three languages at the back, so thank you for being with us the whole week.
I'll give a little shout-out to our friend Christopher Wylie, despite being upstaged by sandwiches. I don't know if somebody saw the tweets from Christopher Wylie: “Democracy aside, Zuckerberg also missed out on some serious sandwich action.” He suggested that I mail the leftovers to Facebook HQ. Maybe that's the way we get the summons delivered into the right hands.
I want to thank all the media for giving this the attention we think it deserves. This is our future and our kids' future.
Again, thanks to all the panellists who flew across the globe, especially our U.K. members, who are our brothers and sisters across the water.
Singapore is still here as well. Thank you for coming.
Have a great day.
We'll see you in Ireland in November.
The meeting is adjourned.
|
Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique
(0835)
[Traduction]
Le président (M. Bob Zimmer (Prince George—Peace River—Northern Rockies, PCC)):
La 155e séance du Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique est ouverte.
Il s'agit de la dernière de nos grandes réunions internationales cette semaine, celle du Grand Comité international sur les mégadonnées, la protection des renseignements personnels et la démocratie.
Nous accueillons aujourd'hui, de chez Amazon, Mark Ryland, directeur de l'ingénierie de sécurité, au Bureau du dirigeant principal de la sécurité de l'information pour Amazon Web Services.
Marlene Floyd, directrice nationale des Affaires commerciales, et John Weigelt, agent national de technologie, représentent Microsoft Canada inc.
De la Mozilla Foundation, nous recevons Alan Davidson, vice-président, Politique mondiale, confiance et sécurité.
Enfin, de chez Apple Inc., nous accueillons Erik Neuenschwander, gestionnaire pour la vie privée des utilisateurs.
Nous allons passer aux témoignages. Je tiens à signaler que nous avons invité les PDG. Il est regrettable qu'ils ne se soient pas présentés. Comme je l'ai dit à nombre d'entre vous avant la séance, il doit s'agir ici d'une réunion constructive pour chercher les moyens d'apporter des améliorations. Certaines propositions que vos sociétés ont faites d'emblée sont bonnes, et c'est pourquoi nous souhaitions accueillir les PDG, qui auraient pu répondre à nos questions. Nous sommes néanmoins heureux que vous soyez parmi nous.
Nous entendrons d'abord M. Ryland, qui aura 10 minutes.
M. Mark Ryland (directeur, Ingénierie de sécurité, Bureau du dirigeant principal de la sécurité de l'information pour Amazon Web Services, Amazon.com):
Merci beaucoup.
Bonjour, monsieur le président Zimmer, et mesdames et messieurs les membres du Comité. Je salue également les invités venus de l'étranger.
Je m'appelle Mark Ryland, et je suis directeur de l'ingénierie de sécurité au Bureau du dirigeant principal de la sécurité de l'information pour Amazon Web Services, la division de l'infonuagique chez Amazon.
Merci de m'avoir invité à m'entretenir avec vous. C'est un plaisir de me joindre à cette importante discussion. Je chercherai surtout à expliquer comment Amazon place la sécurité et la confiance des consommateurs au centre de toutes ses activités.
La mission d'Amazon est d'être l'entreprise la plus axée sur la clientèle au monde. Sa philosophie d'entreprise est profondément ancrée dans une démarche qui consiste à faire le cheminement inverse, à partir des besoins du client, et à innover constamment pour lui offrir ensuite un meilleur service, un choix plus vaste et des prix plus bas. Cette approche s'applique à tous ses secteurs d'activité, y compris ceux qui concernent la protection des renseignements des consommateurs et la cybersécurité.
Amazon est au service des clients canadiens depuis le lancement d'amazon.ca, en 2002. L'entreprise compte plus de 10 000 employés à temps plein au Canada et elle a annoncé en 2018 qu'elle comptait créer 6 300 emplois de plus.
Amazon a également deux carrefours technologiques, l'un à Toronto et l'autre à Vancouver. Ces regroupements de bureaux emploient plus d'un millier d'ingénieurs en logiciels et un certain nombre de techniciens de soutien. Ils élaborent certains de nos systèmes mondiaux les plus avancés. Il y a également des bureaux à Victoria pour www.abebooks.com et la filiale AWS Thinkbox, à Winnipeg.
L'entreprise exploite sept centres de traitement au Canada, et quatre autres ont été annoncés. Ils ouvriront tous leurs portes cette année, en 2019.
Un mot maintenant au sujet de notre plateforme infonuagique.
Il y a un peu plus de 13 ans, Amazon a lancé Amazon Web Services, son entreprise d'infonuagique. C'est à Montréal que se trouve le siège d'AWS au Canada, où AWS compte un certain nombre de centres de données distincts. Nous avons lancé AWS parce qu'après plus d'une décennie passée à construire et à exploiter Amazon.com, nous nous sommes aperçus que nous avions acquis une compétence fondamentale dans l'exploitation d'une infrastructure technologique et de centres de données à très grande échelle. Nous nous sommes engagés dans une mission plus vaste, celle de servir les développeurs et les entreprises en leur offrant des services de technologie de l'information qu'ils peuvent utiliser pour gérer leurs propres entreprises.
Le terme « infonuagique » désigne la prestation sur demande de ressources de TI sur Internet ou sur des réseaux privés. Le nuage d'AWS s'étend sur un réseau de centres de données répartis dans 21 régions géographiques dans le monde entier. Au lieu de posséder et d'entretenir leurs propres centres de données, nos clients peuvent acquérir des technologies telles que la puissance de calcul, le stockage et les bases de données en quelques secondes, au gré des besoins, en appelant simplement une API ou en cliquant sur une console graphique.
Nous fournissons l'infrastructure et les services de TI de la même façon que le consommateur qui appuie sur l'interrupteur d'une lampe chez lui reçoit l'électricité d'un fournisseur.
L'une des préoccupations du Comité est la démocratie. Eh bien, nous démocratisons vraiment l'accès à des services de TI que seulement de très grandes organisations pouvaient s'offrir auparavant, vu l'importance du dispositif nécessaire. Maintenant, les plus petites organisations peuvent avoir accès à ce même type de technologie de pointe très perfectionnée en cliquant simplement sur un bouton et en payant uniquement leur consommation.
Aujourd'hui, AWS fournit des services informatiques à des millions de clients actifs dans plus de 190 pays. Les entreprises qui se prévalent des services d'AWS vont de grandes entreprises canadiennes comme Porter Airlines, Shaw, la Banque Nationale du Canada, TMX Group, Corus, Capital One et Blackberry jusqu'à de jeunes entreprises novatrices comme Vidyard et Sequence Bio.
Je tiens à souligner que la protection de la vie privée commence au fond par la sécurité. Il n'est possible de se conformer aux règlements et aux attentes en matière de protection des renseignements personnels que si la confidentialité des données est prise en compte dès la conception même des systèmes. Chez AWS, nous disons que la sécurité est la fonction primordiale: elle est encore plus importante que la toute première priorité. Nous savons que, si la sécurité n'est pas assurée, notre entreprise ne peut pas exister.
AWS et Amazon veillent jalousement à la sécurité et à la protection des renseignements des consommateurs et ont mis en œuvre des mesures techniques et physiques perfectionnées pour bloquer tout accès non autorisé aux données.
La sécurité est la responsabilité de tous. Bien que nous ayons une équipe d'experts en sécurité de calibre mondial qui surveille nos systèmes 24 heures sur 24 et 7 jours sur 7, afin de protéger les données des clients, chaque employé d'AWS, peu importe son rôle, est responsable de veiller à ce que la sécurité fasse partie intégrante de toutes les facettes de notre entreprise.
La sécurité et la protection des renseignements personnels sont une responsabilité partagée d'AWS et du client. Cela signifie qu'AWS est responsable de la sécurité et de la protection des renseignements personnels dans le nuage même, et que les clients sont responsables de la sécurité et de la confidentialité dans leurs systèmes et leurs applications qui fonctionnent dans le nuage. Par exemple, les clients doivent tenir compte de la sensibilité de leurs données et décider s'il faut les crypter et comment. Nous offrons une grande variété d'outils de cryptage et des conseils pour aider les clients à atteindre leurs objectifs en matière de cybersécurité.
Nous disons parfois: « Dansez comme si personne ne vous regardait. Cryptez comme si tout le monde était aux aguets. » Le cryptage est également utile pour garantir la confidentialité des données. Dans de nombreux cas, les données peuvent être effacées de façon efficace et permanente simplement en supprimant les clés de cryptage. (0840)
De plus en plus, les organisations prennent conscience du lien entre la modernisation de la TI offerte par le nuage et une meilleure posture en matière de sécurité. La sécurité dépend de la capacité de garder une longueur d'avance dans un contexte de menaces qui évolue rapidement et continuellement, ce qui exige à la fois agilité opérationnelle et technologies de pointe.
Le nuage offre de nombreuses caractéristiques avancées qui garantissent que les données sont stockées et manipulées en toute sécurité. Dans un environnement classique, sur place, les organisations consacrent beaucoup de temps et d'argent à la gestion de leurs propres centres de données et se préoccupent de se défendre contre une gamme complète de menaces très variables et en constante évolution qu'il est difficile de prévoir. AWS met en œuvre des mesures de protection de base, comme la protection contre les DDoS ou la protection contre les dénis de service distribués; l'authentification, le contrôle d'accès et le cryptage. À partir de là, la plupart des organisations complètent ces protections en ajoutant leurs propres mesures de sécurité pour renforcer la protection des données de l'infonuagique et resserrer l'accès à l'information délicate dans le nuage. Elles disposent également de nombreux outils pour atteindre leurs objectifs en matière de protection des données.
Comme la notion de « nuage » est une nouveauté pour bien des gens, je tiens à souligner que les clients d'AWS sont les propriétaires de leurs propres données. Ils choisissent l'emplacement géographique où ils entreposent leurs données dans nos centres hautement sécurisés. Leurs données ne bougent pas à moins qu'ils ne décident de les déplacer. Nous n'accédons pas aux données de nos clients et nous ne les utilisons pas sans leur consentement.
La technologie est un élément important de la vie moderne et elle a le potentiel d'offrir des avantages extraordinaires dont nous commençons à peine à prendre conscience. Les solutions basées sur les données offrent des possibilités illimitées d'améliorer la vie des gens, qu'il s'agisse de poser des diagnostics médicaux beaucoup plus rapides ou de rendre l'agriculture beaucoup plus efficace et durable. Face à de nouveaux enjeux liés à la technologie, il se peut qu'il faille de nouvelles approches réglementaires, mais elles devraient éviter de nuire aux incitatifs à l'innovation et de limiter les gains d'efficience importants comme les économies d'échelle et la portée des technologies.
Nous croyons que les décideurs et les entreprises comme Amazon ont des objectifs très semblables: protéger la confiance des consommateurs et les renseignements personnels et promouvoir les nouvelles technologies. Nous partageons l'objectif de trouver des solutions communes, surtout en période d'innovation rapide. À mesure que la technologie évoluera, nous aurons tous la possibilité de travailler ensemble.
Merci. Je me ferai un plaisir de répondre à vos questions.
Le président:
Merci, monsieur Ryland.
Nous passons maintenant à Microsoft. Entendrons-nous Mme Floyd ou M. Weigelt?
Mme Marlene Floyd (directeur national, Affaires commerciales, Microsoft Canada inc.):
Nous allons nous partager le temps de parole.
Le président:
D'accord. À vous.
[Français]
M. John Weigelt (agent national de technologie, Microsoft Canada inc.):
Merci, monsieur le président.
Nous sommes heureux d'être ici avec vous aujourd'hui.[Traduction]
Je m'appelle John Weigelt. Je suis l'agent national de technologie pour Microsoft au Canada. Ma collègue, Marlene Floyd, directrice nationale des affaires commerciales chez Microsoft Canada, m'accompagne. Nous sommes heureux d'avoir l'occasion de comparaître devant le Comité. Le travail que vous avez entrepris est important, compte tenu de la place de plus en plus grande du numérique et de l'incidence de la technologie sur les emplois, la protection des renseignements personnels, la sécurité, la participation de tous et l'équité.
Depuis la création de Microsoft Canada, en 1985, notre présence ici s'affirme de plus en plus, au point que nous avons désormais 10 bureaux régionaux aux quatre coins du pays, et ils emploient plus de 2 300 personnes. Au centre de développement de Microsoft à Vancouver, plus de 700 employés mettent au point des produits qui sont utilisés dans le monde entier. Des recherches de pointe sur l'intelligence artificielle sont également menées par des docteurs et des ingénieurs au laboratoire de recherche de Microsoft à Montréal. Ils travaillent en partenariat avec les universités de cette ville.
Des technologies puissantes comme l'infonuagique et l'intelligence artificielle transforment notre façon de vivre et de travailler et apportent des solutions à certains des problèmes les plus urgents du monde. Chez Microsoft, nous considérons avec optimisme les avantages de ces technologies, mais nous sommes aussi lucides devant les défis qui exigent une réflexion qui va au-delà de la technologie pour garantir l'application de principes éthiques forts et de lois adaptées. Quel rôle la technologie devrait-elle jouer dans la société? Pour répondre, il faut que des représentants de l'État, du milieu universitaire, du monde des affaires et de la société civile conjuguent leurs efforts pour modeler l'avenir.
Il y a plus de 17 ans, lorsqu'il a affirmé que « l'informatique fiable » était au premier rang des priorités chez Microsoft, Bill Gates a changé radicalement la façon dont cette société offre des solutions sur le marché. Cet engagement a été réitéré par l'actuelle PDG, Satya Nadella, en 2016. Nous croyons que la vie privée est un droit fondamental. Notre approche à l'égard de la protection de la vie privée et des données personnelles repose sur notre conviction que les clients sont propriétaires de leurs propres données. Par conséquent, nous protégeons la vie privée de nos clients et leur donnons le contrôle de leurs données.
Nous avons préconisé l'adoption de nouvelles lois sur la protection de la vie privée dans un certain nombre de pays, et nous avons été parmi les premiers à appuyer le RGPD en Europe. Nous reconnaissons que, pour les gouvernements, il est très important d'avoir une capacité informatique située près de leurs administrés. Microsoft a des centres de données dans plus de régions que tout autre fournisseur de services infonuagiques, avec plus d'une centaine de centres de données répartis dans plus de 50 régions du monde. Nous sommes très fiers que deux de ces centres de données soient situés ici, au Canada, soit en Ontario et au Québec.
La protection de nos clients et de la collectivité en général contre les cybermenaces est une responsabilité que nous prenons très au sérieux. Microsoft continue d'investir plus de 1 milliard de dollars par année dans la recherche et le développement en matière de sécurité, et des milliers de professionnels de la sécurité mondiale travaillent avec notre centre de renseignement sur les menaces, notre unité de la criminalité numérique et notre centre des opérations de cyberdéfense. Nous entretenons une étroite collaboration avec le Centre canadien pour la cybersécurité annoncé récemment par le gouvernement du Canada. Nous avons établi des partenariats avec des gouvernements du monde entier dans le cadre du Government Security Program, cherchant à échanger de l'information technique et des renseignements sur les menaces et même à coopérer pour démanteler des réseaux de zombies. En outre, Microsoft a pris la tête du Cybersecurity Tech Accord, signé par plus d'une centaine d'organisations mondiales qui se sont rassemblées pour défendre tous les clients de partout contre les cyberattaques malveillantes et rendre Internet plus sûr.
(0845)
Mme Marlene Floyd:
Microsoft a également été fière de signer l'Appel de Paris pour la confiance et la sécurité dans le cyberespace lancé en novembre par le président français, Emmanuel Macron, lors du Forum de Paris sur la paix. Avec plus de 500 signataires, il s'agit du plus important engagement multipartite à l'égard des principes de protection du cyberespace.
Le Comité a également mis l'accent sur l'ingérence croissante d'acteurs malveillants dans les processus démocratiques de nombreux pays. Nous sommes tout à fait d'accord pour dire que le secteur de la technologie doit faire davantage pour aider à protéger le processus démocratique. Plus tôt cette semaine, nous avons eu le plaisir d'appuyer la Déclaration du Canada sur l’intégrité électorale en ligne annoncée par la ministre Gould.
Microsoft a pris des mesures pour aider à protéger l'intégrité de nos processus et institutions démocratiques. Il a créé le Programme de défense de la démocratie, qui travaille avec les intervenants des pays démocratiques pour promouvoir l'intégrité des élections, la sécurité des campagnes électorales et la défense contre la désinformation.
Dans le cadre de ce programme, Microsoft offre sans frais un service de sécurité appelé AccountGuard aux clients d'Office 365 dans l'écosystème politique. Il est actuellement proposé dans 26 pays, dont le Canada, les États-Unis, le Royaume-Uni, l'Inde, l'Irlande et la plupart des autres pays de l'Union européenne. Il protège actuellement plus de 36 000 comptes de courriel. AccountGuard identifie les cybermenaces, y compris les attaques d'États-nations, et met en garde les particuliers et les organisations. Depuis le lancement du programme, des centaines d'avis de menaces ont été envoyés aux participants.
Nous avons également utilisé la technologie pour assurer la résilience du processus électoral. Plus tôt ce mois-ci, nous avons annoncé ElectionGuard, une trousse de développement de logiciels libres et gratuits visant à rendre le vote plus sûr en fournissant une vérification de bout en bout des élections, en ouvrant les résultats à des organismes tiers pour permettre une validation sécurisée, et en donnant à chaque électeur la possibilité de confirmer que son vote a été compté correctement.
Chez Microsoft, nous travaillons fort pour nous assurer de développer les technologies de manière qu'elles soient centrées sur l'être humain et qu'elles permettent un accès large et équitable pour tous. L'évolution rapide de la puissance informatique et la croissance des solutions d'IA nous aideront à être plus productifs dans presque tous les domaines de l'activité humaine et conduiront à une plus grande prospérité, mais il faut relever les défis avec un sens de la responsabilité commune. Dans certains cas, cela signifie qu'il faut avancer plus lentement dans le déploiement d'une gamme complète de solutions d'IA tout en travaillant de façon réfléchie et délibérée avec les responsables gouvernementaux, le milieu universitaire et la société civile.
Nous savons que nous devons en faire plus pour continuer à gagner la confiance, et nous comprenons que nous serons jugés à nos actes, et pas seulement d'après nos paroles. Microsoft est déterminée à continuer de travailler dans le cadre d'un partenariat délibéré et réfléchi avec le gouvernement au fur et à mesure que nous progressons dans le monde du numérique.
Merci. Ce sera un plaisir de répondre à vos questions.
Le président:
Merci, madame Floyd.
Nous passons maintenant à M. Davidson, de Mozilla.
M. Alan Davidson (vice-président, Politique mondiale, confiance et sécurité, Mozilla Corporation):
Mesdames et messieurs les membres du Grand Comité et du Comité permanent, merci.
Si je témoigne aujourd'hui, c'est parce que tout ne va pas bien dans le monde d'Internet. Il est certain que l'Internet ouvert est le moyen de communication le plus puissant que nous ayons jamais connu. À son mieux, il fait apparaître de nouvelles occasions d'apprendre à résoudre de grands problèmes pour bâtir un sens commun de l'humanité, et pourtant, nous avons aussi vu le pouvoir d'Internet utilisé pour miner la confiance, accentuer les dissensions et violer la vie privée. Nous pouvons faire mieux, et je suis ici pour vous faire part de quelques idées sur la façon de s'y prendre.
Je m'appelle Alan Davidson. Je suis vice-président chargé de la politique, de la confiance et de la sécurité à la Mozilla Corporation. Mozilla est une entité assez inhabituelle sur Internet. Nous appartenons entièrement à un organisme sans but lucratif, la Mozilla Foundation. Nous sommes une entreprise de logiciels libres axée sur une mission. Nous produisons le navigateur Web Firefox, Pocket et d'autres services.
Chez Mozilla, nous sommes déterminés à rendre Internet plus sain. Depuis des années, nous nous faisons les champions de l'ouverture et de la protection de la vie privée en ligne. Ce n'est pas qu'un slogan; c'est notre principale raison d'être. Nous essayons de montrer par l'exemple comment créer des produits pour protéger les renseignements personnels. Nous fabriquons ces produits avec le concours non seulement de nos employés, mais aussi de milliers d'intervenants de la base, partout dans le monde.
Chez Mozilla, nous croyons qu'Internet peut être meilleur. Pendant la période qui m'est accordée, je voudrais aborder trois sujets: premièrement, le fait que la protection de la vie privée commence par une bonne conception des produits; deuxièmement, le rôle de la réglementation en matière de protection de la vie privée; et troisièmement, certaines des questions de contenu dont vous avez parlé ces derniers jours.
Tout d'abord, nous croyons que notre industrie est en mesure de beaucoup mieux protéger la vie privée grâce à nos produits. C'est exactement ce que nous essayons de faire chez Mozilla. Permettez-moi de vous donner un exemple tiré de notre travail sur le pistage en ligne.
Lorsque les utilisateurs se rendent sur un site Web d'information, ils s'attendent à y voir des annonces de l'éditeur, du propriétaire de ce site. Or, les visiteurs des principaux sites d'information, du moins aux États-Unis, y trouvent des dizaines de dispositifs de pistage provenant de sites autres que celui qu'ils visitent, parfois même une trentaine ou une quarantaine. Certains de ces dispositifs de pistage sont rattachés à des entreprises fort bien connues, mais d'autres sont ceux d'entreprises totalement obscures dont la plupart des consommateurs n'ont jamais entendu parler.
Quoi qu'il en soit, les données recueillies par ces dispositifs causent des préjudices réels. Ils permettent de lancer des publicités politiques clivantes, d'influencer les décisions en matière d'assurance-maladie, d'encourager la discrimination dans le domaine du logement et de l'emploi. La prochaine fois que vous verrez un élément de désinformation en ligne, demandez-vous d'où viennent les données qui ont permis de croire que vous seriez une cible attrayante pour cette désinformation.
Chez Mozilla, nous avons décidé d'essayer de lutter contre le pistage en ligne. Nous avons créé ce que nous appelons le Facebook Container, qui limite grandement les données que Facebook peut recueillir sur l'utilisateur qui navigue sur Firefox. En passant, c'est maintenant l'une des extensions les plus populaires que nous ayons jamais produites. Nous sommes en train de mettre en place ce qu'on appelle la protection améliorée contre le pistage. Il s'agit d'une nouvelle fonction majeure du navigateur Firefox qui bloque presque tout le pistage effectué par des tiers. Cela va grandement limiter la capacité d'entreprises que vous ne connaissez pas de vous suivre secrètement pendant que vous naviguez sur le Web.
Nous l'offrons à un plus grand nombre de personnes, et notre but ultime est de l'appliquer par défaut à tout le monde. J'insiste là-dessus, parce que nous avons appris que la création de produits avec protection de la vie privée par défaut est un moyen très puissant pour les utilisateurs. Et il ne faut pas oublier des efforts comme nos pratiques de gestion allégée des données, que nous utilisons pour limiter les données que nous recueillons dans notre propre produit. C'est une approche que d'autres adopteront, nous l'espérons, parce que nous avons appris qu'il est vraiment irréaliste de s'attendre à ce que les utilisateurs s'y retrouvent dans toutes les politiques sur la protection des renseignements personnels et toutes les options que nous pouvons leur offrir pour qu'ils se protègent. Si nous voulons que la protection de la vie privée devienne réalité, le fardeau doit passer des consommateurs aux entreprises. Malheureusement, ce n'est pas une conviction partagée par tout le monde dans notre industrie.
Je passe maintenant à mon deuxième point: nous croyons que la réglementation sera un élément essentiel de la protection de la vie privée en ligne. L'Union européenne a été un chef de file dans ce domaine. Beaucoup d'autres entreprises dans le monde emboîtent le pas et essaient maintenant d'élaborer leurs propres lois sur la protection des données. C'est important, car l'approche que nous avons adoptée au cours des deux dernières décennies dans notre industrie ne fonctionne manifestement plus. Par le passé, nous avons vraiment adopté la notion de notification et de choix, c'est-à-dire que si nous disons simplement aux navigateurs ce que nous allons recueillir comme données et en leur permettant de s'exclure, tout ira bien. Nous avons constaté que cette approche ne fonctionne vraiment pas pour eux. Nous avons été les promoteurs de ces nouvelles règles de protection des données, et nous espérons que vous le serez aussi.
Nous croyons qu'une bonne loi sur la protection de la vie privée devrait comporter trois éléments principaux. Il faut pour les entreprises des règles claires sur ce qu'elles peuvent recueillir et utiliser; il devrait y avoir des droits solides pour les personnes, y compris le consentement granulaire et révocable au sujet d'utilisations précises; et la loi devrait être appliquée par un organisme efficace et doté de pouvoirs, ce qui n'est pas toujours le cas. C'est là un élément important, à notre avis. (0850)
Nous croyons qu'il est essentiel d'élaborer ces lois et d'y inclure ces éléments tout en préservant l'innovation et les utilisations bénéfiques des données. C'est pourquoi nous appuyons une nouvelle loi fédérale sur la protection des renseignements personnels aux États-Unis et nous travaillons avec les organismes de réglementation en Inde, au Kenya et ailleurs pour promouvoir des lois de cette nature.
Troisièmement, étant donné les échanges que vous avez tous eus ces derniers jours, il serait utile de dire au moins un mot de certaines de nos opinions sur les grandes questions de réglementation du contenu. De toutes les questions étudiées par le Comité, c'est la plus ardue, selon nous.
Nous avons constaté que de nombreux éléments, dans l'industrie, sont incités à encourager la propagation de la désinformation et des abus, mais nous voulons aussi nous assurer que nos réactions à ces préjudices réels ne minent pas elles-mêmes la liberté d'expression et l'innovation qui ont été une force constructive dans la vie des utilisateurs d'Internet.
Chez Mozilla, nous avons adopté quelques approches différentes. Nous travaillons actuellement à ce que nous appelons des « processus de responsabilisation ». Plutôt que de nous concentrer sur des éléments de contenu individuels, nous devrions réfléchir au genre de processus que les entreprises devraient mettre en place pour s'attaquer à ces problèmes. Cela peut se faire au moyen d'une approche fondée sur des principes. Elle doit être adaptée au rôle et proportionnelle à la taille des différentes entreprises, de sorte qu'elle n'ait pas d'incidence disproportionnée sur les petites entreprises, mais donne plus de responsabilités aux grandes entreprises qui jouent un rôle plus important dans l'écosystème.
Nous nous sommes également beaucoup occupés des problèmes de désinformation, surtout en prévision des élections législatives européennes qui viennent de se tenir. Nous sommes signataires du Code de bonnes pratiques de l'Union européenne sur la désinformation, qui est, à mon avis, une initiative d'autoréglementation très importante et utile, assortie d'engagements et de principes visant à stopper la propagation de la désinformation. Pour notre part, nous avons créé des outils dans Firefox pour aider les navigateurs à résister à la manipulation en ligne, à mieux choisir et comprendre ce qu'ils regardent en ligne.
Nous avons également déployé des efforts pour inciter les autres signataires du Code à en faire davantage en matière de transparence et de publicité politique. Il nous semble possible d'en faire beaucoup plus à cet égard. Honnêtement, il y a eu des résultats discutables chez certains de nos collègues. Il y a encore beaucoup de place pour améliorer les outils, en particulier ceux que Facebook a mis en place pour assurer la transparence de la publicité. Il y a peut-être aussi du travail à faire chez Google. Si nous n'arrivons pas à faire ce qu'il faut, nous aurons besoin de mesures plus énergiques de la part des gouvernements. La transparence devrait être un bon point de départ pour nous.
En conclusion, je dirai qu'aucune des questions examinées par le Comité n'est simple. La mauvaise nouvelle, c'est que la progression de la technologie — avec l'intelligence artificielle, la montée de l'Internet des objets et la réalité augmentée — ne fera que rendre la tâche plus difficile.
Une dernière réflexion: nous devons vraiment songer aux moyens de bâtir la capacité de la société d'affronter ces problèmes. Par exemple, chez Mozilla, nous avons participé à ce qu'on a appelé le défi de l'informatique responsable. Il s'agit d'aider à former la prochaine génération de technologues pour qu'ils comprennent les implications éthiques de ce qu'ils élaborent. Nous appuyons les efforts déployés aux États-Unis pour rétablir l'Office of Technology Assessment afin de renforcer la capacité de l'État de comprendre ces questions et de travailler avec plus de dextérité. Nous travaillons à améliorer la diversité dans notre propre entreprise et notre industrie, ce qui est essentiel si nous voulons renforcer la capacité de régler ces problèmes. Nous publions chaque année un rapport, Bulletin de santé d'Internet, qui a paru il y a quelques semaines. Cela fait partie de ce que nous considérons comme l'énorme projet que nous voulons tous réaliser pour sensibiliser le public afin qu'il puisse affronter ces problèmes.
Ce ne sont là que quelques exemples et quelques idées sur la façon de travailler à de nombreux niveaux. Il s'agit de concevoir de meilleurs produits, d'améliorer notre réglementation publique et d'investir dans notre capacité de relever ces défis à l'avenir.
Nous vous remercions sincèrement de nous avoir donné l'occasion de vous parler aujourd'hui et nous avons hâte de travailler avec vous et vos collègues du monde entier pour bâtir un Internet meilleur.
Merci.
(0855)
Le président:
Merci, monsieur Davidson.
Enfin, nous accueillons Erik Neuenschwander, d'Apple Inc. Je vous en prie. Vous avez 10 minutes.
M. Erik Neuenschwander (gestionnaire pour la vie privée des utilisateurs, Apple Inc.):
Merci.
Bonjour, mesdames et messieurs les membres du Comité, et merci de m'avoir invité à vous parler aujourd'hui de l'approche d'Apple en matière de protection des renseignements personnels et de sécurité des données.
Je m'appelle Erik Neuenschwander et je suis ingénieur en logiciels chez Apple depuis 12 ans. J'ai été l'ingénieur principal en analyse de données sur le premier iPhone. J'ai géré l'équipe de performance du logiciel du premier iPad, et j'ai fondé l'équipe d'ingénierie de la protection de la vie privée d'Apple. Aujourd'hui, je gère l'équipe chargée des aspects techniques de la conception des caractéristiques de confidentialité d'Apple. Je suis fier de travailler dans une entreprise qui accorde la priorité au client et fabrique d'excellents produits qui améliorent la vie des utilisateurs.
Chez Apple, nous croyons que la vie privée est un droit fondamental et qu'elle est essentielle à tout ce que nous faisons. C'est pourquoi nous intégrons la protection de la vie privée et la sécurité à chacun de nos produits et services. Ces considérations architecturales vont très loin, jusqu'au silicium très physique de nos appareils. Chaque appareil que nous expédions combine des logiciels, du matériel et des services conçus pour fonctionner ensemble pour une sécurité maximale et une expérience utilisateur transparente. Aujourd'hui, j'ai hâte de discuter avec vous de ces éléments clés de conception, et je renvoie également le Comité au site Web d'Apple sur la protection des renseignements personnels, qui donne beaucoup plus de détails sur ces éléments et d'autres facteurs dont il est tenu compte dans la conception dans nos produits et services.
L'iPhone est devenu une partie essentielle de nos vies. Nous l'utilisons pour stocker une quantité incroyable de renseignements personnels, comme nos conversations, nos photos, nos notes, nos contacts, nos calendriers, nos renseignements financiers, nos données sur la santé, et même de l'information sur nos allées et venues. Notre principe, c'est que les données appartiennent à l'utilisateur. Tous ces renseignements doivent être protégés contre les pirates informatiques et les criminels qui voudraient les voler ou les utiliser à notre insu ou sans notre permission.
C'est pourquoi le cryptage est essentiel à la sécurité des dispositifs. Les outils de cryptage sont offerts dans les produits d'Apple depuis des années, et la technologie de cryptage intégrée à l'iPhone d'aujourd'hui est la meilleure sécurité de données qui soit à la disposition des consommateurs. Nous avons l'intention de poursuivre dans cette voie, parce que nous sommes fermement opposés à ce que les données de nos clients soient vulnérables aux attaques.
En établissant un code d'accès, l'utilisateur protège automatiquement l'information de son appareil au moyen d'un cryptage. Apple ne connaît pas le code d'accès de l'utilisateur. En fait, ce code n'est stocké nulle part sur l'appareil ou sur les serveurs d'Apple. Chaque fois, il appartient à l'utilisateur et à lui seul. Chaque fois qu'un utilisateur saisit son mot de passe, l'iPhone est jumelé à l'identificateur unique que l'iPhone fusionne dans son silicium au moment de la fabrication. L'iPhone crée une clé à partir de ce jumelage et tente de décrypter les données de l'utilisateur. Si la clé fonctionne, alors le mot de passe doit avoir été correct. Si cela ne fonctionne pas, l'utilisateur doit réessayer. Nous avons conçu l'iPhone pour protéger ce processus à l'aide d'une enclave sécurisée spécialement conçue, un gestionnaire de clés qui fait partie du matériel, isolé du processeur principal et offrant une couche de sécurité supplémentaire.
En concevant des produits, nous nous efforçons également de recueillir le moins de données possible sur les clients. Nous voulons que vos appareils sachent tout sur eux, mais nous ne pensons pas que nous devions tout savoir.
Par exemple, nous avons conçu notre matériel et nos logiciels de manière qu'ils fonctionnent ensemble pour offrir d'excellentes fonctions en traitant efficacement les données sans que celles-ci ne quittent jamais l'appareil de l'utilisateur. Lorsque nous recueillons des renseignements personnels, nous disons avec précision et transparence à quoi ils serviront, car le contrôle par l'utilisateur est essentiel à la conception de nos produits. Ainsi, nous avons récemment ajouté une icône de confidentialité qui apparaît sur les appareils Apple lorsque des renseignements personnels sont recueillis. L'utilisateur peut s'en servir pour en apprendre davantage sur les pratiques d'Apple en matière de protection des renseignements personnels, le tout étant expliqué en langage simple.
Nous utilisons également la « confidentialité différentielle locale », une technique qui permet à Apple d'en apprendre davantage sur un groupe d'utilisateurs sans en savoir plus sur les membres du groupe. Nous avons fait œuvre de pionnier en ce qui concerne les avis « juste-à-temps », de sorte que, lorsque des applications tierces cherchent à accéder à certains types de données, l'utilisateur a un choix et un contrôle sérieux sur les renseignements recueillis et utilisés. Cela signifie que les applications tierces ne peuvent pas accéder aux données des utilisateurs comme les contacts, les calendriers, les photos, la caméra ou le microphone sans demander et obtenir l'autorisation explicite de l'utilisateur.
Ces caractéristiques de conception, parmi d'autres, sont au cœur d'Apple. Les clients s'attendent à ce qu'Apple et d'autres entreprises de technologie fassent tout en leur pouvoir pour protéger les renseignements personnels. Chez Apple, nous sommes profondément engagés à cet égard parce que la confiance de nos clients signifie tout pour nous. Nous passons beaucoup de temps à réfléchir à la façon dont nous pouvons offrir à nos clients non seulement des produits qui transforment l'existence, mais aussi des produits fiables, sûrs et sécuritaires. En intégrant la sécurité et la protection de la vie privée à tout ce que nous faisons, nous avons prouvé que les expériences formidables n'ont pas à se faire aux dépens de la vie privée et de la sécurité. Ils peuvent plutôt les appuyer.
Je suis honoré de participer à cette importante séance. Je me ferai un plaisir de répondre à vos questions.
Merci.
(0900)
Le président:
Merci, monsieur Neuenschwander.
Nous allons passer aux questions des membres du Comité. Mon collègue Damian Collins sera ici sous peu. Il regrette d'être retenu par autre chose.
Nous allons commencer par M. Erskine-Smith, qui aura cinq minutes.
M. Nathaniel Erskine-Smith (Beaches—East York, Lib.):
Merci beaucoup.
Merci à tous de vos exposés. Je sais que Microsoft appuie le RGPD et des règles plus strictes en matière de protection de la vie privée. De toute évidence, Tim Cook a publiquement appuyé le RGPD. Chez Amazon, appuyez-vous également ce règlement?
M. Mark Ryland:
Nous appuyons les principes de protection de la vie privée que sont le contrôle par l'utilisateur, le consentement et ainsi de suite. La loi actuelle est plutôt récente et elle entraîne un fardeau qui, à notre avis, ne favorise pas directement une meilleure protection de la vie privée des utilisateurs. Bien que nous nous conformions tout à fait aux principes et que nous les appuyions pleinement, nous ne pensons pas nécessairement que c'est un dispositif qui devrait être appliqué universellement pour l'instant.
M. Nathaniel Erskine-Smith:
Le soutien des principes s'étend au principe de la minimisation des données.
M. Mark Ryland:
Oui, ainsi qu'au contrôle par l'utilisateur. C'est vraiment le principe fondamental.
M. Nathaniel Erskine-Smith:
Chez Microsoft, approuvez-vous le principe de la minimisation des données?
M. John Weigelt:
Oui, nous sommes d'accord
M. Nathaniel Erskine-Smith:
Bien.
En ce qui concerne la protection des renseignements des consommateurs, une façon de s'y prendre consiste à obtenir des consentements positifs supplémentaires qui sont explicites pour des fins secondaires. Par exemple, dans le cas d'Echo d'Amazon, la Californie proposait des règles sur les haut-parleurs intelligents selon lesquelles il faudrait obtenir le consentement pour que l'information soit stockée. Êtes-vous d'accord sur ces règles?
(0905)
M. Mark Ryland:
Nous croyons que l'expérience des utilisateurs devrait être très fluide et claire, et que les attentes des gens devraient être très raisonnablement satisfaites. Par exemple, dans le cas du dispositif Echo, on utilise une application mobile pour configurer son appareil, et les règles de confidentialité sont très claires.
M. Nathaniel Erskine-Smith:
Y a-t-il consentement explicite pour enregistrer ces conversations?
M. Mark Ryland:
Il ne s'agit pas d'un consentement explicite, mais il indique clairement les enregistrements et vous en donne le plein contrôle. Il donne une liste complète des enregistrements et la capacité de supprimer un enregistrement en particulier, ou tous les enregistrements. Il s'agit d'une interface utilisateur très explicite et claire.
M. Nathaniel Erskine-Smith:
Si le RGPD était en vigueur, il faudrait un consentement explicite.
M. Mark Ryland:
Peut-être. Il peut y avoir des décisions juridiques que nous... Cela fait partie du problème. Beaucoup de détails ne seront pas clairs tant qu'il n'y aura pas plus de décisions des pouvoirs réglementaires ou des tribunaux sur la signification exacte de certains des principes généraux.
M. Nathaniel Erskine-Smith:
Le représentant d'Apple pourrait-il dire si sa société pratique le pistage en ligne?
M. Erik Neuenschwander:
Nous n'avons pas le genre de destinations sur Internet où se fait ce genre de pistage. Bien sûr, notre magasin en ligne, par exemple, entretient une relation directe de première partie avec les utilisateurs qui le visitent.
M. Nathaniel Erskine-Smith:
Il est probablement raisonnable de s'attendre à ce que, lorsque je me rends sur le site d'Apple, cette société veuille communiquer avec moi par la suite, mais si je me rends sur d'autres sites non connexes sur Internet, Apple ne pratiquerait aucun pistage.
M. Erik Neuenschwander:
Non, Apple ne le fait pas. En réalité, notre système intelligent de prévention du pistage est activé par défaut dans notre navigateur Web Safari. Si Apple essayait de faire du pistage, le système de prévention chercherait à l'en empêcher.
M. Nathaniel Erskine-Smith:
Je m'adresse à Microsoft et à Amazon. Faites-vous comme Apple ou faites-vous du pistage en ligne sur de nombreux sites Internet?
M. Mark Ryland:
Nous sommes engagés dans l'écosystème du Web et nous avons la capacité de comprendre d'où viennent les utilisateurs et où ils vont lorsqu'ils quittent notre site.
Encore une fois, notre principal modèle d'affaires consiste à vendre des produits à des clients. Le pistage n'est pas pour nous un moyen de recueillir de l'argent pour l'entreprise.
M. Nathaniel Erskine-Smith:
Était-ce un oui au pistage en ligne, de façon assez générale?
M. Mark Ryland:
Nous participons à l'écosystème de la publicité. Alors c'est oui.
M. Nathaniel Erskine-Smith:
C'est ainsi que j'interprète votre réponse.
Les représentants de Microsoft ont-ils quelque chose à dire?
M. John Weigelt:
Nous avons nos propriétés particulières, comme les autres groupes. Nous avons le magasin Microsoft et les propriétés de MSN. Nous sommes donc en mesure de trouver l'origine de nos clients.
M. Nathaniel Erskine-Smith:
Si je pose la question, c'est qu'hier, un témoin nous a dit que le consentement, parfois, n'était pas suffisant, et je comprends que, dans certains cas, ce soit vrai. Comme je suis raisonnablement occupé, on ne peut pas s'attendre à ce que je lise chaque entente sur les modalités. On ne peut pas s'attendre à ce que je lise tout. S'il y a des consentements secondaires dans chaque application que j'utilise et que je dois donner 10 consentements différents, vais-je vraiment pouvoir protéger mes renseignements personnels? Nous ne devrions pas nous attendre à cela des consommateurs, et c'est pourquoi nous avons une loi sur la protection des consommateurs et des garanties implicites dans d'autres contextes.
Hier, Roger McNamee a laissé entendre que certaines choses devraient être strictement exclues. J'ai dit à Google qu'il ne devrait peut-être pas être en mesure de lire mes courriels et de me cibler en fonction de publicités — cela devrait être exclu. Pensez-vous, chez Apple, que certaines choses devraient tout simplement être exclues?
M. Erik Neuenschwander:
Oui, lorsque nous... Notre service iCloud est un lieu où les utilisateurs peuvent stocker leurs photos ou leurs documents chez Apple, et nous n'exploitons pas ce contenu pour créer des profils de nos utilisateurs. Nous considérons qu'il s'agit des données de l'utilisateur. Nous les stockons grâce à notre service, mais elles demeurent la propriété de l'utilisateur.
M. Nathaniel Erskine-Smith:
Même question pour Microsoft et Amazon: pensez-vous que la collecte de certaines données devrait être complètement exclue?
M. John Weigelt:
L'une des choses qui nous tiennent à coeur, c'est que les utilisateurs puissent savoir quelles données ils ont communiquées à certaines organisations. Nous avons travaillé en étroite collaboration — je l'ai fait personnellement — avec les commissaires à l'information et à la protection de la vie privée de tout le Canada. Nous avons discuté du consentement et du sens à donner à ce terme. Lorsque nous avons mis en place des outils comme Cortana, par exemple, nous avons travaillé avec le Commissariat à la protection de la vie privée du Canada pour arriver à comprendre laquelle des 12 étapes du consentement pour les consommateurs était particulièrement importante.
M. Nathaniel Erskine-Smith:
Mais je propose que, au-delà de la question du consentement, certains éléments soient exclus d'emblée. Par exemple, mes photos personnelles sur mon téléphone. Devrait-on pouvoir les numériser, après quoi je recevrais des annonces ciblées?
M. John Weigelt:
Soyons clairs: nous ne numérisons pas cette information...
M. Nathaniel Erskine-Smith:
Eh bien, je sais que vous ne le faites pas...
M. John Weigelt:
... mais nous fournissons...
M. Nathaniel Erskine-Smith:
... mais certaines choses devraient-elles être exclues? Voilà où je veux en venir.
M. John Weigelt:
... une certaine visibilité pour les clients afin qu'ils comprennent où leurs données sont utilisées et qu'ils en aient le plein contrôle.
Notre tableau de bord sur la protection des renseignements personnels, par exemple, permet de voir quelles données se trouvent dans l'environnement Microsoft, puis l'utilisateur peut contrôler ces données et être en mesure de mieux gérer la situation. Il s'agit d'avoir cette interaction avec les utilisateurs pour qu'ils comprennent la proposition de valeur de cette capacité de communiquer des données.
M. Nathaniel Erskine-Smith:
Les représentants d'Amazon sont-ils d'avis qu'il faudrait exclure certaines choses?
M. Mark Ryland:
Je ne pense pas qu'on puisse dire, a priori, que certaines choses sont toujours inacceptables, parce que, encore une fois, l'expérience client est essentielle, et si les gens veulent une meilleure expérience client fondée sur les données qu'ils communiquent... Le consentement, évidemment, et le contrôle sont essentiels.
M. Nathaniel Erskine-Smith:
Prenons le cas des enfants de moins de 18 ans, par exemple. Nous ne devrions peut-être pas être en mesure de recueillir des renseignements sur les jeunes de moins de 18 ans, de moins de 16 ans ou de moins de 13 ans.
Les enfants, disons. Faudrait-il exclure les données qui les concernent?
(0910)
M. Mark Ryland:
Nous allons nous conformer à toutes les lois des pays où nous menons nos activités, si...
M. Nathaniel Erskine-Smith:
Êtes-vous en train de dire que vous n'avez pas d'opinion éthique sur la collecte de renseignements auprès des enfants?
M. Mark Ryland:
Nous sommes certainement d'avis que les parents devraient être responsables de l'expérience en ligne des enfants, et nous donnons aux parents le plein contrôle de cette expérience dans nos systèmes.
M. Nathaniel Erskine-Smith:
Merci beaucoup.
Il est tellement difficile de dire oui.
Le président:
Nous passons maintenant à M. Kent, qui aura cinq minutes.
L'hon. Peter Kent (Thornhill, PCC):
Merci, monsieur le président.
Je remercie tous nos témoins qui comparaissent aujourd'hui.
Ma première question s'adresse à M. Ryland, d'Amazon.
En septembre dernier, le vice-président et avocat général associé d'Amazon, M. DeVore, témoignant devant un comité du Sénat américain, a critiqué vivement, je crois que le mot est juste, la loi sur la protection des consommateurs qui avait été adoptée en Californie.
Parmi les nouveaux droits reconnus aux consommateurs dans cette loi auxquels il s'est opposé, il y avait le droit des utilisateurs de connaître toutes les données commerciales recueillies à leur sujet et le droit de s'opposer à la vente de ces données. La loi institue, en Californie, le droit d'interdire la vente de ces données à des tiers. Il a dit que la loi avait été adoptée trop rapidement et que la définition de renseignements personnels était trop large.
Je me demande si vous pourriez nous aider aujourd'hui en nous disant comment Amazon définit les renseignements personnels à protéger.
M. Mark Ryland:
Tout d'abord, permettez-moi de dire que je travaille aux services Web d'Amazon dans le domaine de la sécurité et de la protection des données sur notre plateforme infonuagique. Je ne connais pas à fond l'ensemble de nos politiques de protection des renseignements personnels.
Toutefois, je dirai que certains éléments des données sur les consommateurs sont utilisés dans les secteurs de base de l'entreprise. Par exemple, si nous vendons un produit à un client, nous devons en faire un certain suivi à des fins fiscales et juridiques, de sorte qu'il est impossible de dire qu'un consommateur a un contrôle total sur certaines choses. Il y a d'autres raisons juridiques, par exemple, pour lesquelles les données doivent parfois être conservées.
L'hon. Peter Kent:
Des utilisateurs vous ont-ils demandé de l'information sur les données qui ont été recueillies à leur sujet et si elles avaient été vendues?
M. Mark Ryland:
Oui, assurément.
Tout d'abord, je tiens à dire qu'Amazon ne vend pas de données sur ses clients. Point à la ligne.
Deuxièmement, nous avons une page de renseignements personnels protégés où l'utilisateur peut voir toutes les données le concernant que nous avons accumulées: l'historique de ses commandes, ses commandes numériques, ses commandes de livres, etc. Nous avons une page similaire pour notre service Alexa Voice. Tout cela permet aux utilisateurs de contrôler et de comprendre les données que nous utilisons.
L'hon. Peter Kent:
Ainsi, malgré les critiques de M. DeVore, Amazon se conforme à la loi californienne, et je suppose qu'elle se conformerait à toute autre loi semblable adoptée ailleurs dans le monde.
M. Mark Ryland:
Nous nous conformerons toujours aux lois qui s'appliquent à nous partout où nous faisons des affaires. Certainement.
L'hon. Peter Kent:
Merci.
J'aimerais maintenant poser une question à M. Davidson au sujet de Mozilla.
Je sais que Mozilla, avec toutes ses bonnes pratiques et son mandat d'intérêt public sans but lucratif, travaille avec Google et avec Bing. Je me demande simplement quels genres de pare-feu vous établissez pour empêcher l'accumulation de données sur les utilisateurs par ces deux entreprises qui, autrement, les recueilleraient et les monétiseraient.
M. Alan Davidson:
Voilà une excellente question. Chez nous, c'est assez simple. Nous ne leur envoyons tout simplement pas de données au-delà de ce qu'ils obtiendraient normalement d'un visiteur qui se rend sur leur site Web, l'adresse IP, par exemple.
Nous avons pour pratique de ne pas recueillir de renseignements. Si, à partir de Firefox, vous faites une recherche sur Bing ou Google, nous n'en gardons aucune trace, nous ne conservons rien et nous ne transmettons rien de spécial. Cela nous a permis de nous distancer, honnêtement, et nous n'avons aucun incitatif financier à recueillir cette information.
L'hon. Peter Kent:
J'ai une question pour M. Neuenschwander.
En septembre dernier, on a appris que l'application Mac Adware Doctor, qui était censée protéger les utilisateurs d'Apple contre les menaces à la protection de la vie privée, enregistrait en fait les données de ces utilisateurs et les transmettait à un serveur en Chine. Apple y a mis fin depuis, mais je voudrais savoir combien de temps a duré cette exposition. Avez-vous déterminé qui exactement exploitait ce serveur en Chine?
M. Erik Neuenschwander:
Je me souviens de cet événement et des mesures prises par l'équipe de l'App Store. Je ne peux pas, de mémoire, vous dire exactement quelle a été la durée de l'exposition. Je me ferai un devoir de vérifier cette information et de vous revenir là-dessus.
(0915)
L'hon. Peter Kent:
Vous ne connaissez pas la durée de l'exposition…
M. Erik Neuenschwander:
Sur le moment, je ne pourrais pas le dire exactement.
L'hon. Peter Kent:
Je crois savoir que c'était une application Mac très populaire. Dans quelle mesure examinez-vous rigoureusement ces applications, dans la ruée capitaliste, bien compréhensible, pour monétiser ces nouvelles merveilles?
M. Erik Neuenschwander:
Pour les applications gratuites en magasin, il n'y a pas de monétisation pour Apple dans l'App Store.
Depuis que nous avons lancé l'App Store, nous effectuons un examen manuel et, ces dernières années, un examen automatisé de chaque application proposée au magasin, puis de chaque mise à jour de ces applications. Elles sont soumises à l'examen d'une équipe d'experts spécialisés de l'App Store.
Il y a une limite que nous ne dépassons pas. Nous ne surveillons pas l'utilisation des applications par nos utilisateurs. Une fois l'application installée sur l'appareil d'un utilisateur, nous nous interdisons, par respect pour la vie privée de l'utilisateur, de surveiller le trafic réseau ou les données qu'il envoie. Cela nous semblerait inconvenant.
Nous continuons d'investir du côté de l'App Store pour tâcher d'avoir un examen aussi rigoureux que possible. À mesure que les applications et leurs fonctionnalités changent, nous continuons de renforcer notre examen pour saisir les fonctionnalités qui ne répondent pas à nos politiques de confidentialité dans les magasins.
L'hon. Peter Kent:
J'ai une question pour les représentants de Microsoft, Mme Floyd en particulier. En 2013, la Commission européenne a imposé à Microsoft une amende d'environ 561 millions d'euros pour non-respect des engagements relatifs au choix de navigateur. Il ne semble pas y avoir eu de violation depuis. Tire-t-on des leçons d'amendes aussi lourdes? On nous dit que les amendes, même s'élevant à des centaines de millions de dollars ou d'euros — même celles dépassant le milliard de dollars —, ne découragent pas les grandes entreprises numériques. Je m'interroge sur l'utilité de fortes sanctions pécuniaires, qui n'existent pas actuellement au Canada, comme moyen pour assurer la conformité, ou pour inciter à la conformité.
M. John Weigelt:
Comme nous l'avons dit, la confiance est le fondement de notre entreprise. Chaque fois qu'il y a un jugement prononcé contre notre entreprise, nous constatons que la confiance s'érode, et cela se répercute sur toute l'organisation, non seulement du côté des consommateurs, mais aussi au sein de l'entreprise.
Cette amende était lourde. Nous avons donné suite à ce jugement en modifiant la façon dont nous offrons nos produits sur le marché, en donnant aux consommateurs le choix d'acheter des produits sans navigateur intégré.
Lorsque nous examinons le pouvoir de rendre des ordonnances, ici au Canada ou ailleurs, nous devons conclure qu'un jugement défavorable aura une incidence beaucoup plus grande sur l'entreprise que certaines de ces sanctions pécuniaires.
L'hon. Peter Kent:
Pensez-vous que le gouvernement canadien devrait renforcer ses règlements et ses sanctions en cas de non-respect des règles de protection de la vie privée?
M. John Weigelt:
J'encouragerais le gouvernement canadien à se faire entendre sur la façon dont les technologies sont mises en place dans le contexte canadien. Nous avons des gens sur place qui sont là pour l'entendre et modifier en conséquence la façon dont nous offrons nos services.
L'hon. Peter Kent:
Merci.
Le président:
Allez-y, monsieur Angus. Vous avez cinq minutes.
M. Charlie Angus (Timmins—Baie James, NPD):
Merci, monsieur le président.
Je parlais à un ami chez Apple de l'achat, en 1984, de mon premier Mac Plus, muni d'une disquette de 350 kilobits, que je voyais comme un outil révolutionnaire qui allait changer le monde pour le mieux. Je continue de croire que le monde a changé pour le mieux, mais nous constatons aussi des dérapages vraiment regrettables.
Maintenant que j'ai moi-même pris de l'âge, je peux prendre du recul et m'imaginer ce qui se serait passé si, dans les années 1980, Bell avait écouté mes conversations téléphoniques. Des accusations auraient été portées, même si Bell se justifiait en disant: « Nous écoutons vos conversations simplement parce que nous voulons vous offrir des trucs vraiment astucieux et nous pourrons mieux vous servir si nous savons ce que vous faites. » Que se passerait-il si le bureau de poste lisait mon courrier avant de me le livrer, non dans un but illicite, mais pour me mettre au courant de choses très intéressantes que je devrais connaître et pour me proposer son aide? Des accusations seraient certainement portées.
Pourtant, dans le monde numérique, nous avons maintenant affaire à des entreprises qui nous offrent toutes sortes de possibilités alléchantes. C'est sur ce point que mon collègue, M. Erskine-Smith, essayait d'obtenir des réponses claires.
Je pense que, en tant que parlementaires, nous allons vraiment au-delà de cette discussion sur le consentement. Le consentement n'a plus aucun sens si on nous espionne, si on nous surveille et si notre téléphone sert à nous pister. Le consentement est en train de devenir un terme trompeur parce qu'il s'agit de récupérer un espace dans nos vies que nous n'avons pas cédé. Si nous suivions les anciennes règles, il ne serait pas possible d'écouter nos conversations téléphoniques et de nous pister en ligne au mépris de nos droits, mais c'est tout à coup devenu acceptable dans le monde numérique.
Monsieur Davidson, je m'intéresse beaucoup au travail que fait Mozilla.
Pensez-vous qu'il soit possible pour les parlementaires d'établir des règles de base raisonnées pour protéger le droit à la vie privée des citoyens, des règles qui n'entraîneront pas la ruine complète des gens de Silicon Valley, n'en feront pas tous des assistés sociaux, et qui permettront au modèle d'affaires de réussir? Est-il possible d'établir des règles simples?
(0920)
M. Alan Davidson:
Oui.
Je peux en dire plus.
M. Charlie Angus:
Allez-y.
M. Alan Davidson:
Je pense que c'est effectivement…
M. Charlie Angus:
J'adore ça quand on est d'accord avec moi.
M. Alan Davidson:
Nous cherchions des feux verts.
Vous connaissez déjà certains exemples. Nous croyons fermement qu'il est possible d'établir de bonnes entreprises rentables tout en respectant la vie privée des gens. Vous avez pris connaissance de quelques exemples aujourd'hui, dont certains de notre part. Il existe des exemples de bonnes lois, y compris le RGPD.
Il y a des choses qui dépassent probablement toutes les bornes, pour lesquelles nous avons besoin d'interdictions claires ou de mesures de sécurité très rigoureuses. À mon avis, il ne faut pas rejeter complètement l'idée du consentement. Ce qu'il nous faut, c'est un consentement plus précis parce que je pense que les gens ne comprennent pas vraiment…
M. Charlie Angus:
Le consentement explicite.
M. Alan Davidson:
... le consentement explicite.
Il y a toutes sortes de façons de l'encadrer, mais il y a une forme plus parcellaire de consentement explicite. C'est qu'il y aura des moments où des gens voudront profiter d'applications sur la santé ou faire connaître à des proches et à leur famille où ils se trouvent. Ils devraient pouvoir le faire, mais ils devraient vraiment comprendre ce que cela implique.
Nous croyons qu'il demeure possible de créer des entreprises qui le permettraient.
M. Charlie Angus:
Merci.
Certaines des préoccupations sur lesquelles nous nous sommes penchés concernent l'intelligence artificielle. Il s'agit de l'arsenalisation des médias numériques. L'intelligence artificielle pourrait jouer un rôle très positif ou très négatif.
Monsieur Ryland, Amazon a certainement fait beaucoup de progrès en matière d'intelligence artificielle. Cependant, elle a également été qualifiée d'entreprise novatrice du XXIe siècle, mais dont les pratiques de travail appartiennent au XIXe siècle.
Au sujet des allégations selon lesquelles les travailleurs faisaient l'objet d'une surveillance, pouvant mener jusqu'à leur congédiement, au moyen d'un pistage par intelligence artificielle, est-ce bien la politique d'Amazon?
M. Mark Ryland:
Notre politique est certainement de respecter la dignité de notre main-d’œuvre et de traiter tout le monde comme il se doit.
Je ne connais pas les détails de cette allégation, mais je me ferai un devoir de vous fournir de plus amples renseignements.
M. Charlie Angus:
C'était dans un article retentissant sur Amazon. On y lisait que les travailleurs étaient surveillés, jusqu'à la seconde près, par des moyens d'intelligence artificielle et que ceux qui étaient trop lents étaient congédiés.
Je suis peut-être de la vieille école, mais je pense que ce serait illégal en vertu des lois du travail de notre pays. C'est apparemment la façon dont l'intelligence artificielle est utilisée dans les centres de traitement. À mon avis, c'est une utilisation très problématique de l'intelligence artificielle. N'êtes-vous pas au courant de cela?
M. Mark Ryland:
Je ne suis pas au courant, et je suis presque certain qu'il y aurait un examen humain de toute décision de congédiement. Il est impossible de prendre une telle décision sans au moins un examen humain des types d'algorithmes d'apprentissage machine.
M. Charlie Angus:
C'était un article assez accablant, et le sujet a été repris par de nombreux journaux étrangers.
Pourriez-vous faire un suivi de cette question et transmettre une réponse au Comité?
M. Mark Ryland:
Je me ferai un plaisir d'y donner suite.
M. Charlie Angus:
Je ne cherche pas à vous mettre sur la sellette, mais je voudrais avoir une réponse à ce sujet. Je pense que nous aimerions certainement pouvoir nous faire une idée de l'optique dans laquelle Amazon utilise l'intelligence artificielle pour faire la surveillance des travailleurs dans les centres de traitement. Si vous pouviez faire parvenir cela au Comité, ce serait très utile.
M. Mark Ryland:
Je ne manquerai pas de le faire.
Le président:
Merci, monsieur Angus.
Nous passons maintenant à nos délégations.
Nous allons commencer par celle de Singapour.
Allez-y, vous avez cinq minutes.
Mme Sun Xueling (secrétaire parlementaire principale, Ministère des affaires intérieures et Ministère du développement national, Parlement de Singapour):
Merci, monsieur le président.
J'ai quelques questions à poser à M. Davidson.
J'ai lu avec intérêt le Manifeste Mozilla. Je suppose que j'avais un peu de temps libre. Je pense qu'il y a 10 principes dans votre manifeste. Je m'arrête en particulier sur le principe 9, qui est formulé comme suit: « L'investissement commercial dans le développement d'Internet apporte de nombreux bénéfices; un équilibre entre les bénéfices commerciaux et l'intérêt public est crucial. »
C'est textuellement ce que dit le principe 9.
Seriez-vous d'accord, alors, pour dire que les entreprises de technologie, même si elles ont un objectif de croissance et de rentabilité, ne devraient pas abdiquer leur responsabilité d'empêcher l'utilisation abusive de leurs plateformes?
M. Alan Davidson:
Nous sommes tout à fait d'accord avec cela. Je dirais que le manifeste, pour ceux qui ne l'ont pas lu, constitue en quelque sorte nos principes directeurs. Il a été rédigé il y a une quinzaine d'années. Nous venons tout juste de le mettre à jour en y apportant un ensemble d'ajouts pour répondre à la situation d'aujourd'hui.
Nous croyons effectivement que cet équilibre est vraiment important. Pour ma part, je pense que les entreprises doivent réfléchir aux conséquences de ce qu'elles construisent. Je pense aussi que le gouvernement doit baliser tout cela parce que, nous l'avons vu, ce ne sont pas toutes les entreprises qui vont le faire. Certaines ont besoin d'être guidées.
Mme Sun Xueling:
De plus, il me semble que le Bulletin de santé d'Internet a été publié par la Fondation Mozilla, et j'aimerais remercier votre organisme, qui est sans but lucratif et qui travaille dans l'intérêt public. Je pense que votre bulletin a traité du scandale impliquant Cambridge Analytica et a fait remarquer qu'il était un symptôme d'un problème systémique beaucoup plus vaste, que, de nos jours, le modèle d'affaires dominant et les activités courantes du monde numérique sont, en fait, fondés sur la collecte et la vente de données au sujet des utilisateurs.
Seriez-vous alors d'accord pour dire que le scandale impliquant Cambridge Analytica illustre en quelque sorte une attitude mentale qui priorise la quête du gain et de la croissance de l'entreprise au détriment de sa responsabilité civique?
(0925)
M. Alan Davidson:
Oui, mais nous gardons espoir qu'il s'agit de cas isolés. Je dirais simplement que ce ne sont pas toutes les entreprises qui fonctionnent de cette façon. Il y a, je crois, des entreprises qui tâchent de faire ce qu'il faut pour servir l'utilisateur, qui tentent de faire passer leurs utilisateurs en premier, et non uniquement à des fins altruistes. Je pense que c'est plutôt parce que nous sommes nombreux à croire que c'est dans l'intérêt de l'entreprise et que, sur le long terme, le marché récompensera les entreprises qui accordent la priorité aux utilisateurs.
Mme Sun Xueling:
Nous avons entendu des témoignages hier également. Je pense que bon nombre des membres du grand comité ont parlé avec des entreprises qui avaient fait état d'exemples concernant le Sri Lanka ou Nancy Pelosi. Il m'a semblé qu'il s'agissait davantage de diffuser de l'information, d'assurer la liberté d'extension de l'information, plutôt que de protéger réellement la liberté d'expression, puisqu'il qu'il n'y a pas de véritable liberté d'expression si elle est fondée sur une information fausse ou trompeuse.
Même si nous aimons croire que le scandale impliquant Cambridge Analytica est un cas unique, ce qui nous préoccupe, je pense, c'est que les modèles d'affaires existants de ces entreprises ne semblent pas devoir nous assurer que la responsabilité civique est perçue sous le même jour que la marge bénéficiaire des entreprises. Je pense que c'est à cela que je voulais en venir.
M. Alan Davidson:
Étant dans ce domaine depuis longtemps, je peux dire qu'il est vraiment désolant de voir certains de ces comportements en ligne. Je pense que c'est en partie à cause de l'évolution des modèles d'affaires, surtout ceux qui font de l'engagement la mesure prépondérante. Nous espérons que les entreprises feront plus et mieux.
Il y a un risque à une trop grande intervention gouvernementale dans ce domaine, du fait que nous tenons à respecter la liberté d'expression. Lorsque les gouvernements font des choix tranchés sur ce qui est vrai et ce qui est faux dans l'information diffusée en ligne, il y a beaucoup de risques. Je pense qu'il faut trouver un juste équilibre. Pour commencer, il me semble qu'il faudrait utiliser notre tribune exceptionnelle pour vraiment pousser les entreprises à faire mieux. C'est le bon point de départ. Espérons qu'il aura des suites utiles.
Mme Sun Xueling:
Oui. Merci.
Le président:
Nous allons maintenant passer à la délégation irlandaise et à Mme Naughton.
Mme Hildegarde Naughton (présidente, Comité mixte sur les communications, l'action sur le climat et l'environnement, Parlement de la République d'Irlande):
Je vous remercie, monsieur le président. Merci à tous d'être venus ce matin.
Ma première question s'adresse au porte-parole d'Amazon. En novembre dernier, le vendredi noir, je crois savoir qu'il y a eu des problèmes techniques. Beaucoup de noms et de courriels de clients ont paru sur votre site Web. Est-ce exact?
M. Mark Ryland:
Non, ce n'est pas exact.
Mme Hildegarde Naughton:
Non? D'accord. Je croyais qu'il y avait eu des reportages à ce sujet. Y a-t-il eu des problèmes techniques en novembre dernier?
M. Mark Ryland:
Cela ne me dit rien du tout, mais je me ferai un plaisir de vérifier. Non, je ne suis pas au courant.
Mme Hildegarde Naughton:
En ce qui concerne le RGPD et la protection des données, d'après ce que mes collègues vous ont demandé tout à l'heure, vous dites que vous seriez en faveur d'une forme quelconque de RGPD à l'échelle mondiale.
M. Mark Ryland:
Encore une fois, nous croyons que les principes de la confiance des consommateurs — accorder la priorité aux clients, leur donner le contrôle de leurs données, obtenir leur consentement à l'utilisation des données — ont du sens. Les moyens précis de le faire, la tenue de dossiers et la charge administrative que cela suppose semblent parfois l'emporter sur les avantages pour les consommateurs, alors nous pensons vraiment que nous devons travailler en collectivité pour trouver un juste équilibre qui ne soit pas trop onéreux.
Par exemple, une grande entreprise comme la nôtre serait capable de se conformer à un règlement très coûteux à appliquer, mais pas nécessairement une petite entreprise. Nous devons trouver des moyens d'appliquer ces principes de façon efficace, relativement simple et directe.
Bien sûr, nous appuyons les principes qui sous-tendent le RGPD. Nous pensons que la loi comme telle n'est pas encore tout à fait au point, en ce sens que nous ne savons pas exactement comment certaines dispositions seront interprétées une fois rendues au niveau réglementaire ou judiciaire — ce qu'on entend au juste par diligence raisonnable, par exemple, de la part d'une entreprise.
Mme Hildegarde Naughton:
D'accord, alors êtes-vous ouvert à cela, ou peut-être à une version différente à travers le monde?
M. Mark Ryland:
Oui.
Mme Hildegarde Naughton:
Comme vous le savez, dans le RGPD tel qu'il s'applique actuellement, il y a de ces obstacles pour certaines entreprises, mais on les a aplanis dans l'ensemble de l'Union européenne.
M. Mark Ryland:
Oui.
Mme Hildegarde Naughton:
Je suppose que vous attendez de voir la suite des choses...
M. Mark Ryland:
Nous pensons qu'il y aura beaucoup de bonnes leçons à tirer de cette expérience. Nous pourrons faire mieux à l'avenir, que ce soit en Europe ou ailleurs, mais encore une fois, les principes ont du sens.
(0930)
Mme Hildegarde Naughton:
D'accord.
Ma question s'adresse à Microsoft. Plus tôt cette année, je crois savoir qu'un pirate a compromis le compte d'un agent de soutien de Microsoft. Est-ce exact?
M. John Weigelt:
C'est exact. Il y a eu divulgation de justificatifs d'identité.
Mme Hildegarde Naughton:
Microsoft disait alors qu'il se pouvait que le pirate ait eu accès au contenu de certains utilisateurs d'Outlook. Est-ce que cela est vraiment arrivé? A-t-il pu accéder au contenu d'utilisateurs de Microsoft?
M. John Weigelt:
Cet accès du côté du soutien leur en donnait la possibilité, oui.
Mme Hildegarde Naughton:
Comment un pirate a-t-il pu, je suppose, déjouer votre propre sécurité ou votre dispositif de sécurité des données?
M. John Weigelt:
Tout cet environnement repose sur un modèle de confiance de bout en bout, alors il suffit de trouver le maillon le plus faible dans la chaîne. Dans ce cas-ci, malheureusement, l'employé de soutien avait un mot de passe que les pirates pouvaient deviner pour entrer dans ce système.
Mme Hildegarde Naughton:
Qu'avez-vous fait pour que cela ne se reproduise plus? Cela me paraît être une atteinte fondamentale à la sécurité des données de vos utilisateurs.
M. John Weigelt:
Tout à fait. Chaque fois qu'il se produit un incident dans notre environnement, nous réunissons notre équipe d'intervention de sécurité avec nos techniciens pour voir comment nous améliorer. Nous avons examiné ce qui s'était passé et nous nous sommes assurés de pouvoir mettre en place des protections comme le contrôle multifactoriel, qui exige deux choses pour se connecter: quelque chose que vous savez, quelque chose que vous avez. Nous avons envisagé des choses comme le contrôle à deux personnes et des outils de ce genre, afin de nous assurer de préserver la confiance de nos clients.
Mme Hildegarde Naughton:
Nous savons que vous avez apporté ces changements. Avez-vous eu un rapport? Avez-vous fait un rapport sur le nombre d'utilisateurs dont les renseignements ou le contenu ont été compromis?
M. John Weigelt:
Il faudrait que nous revenions devant le Comité pour en discuter. Je ne suis pas au courant de ce rapport. Je n'avais pas moi-même cherché à savoir.
Mme Hildegarde Naughton:
D'accord.
En ce qui concerne les mesures prises par la suite... Là encore, il s'agit de la confiance des utilisateurs en ligne et de ce que votre entreprise a fait. Pourriez-vous nous revenir à ce sujet?
M. John Weigelt:
Absolument.
Mme Hildegarde Naughton:
Merci.
Le vice-président (M. Nathaniel Erskine-Smith (Beaches—East York, Lib.)):
Il vous reste une minute.
M. James Lawless (membre, Comité mixte sur les communications, l'action sur le climat et l'environnement, Parlement de la République d'Irlande):
Merci, monsieur le président.
Je m'adresse d'abord à Amazon. Est-ce qu'Alexa nous écoute? Je suppose que oui. Que fait-elle de cette information?
M. Mark Ryland:
Alexa est à l'affût d'un mot-clé, le mot qui l'active, qui avertit le système que vous voulez interagir avec lui d'une façon ou d'une autre. Cette information n'est pas stockée localement. Rien n'est stocké localement sur l'appareil. Une fois que le mot-clé est reconnu, il suit le flux de données. Un témoin lumineux vous indique que l'appareil est maintenant actif, et le son suivant qui se produit dans la pièce est alors envoyé dans le nuage.
La première chose que fait le nuage, c'est de revérifier le mot-clé. Souvent, le logiciel de l'appareil n'est pas évolué, alors il fait parfois des erreurs. Si le nuage reconnaît que ce n'était pas un mot-clé, il interrompt le flux. Par contre, si le nuage confirme que le mot-clé a été prononcé, le flux est ensuite acheminé par un système de traitement du langage naturel, qui produit essentiellement un texte. À partir de là, les systèmes prennent le relais pour répondre à la demande de l'utilisateur.
M. James Lawless:
D'accord.
Est-ce qu'Amazon se sert de cette information à des fins de profilage ou de marketing?
M. Mark Ryland:
L'information est versée dans les renseignements sur votre compte, tout comme si vous achetiez des livres sur notre site Web. Elle pourrait donc influencer ce que nous vous présentons comme autres choses susceptibles de vous intéresser.
M. James Lawless:
D'accord.
M. Mark Ryland:
Elle n'est transmise à aucun tiers. Elle ne sert pas à des fins publicitaires et ainsi de suite.
M. James Lawless:
D'accord, mais si vous avez demandé le temps qu'il fait aux Bermudes et que vous allez ensuite sur le site Web d'Amazon, vous pourriez tomber sur un guide de vacances aux Bermudes, n'est-ce pas?
M. Mark Ryland:
C'est théoriquement possible, oui. Je ne sais pas si cet algorithme existe.
M. James Lawless:
Est-ce probable?
M. Mark Ryland:
Je ne sais pas. Il faudrait que je vous revienne là-dessus.
M. James Lawless:
D'accord, mais on utilise tout de même les questions posées, qui sont traitées par Alexa, pour offrir quelque chose à l'utilisateur. On pourrait s'en servir pour lui faire une présentation de marketing intelligent sur la plateforme, non?
M. Mark Ryland:
C'est parce que l'utilisateur lie directement l'appareil à son compte et que tous ses énoncés deviennent visibles. Vous pouvez voir une liste complète de ce que vous avez dit et vous pouvez supprimer n'importe quel énoncé. Il sera aussitôt retiré de la base de données et ne pourra plus servir à vous faire une recommandation.
M. James Lawless:
Est-ce que l'utilisateur consent à cela lorsqu'il s'inscrit? Est-ce que cela fait partie des modalités?
M. Mark Ryland:
Je pense que c'est très clair. Le consentement fait partie de l'expérience. Pour prendre un exemple familier, je n'ai pas explicitement consenti à ce que ma voix et mon image soient enregistrées ici aujourd'hui, mais le contexte me dit que c'est probablement ce qui se passe. Nous croyons que les expériences simples pour le consommateur sont les meilleures. Nous pensons que nos clients comprennent que, si nous accumulons des données à leur sujet, c'est justement pour que le service fonctionne comme il est censé fonctionner...
Le vice-président (M. Nathaniel Erskine-Smith):
Merci.
M. Mark Ryland:
... et nous facilitons vraiment, vraiment, la suppression et le contrôle de ces données.
(0935)
Le vice-président (M. Nathaniel Erskine-Smith):
Merci beaucoup, même si vous comprenez peut-être mieux ce qui se passe aujourd'hui que la plupart des utilisateurs d'Alexa.
M. Charlie Angus:
Excusez-moi, monsieur le président, mais puis-je invoquer le Règlement?
Je veux que ce soit bien clair. Quand on s'adresse à un comité, c'est comme s'adresser à un tribunal. Il ne s'agit pas de savoir si vous consentez à être enregistré ou si vous pensez que vous l'êtes. Il s'agit d'un processus parlementaire prévu par la loi, alors, bien sûr, vous êtes enregistré. Il est ridicule de comparer cela avec Alexa qui vous vend quelque chose à la Barbade, cela mine les fondements de notre Parlement.
Je rappellerais simplement aux témoins que nous sommes ici pour recueillir de l'information au profit de la communauté internationale des législateurs, et que tout est consigné officiellement.
Le vice-président (M. Nathaniel Erskine-Smith):
Merci, monsieur Angus.
Monsieur de Burgh Graham, vous avez cinq minutes.
M. David de Burgh Graham (Laurentides—Labelle, Lib.):
Merci. Je vais commencer par Microsoft.
L'écosystème de Microsoft est assez vaste, comme vous le savez. Vous avez la majorité des ordinateurs de bureau du monde, avec Office 365, LinkedIn, Bing, Skype, MSN, Live.com, Hotmail, etc. De toute évidence, vous avez la capacité de recueillir une énorme quantité de données sur un nombre immense de personnes. Pouvez-vous m'assurer qu'il n'y a pas de données personnelles échangées entre ces différentes plateformes?
M. John Weigelt:
Parlez-vous de données échangées entre, disons, un utilisateur de Xbox et un utilisateur d'Office 365? Est-ce là votre question?
M. David de Burgh Graham:
Oui, ou entre LinkedIn et Bing. Pendant nos premiers jours de séance sur cette question, nous avons beaucoup entendu parler de la création d'avatars des utilisateurs de différentes entreprises. Est-ce que Microsoft crée un avatar de ses utilisateurs? Est-ce qu'elle crée une image de qui utilise ses services?
M. John Weigelt:
Si vous avez un compte Microsoft commun, vous pouvez conserver et gérer vos données de l'une à l'autre de ces plateformes. L'équipe de produits de Bing ne ferait pas nécessairement l'aller-retour entre elle et l'équipe de Xbox pour obtenir les données requises. C'est vous qui contrôlez les données qui se trouvent au centre.
M. David de Burgh Graham:
Je voulais savoir s'il y avait un échange de données entre les services. Vous avez votre connexion commune, mais une fois que vous l'avez passée, vous pouvez aller dans différentes bases de données. Les bases de données interagissent-elles?
M. John Weigelt:
Là encore, à travers toutes les différentes plateformes, il faudrait que j'examine chaque scénario particulier pour dire généralement qu'il n'y a pas d'échange de données entre...
M. David de Burgh Graham:
D'accord.
Vous avez récemment acheté GitHub, une entreprise à code source ouvert, ce que j'ai trouvé très intéressant. Pourquoi?
M. John Weigelt:
Nous trouvons que la communauté des partisans du code source ouvert est très dynamique et qu'elle offre un excellent modèle de développement. Ce libre dialogue entre eux, cette discussion libre, va au-delà de la simple conversation sur les logiciels pour englober des projets plus vastes. Nous y avons vu une occasion de collaboration.
Par le passé, vous savez qu'il y avait presque de l'animosité entre nous et les partisans du code source ouvert. Nous avons vraiment adhéré aux concepts du logiciel libre et des données ouvertes pour être en mesure de mieux innover dans le marché.
M. David de Burgh Graham:
Je viens moi-même de cette communauté, alors je peux comprendre ce que vous dites.
J'aimerais m'adresser un instant à Mozilla.
Vous avez parlé de meilleures protections contre le pistage en ligne. Diriez-vous qu'il y a une sorte de course aux armements entre pisteurs et contre-pisteurs?
M. Alan Davidson:
Malheureusement, oui. Nous sommes très lucides en nous apprêtant à construire cet ensemble de protections contre le pistage en ligne. Nous pensons qu'elles offrent une réelle valeur. Et je lève mon chapeau à nos amis d'Apple. Ils font quelque chose de semblable avec Safari qui est vraiment bon.
Les pisteurs vont trouver d'autres façons de déjouer nos protections, et nous allons devoir en construire de nouvelles. Je pense que cela va durer un certain temps, ce qui est malheureux pour les utilisateurs, mais c'est un exemple de ce que nous pouvons faire pour les protéger.
M. David de Burgh Graham:
Compris.
Pour passer à Apple un instant, il y a eu récemment le piratage d'identifiant de capteur qui a été corrigé dans la version 12.2 d'iOS — je ne la connais pas —, qui permettait à n'importe quel site Web dans le monde de suivre n'importe quel iPhone et la plupart des appareils Android en se servant des données de calibrage sensoriel. Vous êtes probablement au courant de cela.
M. Erik Neuenschwander:
Oui, c'est l'affaire du pistage par empreinte numérique.
M. David de Burgh Graham:
Oui, le pistage par empreinte numérique. Pouvez-vous nous en dire davantage à ce sujet, nous dire comment il a été utilisé et si c'est vraiment corrigé maintenant dans iOS 12.2?
M. Erik Neuenschwander:
Je vais commencer par expliquer un peu le contexte. Lorsque nous parlons, disons, de pistage en ligne, il peut y avoir des technologies qui servent expressément à cela, comme les témoins communément appelés cookies. Une des évolutions que nous avons observées est la mise au point de ce que nous appelons une empreinte synthétique. Il s'agit simplement d'un numéro unique qui est synthétisé par un tiers, probablement pour essayer de faire du pistage. On s'en sert aussi dans la lutte anti-fraude et pour d'autres usages, mais chose certaine, cela se prête très bien au pistage en ligne.
Vous avez raison. Certains chercheurs, en examinant les variations dans la fabrication des capteurs, ont déterminé qu'il était possible de synthétiser un de ces identifiants uniques. Le pistage par empreinte numérique, tout comme le contre-pistage, va évoluer continuellement et nous sommes déterminés à rester à l'avant-garde. Quant à savoir comment il a été utilisé, je n'ai aucune donnée indiquant qu'il ait même été utilisé, mais je ne peux pas non plus vous assurer qu'il ne l'a pas été.
Nous avons mis en place des mesures d'atténuation dans notre dernière mise à jour, et les chercheurs ont confirmé qu'elles ont bloqué leur version de l'attaque en ligne, mais je répète que c'est une technique qui continue d'évoluer, alors je pèse soigneusement mes mots « mesures d'atténuation ». À moins de retirer les capteurs de l'appareil, il y aura toujours un risque. Nous allons aussi continuer de travailler pour réduire ce risque et garder le dessus.
(0940)
M. David de Burgh Graham:
Il me reste environ 20 secondes. J'ai une autre question pour Apple.
Sur iOS, lorsque vous passez d'une application à l'autre, une application se met en suspens et l'autre s'ouvre. Lorsque vous revenez à l'application originale, si cela fait plus de quelques secondes, elle recharge les données. Est-ce que cela ne donne pas amplement l'occasion de pister vers n'importe quel site Web que vous consultez, en disant que c'est l'usage de l'appareil? Je trouve curieux de faire cela, au lieu de stocker le contenu que vous utilisez.
M. Erik Neuenschwander:
Je vais diviser cela en deux parties, je crois bien.
Premièrement, lorsque l'application passe à l'avant-plan et qu'elle peut s'exécuter, elle peut recharger le contenu, si elle juge bon de le faire. À ce moment-là, vous lui avez remis les commandes et elle peut s'exécuter et recharger, si vous voulez.
Notre objectif, en fait, est de réduire au minimum ces recharges dans le cadre de l'expérience utilisateur. Nous voulons aussi que l'application qui se trouve à l'avant-plan obtienne, dans un bac à sable, dans un ensemble de limites que nous avons, le maximum des moyens d'exécution et des autres ressources de l'appareil. Cela peut vouloir dire que le système d'exploitation enlève des ressources aux applications qui se trouvent en arrière-plan.
Pour ce qui est du rechargement que vous voyez, iOS, notre système d'exploitation, pourrait y contribuer, mais au fond, peu importe les ressources qu'on préserve pour celle qui se trouve en arrière-plan, lorsque vous retournez à une application, elle a le contrôle de l'exécution et elle peut recharger si elle le juge bon.
M. David de Burgh Graham:
Merci.
Le président:
Merci, monsieur Graham.
Nous passons maintenant à mon coprésident, M. Collins.
Allez-y de vos remarques préliminaires. C'est bon de vous revoir.
M. Damian Collins (président, Comité sur le numérique, la culture, les médias et le sport, Chambre des communes du Royaume-Uni):
Merci.
Mes excuses, puisque les autres représentants du Royaume-Uni et moi-même n'étions pas ici au début de la séance, mais nous sommes ravis de voir tous les témoins ici présents.
Hier, nous nous sommes concentrés sur certaines plateformes de médias sociaux, mais je pense que notre champ d'intérêt est beaucoup plus vaste et qu'il englobe tout un éventail d'entreprises de technologie.
J'aurais d'abord quelques questions pour Apple.
Lorsque je suis entré, il était question des données recueillies sur la voix. Pourriez-vous me parler un peu du genre de données qu'Apple recueille en ce qui concerne le son capté par ses appareils? Dans le cas des appareils intelligents, est-ce qu'ils captent le son ambiant pour se faire une idée des utilisateurs — peut-être le milieu dans lequel ils se trouvent ou ce qu'ils sont en train de faire lorsqu'ils utilisent l'appareil?
M. Erik Neuenschwander:
Pour ce qui est de l'information sur nos appareils qui supportent Siri, il y a une partie de l'appareil qui est toujours à l'écoute. Sur certains de nos appareils, nous l'avons isolée même d'iOS, même de notre système d'exploitation, dans un coprocesseur dédié, essentiellement une pièce de matériel spécialisée, qui n'enregistre ni ne stocke l'information, mais qui est seulement à l'écoute du mot-clé pour activer notre assistant personnel, alors l'information n'est pas conservée dans l'appareil.
Toujours en réponse à votre question, elle n'est pas non plus versée dans un quelconque profil dérivé pour identifier quelque chose en rapport avec le comportement ou les centres d'intérêt de l'utilisateur. Non.
M. Damian Collins:
Est-ce que l'appareil recueille de l'information sur l'environnement où on se trouve en ce moment? Disons, par exemple, que je suis dans l'autobus pour me rendre au travail. Est-ce qu'il capterait ce genre de bruit ambiant?
M. Erik Neuenschwander:
Elle n'enregistre pas tout. Il y a ce que nous appelons une « période tampon ». Il s'agit essentiellement d'une courte période qui est enregistrée de façon transitoire pour analyser le mot-clé, et qui est ensuite continuellement effacée à mesure que le temps avance. Rien n'est enregistré, sauf les quelques millisecondes éphémères qui permettent d'entendre ce mot-clé.
M. Damian Collins:
L’écoute ne sert qu'à passer une commande à Siri.
M. Erik Neuenschwander:
C’est exact.
M. Damian Collins:
À des fins de développement de produits ou de formation, l’entreprise conserve-t-elle certains de ces renseignements?
M. Erik Neuenschwander:
Encore une fois, l'appareil ne conserve même pas ces renseignements. Comme il écoute de façon passagère, ces renseignements sont continuellement effacés. Lorsque l’utilisateur utilise un mot-clé, un apprentissage automatique se fait sur l'appareil en adaptant le modèle audio à l'interlocuteur pour réduire le nombre de faux positifs ou de faux négatifs de ce mot-clé. Ensuite, si l’utilisateur fait appel à Siri, au moment où Siri est interrogée et où l'on communique avec elle débute l'envoi de données à Apple.
M. Damian Collins:
Quelle est la portée des données ainsi envoyées?
M. Erik Neuenschwander:
La portée des données n'englobe que l’énoncé jusqu’à ce qu’il atteigne un point de terminaison et que Siri estime que l’utilisateur a cessé de parler, ainsi que des renseignements comme le modèle de l'appareil, pour adapter la réponse à l’appareil et un identificateur aléatoire généré par l’appareil, qui est la clé des données détenues par Siri aux fins de vos interactions avec elle. Il s’agit d’un identificateur qui est distinct de votre identificateur Apple et qui n’est associé à aucun autre compte ou service chez Apple.
M. Damian Collins:
Est-ce qu’Apple tient un registre de mes demandes à Siri, de mes commandes?
M. Erik Neuenschwander:
Oui.
(0945)
M. Damian Collins:
Est-ce que l’entreprise utilise ce registre ou est-il seulement utilisé pour faciliter la réponse à mon appareil?
M. Erik Neuenschwander:
Je suppose, en réponse à la deuxième partie de votre question, que cela donne lieu à une certaine forme d'utilisation par l’entreprise. Oui, nous utilisons ces données pour Siri, mais pour Siri seulement.
M. Damian Collins:
Pour comprendre ce que sont les objectifs de Siri, ne s'agit-il que de rendre Siri plus sensible à ma voix...
M. Erik Neuenschwander:
Oui.
M. Damian Collins:
... ou les données sont-elles conservées par l’entreprise pour établir un profil des demandes des utilisateurs? Conservez-vous des profils de métadonnées des gens selon l'utilisation qu'ils font de Siri?
M. Erik Neuenschwander:
Le seul profil de métadonnées que nous avons est celui qui est utilisé pour adapter vos interactions réelles avec Siri. Par exemple, nous formons nos modèles de voix pour qu'ils puissent reconnaître le langage naturel sur le profil sonore. Cela ne sert que pour le volet ou l’expérience Siri. Si vous demandez si les renseignements recueillis permettent d'établir un profil plus large utilisé par l’entreprise pour commercialiser des produits et des services, la réponse est non.
M. Damian Collins:
Monsieur Ryland, est-ce qu’Amazon fait cela?
J’aimerais savoir quelle est la différence entre la façon dont Amazon utilise les données recueillies à partir de la voix et la façon dont Apple les utilise. Récemment, un utilisateur a présenté une demande de données qu’Amazon détenait. Cela comprenait une série d’enregistrements de la parole à domicile que l’entreprise utilisait apparemment à des fins de formation. J’aimerais savoir comment Amazon recueille les données vocales et comment elle les utilise.
M. Mark Ryland:
L’appareil attend aussi un mot-clé. Il ne stocke aucune donnée ambiante. Une fois interpellé, il commence à acheminer des données vers le nuage pour analyser ce que l’utilisateur demande réellement. Ces données sont stockées; tout cela est expliqué dans le profil de l’utilisateur, qui peut voir tous les énoncés. Il peut voir ce qu’Alexa a cru entendre, le texte de l'interprétation qu'en a fait Alexa. Cela lui permet également de comprendre l'origine des problèmes de communication, et ainsi de suite.
L'utilisateur peut supprimer ces données, individuellement ou collectivement. Nous utilisons les données tout comme nous utilisons les données d’autres interactions concernant le compte de l'utilisateur. Cela fait partie du compte de l'utilisateur Amazon. Cela fait partie de la façon dont il interagit avec notre plateforme globale.
M. Damian Collins:
Le représentant d’Apple a dit que l’appareil écoute constamment, mais attend seulement la commande Siri. Il semble que ce soit différent avec Alexa. L’appareil est toujours à l’écoute et il conserve dans le nuage ce qu’il a entendu.
M. Mark Ryland:
Non, c’est plutôt très semblable. Nous conservons les énoncés entendus après le mot-clé, tout comme Siri.
M. Damian Collins:
Je sais d’expérience qu’Alexa répond à des commandes autres que le mot-clé. Il pourrait être déclenché par quelque chose qu’il a entendu dans la salle et qui n’est pas nécessairement le mot-clé.
M. Mark Ryland:
Cela me semble être une défaillance. Alexa n’est pas censée réagir de façon aléatoire aux sons ambiants.
M. Damian Collins:
Roger McNamee, qui est venu témoigner devant nous hier, nous a expliqué comment il avait placé Alexa dans une boîte dès le premier jour parce qu’Alexa avait commencé à interagir avec une publicité d’Amazon qui passait à la télévision. Je pense que la plupart des gens qui ont ces appareils savent que toutes sortes de choses peuvent les déclencher, et pas seulement la commande ou le mot-clé d’Alexa.
M. Mark Ryland:
Eh bien, nous travaillons sans cesse à raffiner la technologie et à nous assurer que le mot-clé constitue la seule façon dont les gens peuvent interagir avec l’appareil.
M. Damian Collins:
Si vous conserviez dans l'appareil les données qu'il entend et les gardiez ensuite dans le nuage — ce qui semble être différent de ce que fait Apple —, vous nous dites que ce ne sont que des données sonores qui sont fondées sur les commandes reçues par Alexa?
M. Mark Ryland:
Oui. Ce ne sont que les données créées en réponse à la tentative de l’utilisateur d’interagir avec Alexa, qui est déclenchée par le mot-clé.
M. Damian Collins:
Est-ce qu’Amazon serait en mesure de répondre à une demande de données ou de renseignements de la police au sujet d’un crime qui a peut-être été commis à l’intérieur du pays en fonction de paroles captées par Alexa?
M. Mark Ryland:
Nous observons évidemment les lois de tous les pays dans lesquels nous opérons. S’il y a une ordonnance exécutoire d’une portée raisonnable et ainsi de suite, nous y donnerons suite comme il se doit.
M. Damian Collins:
Cela donne à penser que vous conservez plus de données que de simples commandes à Alexa.
M. Mark Ryland:
Non, la seule chose à laquelle nous pourrions répondre, c’est l’information que je viens de décrire, c’est-à-dire les réponses qui viennent de l’utilisateur une fois qu’il a interpellé l’appareil. Il n’y a pas de stockage des données ambiantes.
M. Damian Collins:
Vous dites que lorsque quelqu’un interpelle l’appareil, la commande reçue — son dialogue avec Alexa, si vous voulez — est conservée?
M. Mark Ryland:
C’est exact.
M. Damian Collins:
Vous dites qu’à moins que le mot-clé ne soit prononcé, l’appareil n’est pas déclenché et il ne recueille pas de données ambiantes.
M. Mark Ryland:
C’est exact.
M. Damian Collins:
D’accord.
Je m’intéresse au cas des données dont j’ai parlé plus tôt. On semblait craindre que le son ambiant soit conservé et enregistré et que l'entreprise l’utilise à des fins de formation.
M. Mark Ryland:
Non. Quand j'ai parlé de formation, c’est simplement que nous améliorons nos modèles de traitement du langage naturel en utilisant les données que les clients nous donnent dans le cadre de leur interaction avec l’appareil. Ce n’est pas du tout basé sur le son ambiant.
(0950)
M. Damian Collins:
Tous les commandements d’Alexa qui sont déclenchés par le mot-clé sont donc conservés par l’entreprise dans le nuage. Pensez-vous que vos utilisateurs le savent?
M. Mark Ryland:
Je pense que oui. D'après mon expérience de l’utilisation d’un appareil mobile pour configurer l’appareil à la maison, j’ai immédiatement remarqué qu’il y a une icône d’historique, où je peux essentiellement aller prendre connaissance de toutes mes interactions avec le système.
M. Damian Collins:
Je ne me souviens pas d’avoir lu cela nulle part. C’est peut-être en raison du feuillet de l'épaisseur de Guerre et paix, des instructions qui sont rattachées à l’appareil.
Je pense que même si c’est peut-être la même chose que d’utiliser n’importe quelle autre fonction de recherche, le fait est qu’il parlait à un ordinateur, et je ne suis pas sûr que les utilisateurs savent que cette information est stockée indéfiniment. Je ne savais pas que cela se faisait. Je n’avais aucune idée de la façon dont on s’y prendrait pour le savoir. Je suis également un peu intrigué par le fait qu'il est possible, en fait, de voir la transcription de ce que vous avez demandé à Alexa.
M. Mark Ryland:
Oui, c'est exact. C’est dans l’application mobile, sur le site Web et sur la page de confidentialité d’Alexa que vous pouvez voir toutes vos interactions. Vous pouvez voir ce que le système de transcription a cru entendre, et ainsi de suite.
M. Damian Collins:
Je présume que tout cela est regroupé dans un ensemble de données qu’Amazon détient à mon sujet en ce qui concerne mes habitudes d’achat et d’autres choses également.
M. Mark Ryland:
Cela fait partie des données de votre compte.
M. Damian Collins:
Cela représente beaucoup de données.
Le président:
M. Davidson veut répondre.
M. Alan Davidson:
Je voulais simplement dire que je pense que cela met également en évidence le problème dont nous avons parlé au sujet du consentement.
Je suis un fidèle utilisateur d’Amazon Echo. L'entreprise a conçu un outil formidable. Il y a quelques semaines, je suis allé avec ma famille et nous avons vu les données qui étaient stockées, mais je dois dire que c’est...
La protection de la vie privée est un sujet qui me passionne. J’ai lu tout ce que vous recevez, et j’ai été stupéfait, honnêtement, et ma famille a été étonnée de voir ces données enregistrées de nous et de nos jeunes enfants qui remontent à plusieurs années et qui sont stockées dans le nuage. Cela ne veut pas dire que cela a été fait à tort ou illégalement. Je pense que c’est merveilleux de voir ce genre de transparence, mais les utilisateurs n’en ont aucune idée. Je pense que beaucoup d’utilisateurs ne savent tout simplement pas que ces données existent et ne savent pas non plus comment elles seront utilisées à l’avenir.
Comme industrie, nous devons faire un bien meilleur travail pour ce qui est de demander aux gens un consentement plus précis, ou fournir une meilleure information à ce sujet.
Le président:
Oui.
M. Alan Davidson:
Je ne veux pas m’en prendre à Amazon; c’est un produit merveilleux.
Le président:
Nous passons maintenant à M. Gourde.
Je vois beaucoup de mains se lever. Tout le monde aura beaucoup de temps aujourd’hui.
Monsieur Gourde, vous avez cinq minutes.
[Français]
M. Jacques Gourde (Lévis—Lotbinière, PCC):
Merci, monsieur le président.
Ma question va toucher un sujet d'ordre un peu plus technique.
Vous possédez, surtout Amazon et les autres organisations semblables, beaucoup de renseignements et de données personnelles concernant vos clients.
Je suis convaincu que vous faites l'impossible pour sécuriser toutes ces données. Par contre, compte tenu de l'avènement de l'intelligence artificielle, vous avez peut-être eu des offres de service afin de vous aider à prévoir le marché dans l'avenir.
Cela pourrait être très utile — surtout pour Amazon — d'être capable de prévoir, supposons pour l'été prochain, quel article parmi ceux qui ont été commandés pourrait faire l'objet d'un rabais, être mis en solde.
Il y a peut-être des sous-traitants ou des personnes qui vous ont offert des services en ce qui a trait aux nouveaux systèmes d'algorithmes. Au fond, ils vous auraient vendu cela pour vous aider.
Est-ce que ces sous-traitants, si vous y faites appel — bien sûr, vous n'êtes pas obligé de nous le dire —, peuvent garantir que, en utilisant les données détenues par votre entreprise pour offrir ce genre de service, ils ne vont pas vendre ces renseignements personnels à d'autres personnes ou à des organisations plus importantes? Ces dernières seraient très heureuses d'obtenir ces informations, que ce soit pour vendre de la publicité ou à d'autres fins.
Y a-t-il des organisations qui vous offrent ce genre de service?
[Traduction]
M. Mark Ryland:
Nous concluons des marchés avec des tiers pour la prestation de certains services et, dans des conditions très prudemment contrôlées, nous partageons des données personnelles.
Par exemple, si nous concluons un marché avec un service de livraison, nous communiquons le nom et l’adresse du client où le colis doit être livré, mais je pense que pour tous ces cas d’apprentissage automatique de base du genre dont vous parlez, tout cela ne concerne que notre entreprise. Nous ne vendons pas l’accès aux données de base aux entreprises avec lesquelles nous traitons aux fins des services que nous offrons. Ce partage de données ne se fait que dans des cas d’utilisation périphérique, et même dans ces cas, nous conservons des droits de vérification et nous contrôlons soigneusement, par l’entremise de contrats et de vérifications, l’utilisation que font nos sous-traitants des données de nos clients que nous partageons avec eux à ces fins très limitées.
(0955)
[Français]
M. Jacques Gourde:
Y a-t-il d'autres organisations qui utilisent des stratégies d'algorithmes pour mousser vos produits?
[Traduction]
M. John Weigelt:
Nous appliquons chez Microsoft un très solide modèle de gouvernance des données qui nous permet de reconnaître et de marquer les données et de les protéger comme il se doit. Dans les secteurs où nous avons besoin de sous-traitants, leur nombre demeure très limité.
Il y a beaucoup de décisions à prendre avant que nous choisissions nos sous-traitants, et ils doivent conclure des ententes avec nous pour assurer la confidentialité des données qu’ils sauvegardent. Nous avons des règles strictes concernant la façon dont ils utilisent ces données et les conditions dans lesquelles ils doivent nous les renvoyer. Nous avons un programme très solide de politiques, de procédures et de mesures de sécurité techniques concernant l’utilisation des données par les sous-traitants pour veiller à ce qu’elles ne soient pas utilisées à mauvais escient.
L’intelligence artificielle est un domaine qui nous intéresse au plus haut point, et Satya Nadella, dans son livre intitulé Hit Refresh, a certes établi des principes d’utilisation judicieuse de l’intelligence artificielle afin de responsabiliser les gens. C’est vraiment le premier principe. Nous avons adopté ces principes au sein de notre organisation, en veillant à établir une structure de gouvernance robuste en matière d’intelligence artificielle. Nous avons mis sur pied un comité qui examine l’application de l’IA à l’intérieur et à l’extérieur de l’organisation pour s’assurer que nous l’utilisons de façon responsable.
La mise en place de ces éléments dans l'organisation nous aide à mieux gérer et comprendre la façon dont ces outils sont utilisés et à les mettre en place dans un cadre conforme à l'éthique. Nous sommes très heureux de collaborer avec des gouvernements partout dans le monde, que ce soit l’Union européenne avec ses travaux dans le domaine de l’éthique de l’intelligence artificielle ou les récentes lignes directrices de l’OCDE, ou même ici au Canada avec les travaux du Conseil stratégique des DPI, le CSDPI, sur un cadre déontologique de l’intelligence artificielle, afin que nous puissions aider les gens et d’autres organisations à mieux comprendre certaines de ces techniques, des processus et des modèles de gouvernance responsables qui doivent être mis en place.
M. Erik Neuenschwander:
Je ne sais pas si Apple fait le genre de modélisation dont vous parlez. Au lieu de cela, notre apprentissage automatique a tendance à être basé sur l’intelligence des appareils.
Par exemple, à mesure que le clavier apprend à connaître l’utilisateur, l’appareil lui-même recueille et utilise cette information pour s’entraîner à reconnaître cet utilisateur sans que l’information ne quitte l’appareil. Lorsque nous recueillons des données pour aider à éclairer les modèles communautaires, nous appliquons des critères comme la protection de la vie privée différentielle locale, qui applique la randomisation aux données avant qu’elles quittent l’appareil de l’utilisateur, de sorte que nous ne sommes pas en mesure de revenir en arrière et de relier les données de l’utilisateur et leur contenu à un utilisateur. Pour nous, tout est centré sur l'appareil.
[Français]
M. Jacques Gourde:
Monsieur Davidson, voulez-vous ajouter quelque chose?
[Traduction]
M. Alan Davidson:
Nous ne déployons aucun de ces systèmes. Dans le cadre de certaines de nos recherches, nous avons également examiné la possibilité de faire des expériences sur des appareils. Je pense que c’est une approche très solide pour protéger la vie privée des gens.
Le président:
Merci, monsieur Gourde.
Nous allons maintenant entendre M. Ian Lucas, du Royaume-Uni.
M. Ian Lucas (membre, Comité sur le numérique, la culture, les médias et le sport, Chambre des communes du Royaume-Uni):
Si je peux revenir à la question de M. Collins, j’ai été intrigué par le téléphone Apple et l’appareil Alexa. Y a-t-il eu des tentatives de piratage de vos systèmes et d’accès à l’information que vous conservez?
M. Erik Neuenschwander:
Les systèmes d’Apple sont constamment attaqués. Je ne sais pas exactement si l'application Siri en soi a été l’objet d’attaques ou non, mais on peut supposer qu'elle l'a été. Cependant, étant donné que les données de Siri ne sont pas associées à l’ensemble du compte Apple, même si nous les considérons comme très sensibles et que nous nous efforçons de les protéger, il serait très difficile pour une personne mal intentionnée de recueillir les données d’un utilisateur individuel à partir du système Siri.
M. Ian Lucas:
A-t-on déjà réussi à pirater le système en ce qui concerne une personne en particulier?
M. Erik Neuenschwander:
Pas à ma connaissance, non.
M. Mark Ryland:
De même, nous protégeons les données des clients avec beaucoup de succès depuis plus de 20 ans. Il s’agit d’un nouveau type de données, de toute évidence d’un type très sensible, mais nous conservons un dossier très positif à cet égard, et rien n’indique qu’il y ait eu quelque violation que ce soit à l’égard des données liées à Alexa.
Le président:
Nous cédons maintenant la parole à M. Lawless, pour cinq minutes.
M. James Lawless:
Merci.
Pour revenir à la sécurité, à la confidentialité des données et au cryptage, je crois qu’Apple a parlé du Key Store sur l’iPhone et l’iPad, et Mozilla, je crois, offre aussi une fonction de type Key Store dans son navigateur.
L’une des difficultés en matière de sécurité, c’est que nos mots de passe, selon moi, sont devenus tellement sûrs que personne ne les retient, sauf les appareils eux-mêmes. Sur le Key Store d'Apple — je crois qu’on l'appelle l’application Key Store —, vous pouvez demander à l'application de générer un mot de passe pour vous, puis lui demander de s’en souvenir pour vous. Vous ne savez pas ce que c’est, mais l’application et l’appareil le savent, et je suppose que cette information est stockée dans le nuage quelque part. Je sais que vous en avez présenté un aperçu au début.
Je suppose que Mozilla a une fonction semblable qui permet de demander à la plateforme de se souvenir du mot de passe pour vous, donc vous avez plusieurs mots de passe, et je pense que Microsoft offre aussi probablement cette fonction dans ses navigateurs. Encore une fois, si vous ouvrez une session dans Mozilla, Edge ou n’importe quel navigateur, vous pouvez remplir automatiquement tous vos champs de mot de passe. Nous nous retrouvons dans une situation comme celle du Seigneur des anneaux, où il n'existe qu'« un anneau pour tous ». Dans nos tentatives pour améliorer la sécurité, nous nous sommes retrouvés avec un seul maillon dans la chaîne, et ce maillon est assez vulnérable.
Peut-être, pourrais-je obtenir des commentaires sur ce problème particulier de toutes les plateformes.
(1000)
M. Erik Neuenschwander:
Je crois que l’application dont vous parlez est l’application Keychain Access sur les appareils Mac et iOS. Dans les « réglages », « mots de passe » et « comptes », vous pouvez voir les mots de passe. Comme vous le dites, ils sont générés automatiquement par la plateforme. La plupart des utilisateurs en font l’expérience grâce à notre navigateur Safari, qui offre une fonction de connexion à Keychain. Comme vous le dites, l'information est stockée dans le nuage.
Elle est sauvegardée dans le nuage et cryptée de bout en bout — je tiens à le préciser — au moyen d'une clé qu’Apple n’a jamais en sa possession. Même si nous plaçons cette information dans le nuage, à la fois pour vous permettre de récupérer les mots de passe et de les synchroniser entre tous les appareils que vous avez connectés à iCloud, nous le faisons d’une manière qui n’expose pas vos mots de passe à Apple.
Vous avez raison de dire que les mots de passe continuent de poser un défi en ce qui concerne la protection des comptes d’utilisateur. On voit beaucoup d’entreprises, notamment Apple, passer à ce qu’on appelle l’authentification à deux facteurs, où le simple mot de passe n’est pas suffisant pour accéder au compte. Nous sommes très favorables à cela. Nous avons pris un certain nombre de mesures au fil des ans pour faire passer nos comptes iCloud à ce niveau de sécurité, et nous estimons que c’est un bon progrès pour l’industrie.
La dernière chose que j'aimerais préciser, c’est que les données des mots de passe sont extrêmement délicates et méritent notre plus haut niveau de protection. C’est pourquoi, à part l’application Keychain Access dont vous parlez sur le Mac, sur nos dispositifs iOS et maintenant sur notre T2 — c’est le nom de la puce de sécurité dans certains de nos plus récents appareils Mac —, nous utilisons la technologie de l’enclave sécurisée pour protéger ces mots de passe et les séparer du système d’exploitation. Comme la surface d’attaque est plus petite, même si c’est un risque auquel nous sommes très attentifs, nous avons pris des mesures, à l'étape de la conception matérielle, pour protéger les données entourant les mots de passe des utilisateurs.
M. Alan Davidson:
C’est une excellente question. J’ajouterais simplement que cela semble contre-intuitif, n’est-ce pas? Il y a à peine 10 ans, nous aurions dit: « C’est fou. Vous allez mettre tous vos mots de passe au même endroit? » Nous offrons un produit semblable — Lockwise — sur notre navigateur.
Aujourd’hui, les experts en sécurité vous diront que c’est une bien meilleure solution pour la plupart des gens parce que le plus gros problème que nous avons tous est que nous ne pouvons pas nous souvenir de nos mots de passe, alors nous finissons par utiliser le même mot de passe partout, ou nous finissons par utiliser des mots de passe idiots partout, et c’est là que débutent nos problèmes.
Nos propres sondages d’experts en sécurité et nos propres experts internes ont dit qu’il est en fait beaucoup plus intelligent d’utiliser un gestionnaire de mots de passe. Pour la plupart d’entre nous, cela réduit sensiblement la menace de cette vulnérabilité centrale. Je vous encourage donc tous à utiliser des gestionnaires de mots de passe.
Je viens d’envoyer une note à tous nos employés pour leur dire qu’ils devraient le faire. Nous prenons tous cela très au sérieux. L’authentification à deux facteurs est un élément important, et c’est un élément important du fonctionnement de ces gestionnaires. Nous prenons très au sérieux la responsabilité de protéger nos informations, mais il s’avère qu’il s’agit d’une bien meilleure solution pour la plupart des consommateurs aujourd’hui.
M. John Weigelt:
J’aimerais ajouter que nous constatons que les protections matérielles locales fondées sur le cryptage sont importantes pour appuyer la protection des mots de passe. Jumelez ces protections à l’authentification multifactorielle, en utilisant peut-être quelque chose que vous possédez déjà.
Je pense qu’un contrepoint intéressant à cela et un ajout intéressant est la capacité de prendre des décisions très solides au sujet des personnes, au sujet de leur utilisation d’un système en particulier. Nous utilisons des données anonymes et pseudonymes pour aider les organisations à reconnaître que « Jean-Pierre se connecte à partir d’Ottawa, et il semble y avoir au même moment une ouverture de session à partir de Vancouver. Il ne peut pas voyager aussi vite. Avertissons Jean-Pierre qu'il est peut-être temps de rafraîchir son mot de passe. »
Il y a une autre chose que nous pouvons faire, compte tenu de la portée mondiale de notre vision de l’environnement des cybermenaces. Souvent, les utilisateurs malveillants partagent des dictionnaires de noms d’utilisateur et de mots de passe. Nous consultons ces dictionnaires, et nous sommes en mesure d’éclairer nos outils de sorte que si les organisations — par exemple, food.com — découvrent qu’un de leurs noms d'utilisateurs y figure, elles peuvent aussi s'en occuper.
Dans le cas des données associées à l’utilisation d’un ensemble d’outils particulier, l’anonymat et le pseudonymat fournissent une plus grande assurance de protection de la vie privée et de sécurité également. Assurons-nous de reconnaître qu’il y a un équilibre à trouver pour nous assurer de préserver la vie privée tout en protégeant ces utilisateurs.
(1005)
M. James Lawless:
C’est un domaine très intéressant, et les défis y demeurent nombreux. Il y a un compromis à faire entre la convivialité et la sécurité.
Je me souviens qu’un gestionnaire de la sécurité des TI d’une grande société m’a parlé d’une politique qu’il avait mise en œuvre avant l'avènement des gestionnaires de mots de passe, il y a peut-être une décennie. Il avait mis en place une politique de mots de passe robustes afin que tout le monde ne puisse pas utiliser son animal domestique ou son lieu de naissance, et ainsi de suite. Il a ensuite constaté que, même si cette politique était appliquée, tout le monde écrivait ses mots de passe sur papier parce qu’il n’y avait aucun moyen de s’en souvenir, ce qui était contre-productif.
J’ai une dernière question, puis je vais ensuite partager mon temps avec ma collègue. Je pense qu’il y a un site Web appelé haveyoubeenhacked.com ou haveibeenhacked — quelque chose du genre — qui enregistre essentiellement les atteintes connues. Si vos données, vos plateformes ou d’autres applications ou sites de tiers se trouvent dans le nuage et sont compromis, vous pouvez faire une recherche pour vous-même ou pour obtenir vos détails et les retirer.
Y a-t-il moyen de remédier à cela? J’ai fait le test récemment, et je crois qu’il y avait quatre sites différents sur lesquels mes détails avaient été divulgués. Si cela se produit sur vos plateformes, comment allez-vous procéder? Comment pouvez-vous atténuer cela? Vous contentez-vous simplement d'informer les utilisateurs? Faites-vous de la sensibilisation ou essayez-vous d’effacer cet ensemble de données et de recommencer? Que se passe-t-il dans un tel cas?
M. John Weigelt:
Nous avons des exigences et des obligations en matière de notification des atteintes, et nous avisons nos utilisateurs s’il y a un soupçon d'atteinte à leur information et nous leur recommandons de changer leur mot de passe.
Pour ce qui est de l’ensemble organisationnel, comme la trousse d’outils dont j'ai parlé — je pense que c’est « Have I been pwned »...
M. James Lawless:
C’est bien cela.
M. John Weigelt:
... ce site a des dictionnaires facilement accessibles, alors nous les transmettons également aux utilisateurs organisationnels. Il y a la notification des utilisateurs individuels, et nous aidons également les entreprises à comprendre ce qui se passe.
M. Alan Davidson:
Nous faisons la même chose en ce sens que nous avons tous des obligations en matière d’atteinte à la protection des données et nous nous en acquittons dans de tels cas. Nous avons également mis au point notre propre version Firefox de ce surveillant « Have I been hacked ». Les titulaires de compte Firefox qui choisissent d’y adhérer seront avisés des autres attaques dont nous sommes informés, pas seulement de n’importe quelle atteinte à notre système, mais à d’autres également. Ce sera un service que les gens trouveront fort utile.
M. James Lawless:
C’est bien.
M. Erik Neuenschwander:
Si les équipes de sécurité d’Apple, en plus des étapes dont il a été question ici, apprennent qu’il y a probablement eu violation d’un compte, alors nous pouvons prendre une mesure qu’on appelle la « réinitialisation automatisée » du compte. Nous obligerons en fait l’utilisateur à réinitialiser son mot de passe et lui poserons des défis supplémentaires s’il a une authentification à deux facteurs à l’aide de ses dispositifs de confiance existants pour rétablir l’accès à ce compte.
M. James Lawless:
Oui, il est très difficile de revenir à notre compte une fois qu'on en est évincé, et je le sais pour l'avoir vécu.
Des voix: Oh, oh!
M. Erik Neuenschwander:
Vous avez parlé d’équilibre entre la convivialité et la sécurité.
M. James Lawless:
Oui.
M. Erik Neuenschwander:
Nous essayons de trouver un équilibre entre la possibilité que vous soyez la bonne personne qui essaie de récupérer son compte, auquel cas il ne faut pas exagérément vous compliquer la vie, ou nous essayons de garder un utilisateur malveillant définitivement à l’écart. C’est un domaine en évolution.
Mme Hildegarde Naughton:
Puis-je intervenir, s’il vous plaît?
Le président:
Nous avons en fait largement dépassé le temps prévu. Le président passera au deuxième tour, et vous êtes déjà inscrite en premier au deuxième tour, Hildegarde. Lorsque tout le monde aura pris la parole, nous passerons à la prochaine série de questions. Cela ne devrait pas être très long.
Nous passons maintenant à Mme Vandenbeld, pour cinq minutes.
Mme Anita Vandenbeld (Ottawa-Ouest—Nepean, Lib.):
Merci beaucoup.
J’aimerais d'abord parler de la désuétude du consentement. Quand on veut utiliser une application ou autre chose, il y a de bonnes et de mauvaises fins. Disons, par exemple, que j'utilise mon iPhone et que je quitte le Parlement à 9 h. Mon iPhone me dit exactement quelle route prendre pour me rendre à la maison. Il sait où je vis parce qu’il a vu que j’emprunte cette voie tous les jours, et si je commence soudainement à emprunter une voie différente pour me rendre à un autre endroit, il le saura aussi.
Bien, c’est parfait quand je veux savoir si je devrais ou non prendre l'autoroute 417, mais le fait que mon téléphone sache exactement où je dors tous les soirs pourrait aussi être très troublant pour beaucoup de gens.
Nous n’avons pas vraiment le choix. Si nous voulons utiliser certains services, si nous voulons avoir accès à Google Maps ou à autre chose du genre, nous devons accepter, mais il y a alors d'autres utilisations de ces données.
Soit dit en passant, en ce qui concerne le fait qu’il s’agit d’une audience publique, il y a une enseigne sur le mur qui le précise. J’aimerais bien qu’il y ait une telle enseigne lorsqu’on effectue des recherches sur Internet pour savoir si ce qu’on fait sera enregistré ou rendu public.
Ma question, qui s’adresse particulièrement à Apple, porte sur les données que vous recueillez sur mes allées et venues. Il ne s’agit pas seulement de savoir où je vais ce jour-là. Le problème ne réside pas dans le fait de savoir si je veux aller du point A au point B et de savoir quel autobus je dois prendre; le problème, c'est que mon appareil sait exactement où je me trouve sur le plan géographique.
Lesquelles de ces données sont sauvegardées et à quelles autres fins pourraient-elles être utilisées?
(1010)
M. Erik Neuenschwander:
J’aimerais avoir plus de précisions, madame, à savoir de qui et de quoi vous parlez, parce qu'il y a des nuances à faire ici. « L'appareil » — votre téléphone — sait effectivement tout cela. Votre téléphone recueille des données de capteurs et des tendances comportementales et il essaie de déterminer où se trouve votre maison — et c’est votre iPhone. Quand vous dites « vous » en parlant d'Apple, sachez que nous n'avons pas cette information, ou du moins pas par ce processus. Si vous nous laissez une adresse de facturation pour des achats ou autre chose du genre, c’est différent, mais l’information qui améliore l'intelligence de votre iPhone demeure sur votre téléphone et Apple ne la connaît pas.
Lorsque vous demandez dans quelle mesure ces données sont recueillies, sachez qu'elles sont recueillies par le téléphone. Elles sont recueillies sous la fonction « lieux importants ». Les utilisateurs peuvent aller les chercher et les supprimer, mais la collecte ne concerne que l’appareil. Ce n’est pas Apple qui recueille cette information.
Pour ce qui est des fins auxquelles elle peut être utilisée, d'une version à l'autre du système d’exploitation, nous essayons d’utiliser cette information pour fournir de bonnes expériences locales sur l’appareil, comme les avis de moment du départ ou les avis d’accidents de la circulation sur votre trajet vers le domicile, mais cela ne va pas s’étendre à des fins auxquelles Apple, l’entreprise, pourrait utiliser ces données, parce que ces données ne sont jamais en notre possession.
Mme Anita Vandenbeld:
Je pense que cela revient à ce que Microsoft a commencé à dire dans sa déclaration préliminaire, c’est-à-dire la capacité des pirates informatiques d’accéder aux données. Apple n’utilise pas ces données, mais est-il possible, grâce aux cybermenaces, que d’autres utilisateurs malveillants puissent accéder à ces données?
Je vais en fait poser la question à Microsoft.
Vous avez parlé d’investir 1 milliard de dollars par année dans la recherche et le développement en matière de sécurité, et vous avez utilisé l'expression « démantèlements coopératifs de réseaux de zombies ». Pouvez-vous m'en dire plus à ce sujet, et aussi parler de votre travail en matière de cybercriminalité?
Nous savons qu’une fois que les données sont divulguées, il est impossible de revenir en arrière, et puisque bon nombre de ces Cambridge Analytica et autres agrégateurs de données les utilisent, que faites-vous pour vous assurer que ces données ne sont pas diffusées au départ?
M. John Weigelt:
Lorsque nous examinons le marché, nous constatons qu’il évolue continuellement, n’est-ce pas? Ce qui a été mis en place pour les contrôles de sécurité il y a 10 ans est différent aujourd’hui, et cela fait partie des efforts déployés par la collectivité pour protéger l’environnement des TI.
Dans notre cas, nous analysons ces techniques courantes. Nous essayons ensuite de nous assurer que ces techniques disparaissent. Nous n’essayons pas seulement de suivre; nous essayons de devancer les utilisateurs malveillants afin qu’ils ne puissent pas répéter leurs exploits antérieurs et qu’ils doivent trouver de nouvelles façons de faire.
Nous examinons des outils comme le cryptage, le renforcement du fonctionnement du système d’exploitation, pour que les choses ne se passent pas toujours au même endroit. C'est un peu comme si vous changiez d'itinéraire lorsque vous rentrez chez vous du Parlement le soir, de sorte que si des malfaiteurs vous attendent à l'angle de Sparks et Bank, ils ne vous auront pas parce que vous avez changé d'itinéraire. Nous faisons la même chose au sein du système interne, et cela rompt avec tout un tas de choses que fait la communauté des pirates traditionnels. Comme nous incluons également la protection de la vie privée et l’accessibilité, notre travail porte sur la confiance, la sécurité, la protection des renseignements personnels et l’accessibilité.
Parallèlement, comme il existe une plus vaste communauté Internet dans son ensemble, ce n’est pas quelque chose que nous pouvons faire seuls. Il y a des fournisseurs de services Internet, des sites Web et même des ordinateurs à domicile qui sont contrôlés par ces réseaux de zombies. Les pirates informatiques ont commencé à créer des réseaux d’ordinateurs qu’ils partagent pour commettre leurs méfaits. Ils peuvent avoir jusqu’à un million d’ordinateurs zombies qui attaquent différentes communautés. Cela ralentit vraiment l’Internet, embourbe le trafic sur la Toile et ainsi de suite.
Pour démanteler ces réseaux, il faut un savoir-faire technique pour en prendre le contrôle, mais il faut aussi l’appui des entités juridiques dans les régions. Ce qui est unique pour nous, c’est que notre centre de cybercriminalité a collaboré avec les autorités gouvernementales pour trouver de nouveaux précédents juridiques qui permettent de supprimer ces réseaux. Ainsi, en plus de l’aspect technologique, nous nous assurons d’être en règle sur le plan juridique pour mener nos activités.
Enfin, ce que nous avons fait pour les réseaux Zeus et Citadel, d'importants réseaux de zombies qui s’étaient installés dans les systèmes d'entreprises canadiennes, c’est collaborer avec le Centre canadien de réponse aux incidents cybernétiques ainsi qu’avec les entreprises pour désinfecter ces appareils afin qu’ils puissent redémarrer sans problème.
Mme Anita Vandenbeld:
Monsieur Davidson, avez-vous quelque chose à ajouter?
M. Alan Davidson:
J’ai deux points à soulever rapidement.
Premièrement, nous travaillons à ce que nous appelons l'« allègement des données ». Cette idée part du principe que nous ne devrions pas conserver les données dont nous n’avons pas besoin. La meilleure façon de protéger les données est de ne pas les conserver. Parfois, c’est nécessaire, mais parfois ce ne l’est pas. L’industrie pourrait faire un meilleur travail et les consommateurs pourraient en apprendre davantage sur l’importance d’insister pour que les données ne soient pas conservées si elles ne sont pas nécessaires.
Deuxièmement, l’emplacement est un aspect particulièrement délicat. C’est probablement un aspect qui, au bout du compte, exigera davantage d’attention de la part du gouvernement. De nombreux utilisateurs se sentiraient probablement très à l’aise qu'une société comme Apple ou Microsoft détienne ces données, parce qu’ils ont d’excellents experts en sécurité et ce genre de choses. Nous nous inquiétons beaucoup des petites entreprises et des tierces parties qui détiennent certaines de ces données et qui ne travaillent peut-être pas de façon aussi sûre.
(1015)
Le président:
Nous allons passer à Mme Jo Stevens, du Royaume-Uni.
Mme Jo Stevens (membre, Comité sur le numérique, la culture, les médias et le sport, Chambre des communes du Royaume-Uni):
Merci, monsieur le président.
J’aimerais aborder un sujet tout à fait différent, celui de la concurrence et des marchés. J’aimerais demander à messieurs Ryland et Neuenschwander s’ils pensent que des règles en matière de concurrence et des règles antitrust différentes devraient s’appliquer aux géants de la technologie, compte tenu de leur influence et de leur pouvoir sans précédent sur le marché.
M. Erik Neuenschwander:
En ce qui concerne les règlements antitrust, comme je travaille au sein d'une organisation d’ingénierie, je ne peux pas dire que j’ai beaucoup réfléchi à cette question. Je serai heureux de répondre à vos questions et de les soumettre à nos équipes des affaires juridiques ou gouvernementales.
Mme Jo Stevens:
Comme consommateur, pensez-vous que les grands géants technologiques mondiaux ont trop d’influence et de pouvoir sur le marché?
M. Erik Neuenschwander:
Mon objectif, en ce qui concerne nos plateformes, est de permettre à l’utilisateur de contrôler les données et de laisser le plus de contrôle possible aux utilisateurs.
M. Mark Ryland:
Nous sommes une entreprise relativement importante, mais bien sûr, c’est en grande partie le résultat de nos activités à l’échelle mondiale. Nous évoluons dans beaucoup de marchés différents. Dans un segment de marché donné, nous pouvons souvent être un très petit joueur ou un joueur de taille moyenne.
Encore une fois, je ne vais pas me prononcer en profondeur au sujet des lois sur la concurrence. Ce n’est pas mon domaine d’expertise, mais nous estimons que la loi actuelle sur la concurrence est suffisante en ce qui a trait aux sociétés de technologie.
Mme Jo Stevens:
Monsieur Weigelt, qu'en pensez-vous?
M. John Weigelt:
Nous sommes sur le marché depuis pas mal de temps, depuis les années 1970, en fait, nous avons donc eu le temps de réfléchir à l'organisation et la manière dont nous exerçons nos activités. Je pense que nous avons apporté les correctifs nécessaires, en nous appuyant sur les commentaires et les points de vue des gouvernements étrangers.
Une chose qui me semble importante à signaler, en tant que Canadien travaillant pour Microsoft ici au Canada, c'est cet écosystème de partenaires qui stimule l'innovation canadienne et les entreprises canadiennes. Plus de 12 000 partenaires tirent leurs revenus grâce à l'ensemble d'outils à leur disposition et ont accès à une plateforme cohérente, ce qui leur permet de vendre leurs innovations dans le monde entier grâce à ces outils et de multiplier les revenus qu'ils génèrent ici au pays.
Les progiciels permettent parfois de multiplier les revenus par huit. Pour l'infonuagique, le facteur de multiplication peut être aussi élevé que 20 pour l'utilisation de ces ensembles d'outils. Il s'agit donc d'un moteur économique fantastique. Cet accès au marché mondial est un atout important pour nos partenaires.
Mme Jo Stevens:
Cela m'amène à ma prochaine question. Je pense que c'est une idée largement répandue que les géants mondiaux de la technologie sont un peu comme un service public et qu'ils devraient être traités à ce titre en raison du pouvoir qu'ils détiennent.
Compte tenu de ce que vous venez de dire au sujet de l'innovation, croyez-vous que, si c'était le cas et si la pression antitrust était plus forte, cela pourrait nuire à l'innovation? Est-ce la principale raison que vous invoquez?
M. John Weigelt:
Je faisais un lien entre ces deux sujets. Ce que je voulais dire, c'est que nous démocratisons la technologie. Nous la simplifions grandement pour les pays émergents et les entreprises émergentes et nous leur donnons des idées fantastiques pour tirer parti d'une technologie très avancée. Quand on pense à l'intelligence artificielle et au travail qui se fait à Montréal, à Toronto et ailleurs dans le monde, il est essentiel que nous puissions utiliser ces outils pour créer un nouveau marché.
Je vois cela comme un catalyseur pour le milieu de l'innovation. Nous collaborons avec cinq supergrappes canadiennes, qui sont le moteur de l'innovation du Canada dans les domaines de l'agriculture, des océans, de la fabrication de pointe, pour créer de nouveaux ensembles d'outils. Notre capacité d'interagir avec ces différents secteurs, d'adopter des approches multiplateformes et d'optimiser notre expérience sur une plateforme leur permet de s'engager dans des activités qui sont dans le meilleur intérêt du milieu.
Par exemple, dans la supergrappe de l'économie océanique, utiliser et obtenir des données sur nos océans et partager ce produit commun avec l'ensemble du secteur, c'est une pratique que nous encourageons afin de stimuler la croissance du secteur. Faciliter l'accès à cette plateforme est un moyen de stimuler l'innovation.
(1020)
Mme Jo Stevens:
Pourriez-vous nous parler de l'innovation du point de vue de votre entreprise? Ma question s'adresse à vous deux.
M. Mark Ryland:
Oui, avec plaisir.
La concurrence est très forte sur tous les marchés où nous sommes présents. L'infonuagique est un excellent exemple. Les joueurs ne sont pas très nombreux sur ce marché, mais la concurrence est très forte et les prix sont en baisse, ce qui facilite, comme l'a dit mon collègue, l'émergence de nouveaux modèles d'affaires qui étaient auparavant impensables.
J'ai travaillé quelques années à la division des organismes du secteur public chez Amazon Web Services. Ce que j'y ai constaté, c'est que de très petites entreprises, disons de 10, 20 ou 30 employés, étaient en concurrence pour l'obtention de gros contrats gouvernementaux, ce qui aurait été impensable pour elles avant l'existence de l'infonuagique. Seule une très grande entreprise spécialisée dans les contrats gouvernementaux aurait pu soumissionner pour ces gros contrats, parce qu'il fallait qu'elle soit dotée d'une solide infrastructure et qu'elle soit en mesure de faire d'importants investissements en capital.
Comme il est maintenant possible d'obtenir de nombreux services de TI à partir du nuage, nous assistons à une fantastique démocratisation, pour reprendre ce mot, de l'accès au marché international, de l'accès des petits commerces au marché international, que ce soit en vendant sur le site de vente au détail d'Amazon ou au moyen de notre plateforme infonuagique. Je pense que la concurrence est vraiment renforcée parce que certains de ces joueurs de grande envergure permettent aux consommateurs d'avoir accès à une gamme plus vaste de marchés.
Mme Jo Stevens:
Mais ils doivent passer par vous, n'est-ce pas? Autrement, comment feraient-ils?
M. Mark Ryland:
Non, ils peuvent y accéder par notre entremise ou celle de nos concurrents.
Mme Jo Stevens:
Mais les concurrents ne sont pas si nombreux, n'est-ce pas?
M. Mark Ryland:
Ils ne sont pas nombreux, mais la concurrence est féroce.
Mme Jo Stevens:
Il me semble un peu bizarre que vous ayez si peu de concurrents, même si la concurrence est féroce. Ce n'est pas ce que j'aurais normalement imaginé.
Et vous, monsieur Neuenschwander?
M. Erik Neuenschwander:
Je ne m'y connais pas beaucoup en matière de législation, mais il semble très difficile de légiférer dans ce domaine. Je suppose que l'objectif d'une loi n'est pas de freiner l'innovation ni d'imposer une limite à ce que les entreprises peuvent faire, mais plutôt d'encourager les bons comportements.
Mme Jo Stevens:
D'accord, merci.
Le président:
Merci, madame Stevens.
Monsieur Saini, c'est maintenant à vous. Vous avez cinq minutes.
M. Raj Saini (Kitchener-Centre, Lib.):
Bonjour à tous.
Vous connaissez tous, j'en suis certain, l'expression « monopole de données ». Nous avons devant nous Apple, qui contrôle un logiciel populaire d'exploitation mobile. Nous avons Amazon, qui contrôle la plus importante plateforme commerciale en ligne. Nous avons également Microsoft, qui a la capacité d'acquérir une foule de données et de les utiliser pour s'imposer sur les marchés.
Au sujet de la concurrence, je veux aller plus loin que Mme Stevens. Si nous regardons du côté de l'Union européenne, nous voyons qu'Apple a violé les règles de l'UE relatives aux aides d'État lorsque l'Irlande lui a accordé des avantages fiscaux indus de 13 milliards d'euros. Dans certains cas, vous avez payé beaucoup moins d'impôts, ce qui vous donnait un avantage.
Dans le cas d'Amazon, la Commission européenne a jugé anti-concurrentielle la clause de la nation la plus favorisée des contrats d'Amazon et le Luxembourg a accordé à Amazon des avantages fiscaux illégaux d'une valeur d'environ 250 000 millions d'euros.
Mon intention n'est pas de vous mettre dans l'embarras, mais il y a manifestement un problème de concurrence. Ce problème est attribuable à l'existence d'une diversité de régimes ou de lois en matière de concurrence, que ce soit en Europe, à la FTC des États-Unis, ou au Canada. La loi européenne sur la concurrence prévoit l'imposition d'un droit spécial aux acteurs dominants du marché. La situation est différente aux États-Unis parce que les mêmes infractions n'ont pas été sanctionnées. Selon vous, est-ce une mesure qui devrait être envisagée, étant donné que vous êtes en position dominante sur le marché?
M. Mark Ryland:
Je le répète, je ne suis pas un expert en droit de la concurrence, mais je vous assure que nous nous conformons aux lois des pays et des régions où nous exerçons nos activités et que nous continuerons à le faire.
M. Raj Saini:
Si la Commission européenne a imposé une amende à Amazon, c'est donc que vous n'avez pas vraiment respecté la loi.
Ma question porte sur le droit spécial imposé en vertu de la loi européenne sur la concurrence aux entreprises en position dominante sur le marché. Selon vous, les États-Unis et le Canada devraient-ils faire la même chose?
M. Mark Ryland:
Je vais devoir vous revenir sur ce point. Je ne suis pas un expert en la matière. Je serai heureux de faire le suivi avec nos experts dans ce domaine.
M. Raj Saini:
Parfait.
Des commentaires du côté d'Apple?
M. Erik Neuenschwander:
Je sais que l'affaire des aides publiques a fait beaucoup de bruit dans la presse, mais tout ce que je sais de cette affaire, je l'ai appris par les nouvelles. Je n'ai pas beaucoup lu sur le droit européen de la concurrence. Comme mon travail porte essentiellement sur la protection intégrée de la vie privée du point de vue technologique, je vais devoir demander à nos spécialistes de répondre à vos questions.
M. Raj Saini:
D'accord.
Amazon est probablement la librairie dominante sur le marché. Êtes-vous d'accord?
M. Mark Ryland:
Non, je ne suis pas d'accord.
M. Raj Saini:
Ah non? Qui occupe une place plus importante que vous?
M. Mark Ryland:
Le marché du livre est énorme et de nombreux acteurs vendent des livres, de Walmart à...
(1025)
M. Raj Saini:
Qui vend plus de livres que vous?
M. Mark Ryland:
Je ne connais pas la réponse, mais je serai heureux de faire une recherche pour vous.
M. Raj Saini:
D'accord.
L'une des méthodes que vous utilisez lorsque vous mettez des livres en vente — j'ai lu cela quelque part, corrigez-moi si je fais erreur —, c'est que vous approchez de petites librairies et leur imposez un droit appréciable pour inscrire leurs livres sur votre site. Vous ne payez pas les auteurs en fonction du nombre de copies numériques vendues, mais vous les payez en fonction du nombre de pages lues. Si le lecteur ne le lit pas le livre jusqu'au bout, vous empochez la différence. Vous enregistrez les préférences des lecteurs. S'ils lisent des auteurs populaires, vous n'offrez pas de rabais sur ces livres, parce que vous savez qu'ils les achèteront de toute façon.
Pensez-vous que cette pratique est équitable, ou est-ce que j'ai tout faux?
M. Mark Ryland:
Je ne connais pas les faits que vous évoquez, je ne peux donc pas répondre. Je serai heureux de vous revenir là-dessus.
M. Raj Saini:
D'accord.
Une dernière question. Laissons de côté l'animation un instant et imaginons qu'Amazon est un grand centre commercial. Vous en êtes le propriétaire. Vous louez des espaces aux détaillants. Vous leur donnez accès à votre plateforme. Vous contrôlez l'accès aux consommateurs et vous recueillez des données sur chaque site. Vous exploitez le plus grand centre commercial au monde.
Lorsque de petits commerçants connaissent un certain succès, vous avez tendance à utiliser cette information pour réduire la concurrence. Comme vous avez accès à toutes les tierces parties qui vendent des produits sur votre site, croyez-vous que ce soit une pratique équitable?
M. Mark Ryland:
Nous n'utilisons pas les données que nous recueillons pour soutenir le marché de nos fournisseurs tiers. Nous n'utilisons pas ces données pour promouvoir nos propres ventes ou les produits que nous lançons en ligne.
M. Raj Saini:
Vous en êtes certain?
M. Mark Ryland:
Oui.
M. Raj Saini:
Vous dites que si quelqu'un annonce un produit sur votre site Web, vous ne faites pas le suivi des ventes de ce produit pour savoir s'il est populaire ou non.
M. Mark Ryland:
Nous recueillons les données pour soutenir l'entreprise et ses clients. Nous ne les utilisons pas pour nos propres activités de vente au détail.
M. Raj Saini:
Vous ne cherchez pas à savoir quel produit se vend bien ou lequel se vend moins bien et vous n'essayez pas de concurrencer l'entreprise d'aucune manière.
M. Mark Ryland:
Le volet de notre entreprise qui soutient ce vaste marché de fournisseurs tiers et qui a contribué au succès de milliers d'entreprises et de petits commerces dans le monde entier utilise certainement les données pour maximiser leur succès sur le marché. Nous ne les utilisons pas pour nos activités commerciales.
M. Raj Saini:
L'une des plaintes que nous entendons dans le domaine de l'innovation, c'est que certains acteurs dominent le marché parce qu'ils ont accès à des données et parce qu'ils peuvent les conserver et les utiliser. Dans bien des cas, les petites entreprises ou les joueurs de moindre importance n'ont pas accès aux données ni au marché. De surcroît, il arrive parfois, lorsque des entreprises émergentes ont le vent dans les voiles, que les grandes compagnies leur achètent leur technologie pour la détruire et empêcher ainsi l'entreprise de leur faire concurrence.
Est-ce là une pratique utilisée par Amazon, Apple ou Microsoft?
M. Mark Ryland:
Si vous regardez l'historique de nos acquisitions, vous constaterez que nous avons tendance à acquérir de très petites entreprises très ciblées. En gros, la réponse serait donc non.
M. Erik Neuenschwander:
C'est la même réponse du côté d'Apple.
M. Raj Saini:
Je parle de toute technologie émergente, de toute entreprise émergente susceptible de faire concurrence à n'importe laquelle de vos plateformes. Vous ne faites pas cela, ou seulement...? Je ne comprends pas ce que vous voulez dire.
M. Erik Neuenschwander:
Les acquisitions dont je suis au courant visaient des entreprises comme AuthenTec, dont nous avons utilisé la technologie pour créer la première version de notre système Touch ID dans nos téléphones. Nous recherchons des innovations technologiques que nous pouvons intégrer à nos produits. Je ne pense pas que la technologie de lecture d'empreintes numériques de cette entreprise en faisait une concurrente directe d'Apple.
M. John Weigelt:
Nous travaillons activement avec les jeunes entreprises du monde entier. Des programmes comme BizSpark et Microsoft Ventures aident nos partenaires et les entreprises en démarrage à progresser et à vendre leur produit. Nous sommes un fournisseur de logiciels génériques; nous offrons une plateforme commune à partir de laquelle les entreprises du monde entier créent leurs innovations. Une plateforme de ce genre a été construite à Montréal, Privacy Analytics, c'est une jeune entreprise qui se spécialisait dans la technologie de confidentialité persistante appelée Perfect Forward Privacy. Nous n'avions pas cette technologie et nous avons pensé qu'elle pourrait servir de catalyseur pour nos activités. Nous avons donc fait l'acquisition de cette entreprise dans le but d'intégrer sa technologie à nos produits.
Nos décisions en matière de création ou d'acquisition s'appuient sur les ressources dont nous disposons; dans certains cas, nous avons fait l'acquisition d'innovations fantastiques que nous avons intégrées à nos produits. Voilà en quoi consiste notre stratégie d'acquisition.
M. Raj Saini:
Je vous remercie.
Le président:
Monsieur Saini, je vous remercie.
Le dernier intervenant sera M. Baylis.
Quand M. Baylis aura terminé, nous procéderons à une autre série de questions. Pour que les choses soient claires, nous recommencerons à poser des questions aux délégations en suivant l'ordre de la liste.
Monsieur Baylis, vous avez cinq minutes.
M. Frank Baylis (Pierrefonds—Dollard, Lib.):
Merci, monsieur le président.
Je remercie également nos témoins. Vous êtes tous deux très bien informés et disposés à répondre à nos questions, ce qui n'a pas été le cas hier. Je vous en suis reconnaissant.
Monsieur Davidson, dans vos observations préliminaires, vous avez dit que Google et Facebook doivent saisir l'occasion d'accroître leur transparence. Pouvez-vous nous en dire plus à ce sujet?
(1030)
M. Alan Davidson:
Bien sûr.
Nous pensons que la transparence publicitaire est un précieux outil à envisager pour lutter contre la désinformation, surtout dans un contexte électoral. Nous avons collaboré avec certains autres acteurs de premier plan à l'élaboration du Code de bonnes pratiques contre la désinformation de l'UE, afin d'améliorer les outils de transparence qui permettront aux consommateurs d'avoir plus de discernement face aux annonces qu'ils voient, tout en aidant les chercheurs et les journalistes à comprendre comment se produisent des vastes campagnes de désinformation. À la Fondation Mozilla, nous avons quelqu'un qui travaille là-dessus. Notre grande source de frustration, pour être honnête, c'est qu'il est très difficile d'avoir accès aux archives publicitaires, même si certains de nos collègues se sont engagés à en faciliter l'accès.
Nous avons récemment fait une analyse. Les experts ont établi cinq critères distincts — par exemple, est-ce une donnée historique? Est-elle publique? Est-ce une information difficile à obtenir? Ce genre de choses.
Sur notre blogue, nous publions des billets indiquant, par exemple, que Facebook n'a respecté que deux des cinq critères, soit le nombre minimal établi par les experts pour garantir un accès raisonnable à une publicité archivée. Sans vouloir critiquer ces entreprises — nous l'avons déjà fait publiquement —, je dirais que nous espérons aller plus loin, parce que si la transparence n'est pas au rendez-vous, je pense que...
Google a obtenu une meilleure note. Elle a obtenu quatre sur cinq sur la fiche des experts, sans toutefois être plus transparente concernant les annonces publicitaires. Nous n'arrivons toujours pas à comprendre comment sont orchestrées les campagnes de désinformation.
M. Frank Baylis:
Vous avez dit que ces entreprises ne sont pas disposées à s'autoréglementer et que, à votre avis, elles devraient être réglementées. Vous ai-je bien compris?
M. Alan Davidson:
Je voulais dire que si nous ne pouvons obtenir de meilleurs renseignements... La transparence est la première étape et elle peut être un outil vraiment puissant. Si nous arrivions à assurer la transparence et à mieux informer les gens sur la publicité partisane qu'ils voient, cela pourrait contribuer grandement à contrer ces campagnes de désinformation et la manipulation des élections. Si cette transparence n'est pas assurée, il serait alors plus raisonnable que les gouvernements interviennent et imposent plus de restrictions. Selon nous, c'est la deuxième meilleure solution, c'est certain. C'est ce que nous essayons de faire.
M. Frank Baylis:
Mon collègue M. Angus ou, si vous le permettez, Charlie, mon collègue aîné...
M. Charlie Angus:
Votre frère aîné.
M. Frank Baylis:
Mon grand frère Charlie a soutenu que certaines activités devraient nécessiter le consentement — vous avez parlé de consentement granulaire ou distinct — et que d'autres devraient être carrément interdites. Êtes-vous d'accord avec cette ligne de pensée?
M. Alan Davidson:
Nous avons dit que nous l'étions. Nous pensons qu'il est important de reconnaître que ces différents outils apportent de grands avantages aux utilisateurs, même dans des domaines comme la santé, les finances ou la localisation, nous voulons donc leur donner ces moyens. Si on parle des enfants ou de certaines informations du domaine de la santé, il faut probablement placer la barre très haut, voire interdire cette pratique.
M. Frank Baylis:
Mon jeune collègue, M. Erskine-Smith, a dit que certaines pratiques fondées sur l'âge... Par exemple, nous interdisons aux personnes d'un certain âge de conduire et nous interdisons la consommation d'alcool sous un certain âge. Les témoins ont-ils des idées sur cette possibilité d'interdire carrément la collecte de certaines données, qu'elles soient ou non liées à l'âge, ou d'autres types de données? Avez-vous des commentaires à faire à ce sujet?
M. Erik Neuenschwander:
Dans mes réponses précédentes, j'ai expliqué que nous cherchions à laisser les données sur l'appareil de l'utilisateur et sous son contrôle. Je ferais une distinction entre les données recueillies par une entreprise et celles recueillies par un appareil sous le contrôle de l'utilisateur. Dans la mesure du possible, nous voulons laisser les utilisateurs contrôler leurs données, par consentement explicite, et les laisser dans leur appareil.
M. Frank Baylis:
Si l'information est recueillie, mais qu'elle n'est pas utilisée ou vue par une entreprise comme la vôtre... Si l'entreprise l’a recueillie et simplement conservée et que j'ai ensuite le choix de la supprimer ou non, vous estimez que c'est différent d'une collecte destinée à une utilisation ailleurs. C'est bien ce que vous dites?
M. Erik Neuenschwander:
Je crois effectivement que la collecte effectuée par une entreprise est différente de la collecte effectuée sur l’appareil de l’utilisateur. À la limite, je n'emploierais pas le mot « collecte ». On devrait peut-être dire « stockage » ou quelque chose de ce genre.
M. John Weigelt:
Je prends mon temps pour répondre à cette question parce que je réfléchis aux différentes situations possibles. J’essaie de me mettre à la place d'un parent et je me demande comment j'utiliserais ces outils. Je suis convaincu que cela dépend du contexte dans lequel s'inscrit cette interaction. Un environnement médical sera radicalement différent d’un environnement de divertissement en ligne.
La gestion des données dépend énormément du contexte, qu'il s'agisse des garanties de protection ou même de l’interdiction de recueillir ces données.
M. Frank Baylis:
Est-ce que j'ai le temps de poser une autre question, monsieur le président?
Le président:
Si vous faites vite, oui; vous avez 30 secondes.
M. Frank Baylis:
Parlons de l'infonuagique. On dirait un beau nuage, mais ce n'est pas là que cela se passe. Il y a un serveur physique quelque part. C’est de cela qu'il est question. Oublions le nuage; c’est un serveur physique. Les lois applicables dépendent de l’endroit où se trouve le serveur.
On parle d’Apple, de Microsoft ou d’Amazon — et Amazon, c’est une grande partie de vos activités. Si nous, législateurs canadiens, adoptons une série de lois protégeant le Canada, mais que le serveur se trouve à l’étranger, nos lois n’auront aucun effet.
Est-ce que vous prenez des mesures pour vous aligner sur les lois gouvernementales en veillant à ce que ces serveurs se trouvent dans les limites territoriales du pays qui les réglemente?
(1035)
M. Mark Ryland:
Nous avons des centres de données dans de nombreux pays, y compris au Canada. Il y a un contrôle juridique, mais nous devons respecter les lois de tous les pays où nous fonctionnons. Ces lois peuvent aussi avoir une incidence extraterritoriale.
M. John Weigelt:
Nous avons créé des centres de données dans 54 régions du monde et nous en avons installé ici au Canada, à Toronto et à Québec. Il se trouve que j’ai la responsabilité de veiller à ce qu’ils respectent les lois et règlements canadiens, qu’il s’agisse des normes du Bureau du surintendant des institutions financières ou des lois fédérales ou provinciales sur la protection des renseignements personnels. Nous accordons la plus grande importance au respect du cadre juridique local. Nous traitons les données stockées dans ces centres de données comme des documents imprimés. Nous voulons que les lois fassent en sorte que ces renseignements électroniques soient traités comme des documents imprimés.
Nous sommes d’ardents défenseurs de la CLOUD Act, qui permet de clarifier les conflits de lois qui posent des problèmes aux entreprises multinationales comme la nôtre. Nous respectons les lois régionales, mais elles sont parfois contradictoires. Avec la CLOUD Act, on espère créer une plateforme commune pour comprendre les traités d’entraide juridique ou pour y donner suite — car nous savons tous que l'application des traités d’entraide juridique est plutôt lente et que ces traités s'appuient sur des documents imprimés —, qui fournira de nouveaux instruments juridiques pour donner aux gouvernements la garantie que les renseignements de leurs résidants sont protégés de la même façon qu’ils le seraient dans des centres de données locaux.
Le président:
Merci.
Merci, monsieur Baylis.
On n'en a pas encore parlé, et c’est pourquoi je vais poser la question.
Nous sommes ici à cause d’un scandale appelé Cambridge Analytica et d’une entreprise de médias sociaux appelée Facebook. Nous voulions vous différencier. Vous n’êtes pas dans les médias sociaux; les médias sociaux étaient représentés ici hier. Vous vous occupez de mégadonnées, etc.
J’ai un commentaire qui concerne plus précisément Apple. C’est pourquoi nous voulions que Tim Cook soit ici. Il a fait des observations très intéressantes. Je vais lire exactement ce qu’il a dit:
Il y a d'abord le droit d'avoir des données personnelles réduites au minimum. Les entreprises devraient se faire un devoir de supprimer les renseignements signalétiques dans les données sur les clients ou d’éviter de les recueillir. Il y a ensuite le droit de savoir — c'est-à-dire de savoir quelles données sont recueillies et pourquoi. En troisième lieu, il y a le droit d’accès. Les entreprises devraient faire en sorte qu'il soit facile pour vous de consulter, de corriger et de supprimer vos données personnelles. Enfin, il y a le droit à la protection des données, sans quoi la confiance est impossible.
C’est une déclaration très forte. Dans la perspective d'Apple — et je poserai aussi la question à Mozilla —, que feriez-vous pour régler le problème de Facebook?
M. Erik Neuenschwander:
Je ne suis même pas sûr de comprendre suffisamment tous les aspects du problème de Facebook pour pouvoir le régler.
Mais je sais qu'on peut se concentrer sur deux moyens. J’accorde toujours la priorité aux solutions technologiques. Ce que nous voulons, c’est placer l’utilisateur au contrôle des données et de l’accès aux données sur son appareil. Nous avons pris l’initiative, dans le cadre de notre plateforme, de dresser la barrière du système d’exploitation entre les applications et les données de l’utilisateur et d’exiger le consentement de l’utilisateur, par la médiation du système d’exploitation, entre ces applications et ses données. C’est un ensemble de mesures que nous avons fait évoluer au fil du temps.
On vous a dit aussi aujourd’hui qu'il fallait également songer à la convivialité, et c'est pourquoi nous essayons de garder les choses claires et simples pour les utilisateurs. Ce faisant, nous avons apporté à notre plateforme technologique des améliorations qui nous permettent d’élargir cet ensemble de données que le système d’exploitation... Je rappelle que c’est distinct d’Apple, distinct de l'entreprise. Le système d’exploitation peut prendre de l'avance et permettre à l’utilisateur de contrôler cet accès.
C’est un processus auquel nous resterons fidèles.
Le président:
À mon avis, il est très difficile de modifier la loi à cet égard, étant donné tous les paramètres qui entrent en ligne compte. Ce serait peut-être plus simple pour quelqu’un comme Tim Cook et dans le cadre d'une idéologie qui considère que les utilisateurs sont primordiaux. Il serait peut-être plus simple pour Apple de s'en charger que pour les législateurs du monde entier d’essayer de régler cette question. Nous faisons cependant tout notre possible. Nous essayons vraiment.
Monsieur Davidson, est-ce que vous avez quelque chose à dire sur la façon de régler le problème de Facebook?
(1040)
M. Alan Davidson:
Vu de l'extérieur, il est très difficile d'imaginer comment régler le problème d'une autre entreprise. À mon avis, nous sommes nombreux à être déçus des choix qu’elle a faits et qui ont suscité l’inquiétude de beaucoup de gens et de nombreux organismes de réglementation.
Notre espoir est qu'elle garantisse la protection de la vie privée et permette aux utilisateurs d'exercer plus de contrôle. C’est un point de départ extrêmement important.
Si je devais dire quelque chose à mes collègues, je les inviterais à réfléchir un peu moins à court terme au sujet des moyens de répondre à certaines de ces préoccupations. Je pense qu’ils ont beaucoup d’outils à leur disposition pour donner aux gens beaucoup plus de contrôle sur leurs renseignements personnels.
À l’heure actuelle, les organismes de réglementation disposent de nombreux outils pour bien encadrer ce que les entreprises peuvent se permettre ou non. Malheureusement, quand les gens ne respectent pas de bonnes pratiques en matière de protection de la vie privée, ils donnent le mauvais exemple.
Nous pouvons tous faire quelque chose. C’est pourquoi nous avons intégré l'extension Facebook Container dans nos outils de suivi: pour essayer de donner plus de contrôle aux gens.
Le président:
Merci de votre réponse.
Il y a encore des questions. Nous allons commencer par mon coprésident, puis nous suivrons l'ordre habituel. Vous aurez du temps. Ne vous inquiétez pas.
Commençons par M. Collins.
M. Damian Collins:
Merci.
Je vais m'adresser d'abord à M. Ryland et à Amazon.
Pour faire suite aux commentaires du président au sujet de Facebook, si je relie mon compte Amazon à Facebook, quelles sont les données qui sont partagées entre les deux plateformes?
M. Mark Ryland:
Je ne sais pas comment on relie un compte Facebook à Amazon. Je sais qu’Amazon peut servir de service de connexion vers d’autres sites Web, mais Facebook n’en fait pas partie. Je ne connais aucun autre modèle de connexion.
M. Damian Collins:
Vous dites qu'on ne peut pas le faire. On ne peut pas connecter un compte Facebook et un compte Amazon.
M. Mark Ryland:
Pas à ma connaissance. Je ferai un suivi pour m’en assurer.
M. Damian Collins:
Il y a eu le Digital, Culture, Media and Sport Committee à Londres, que j’ai présidé avec mes collègues ici présents. En décembre dernier, nous avons publié des documents concernant l’affaire Six4Three.
Au même moment, une enquête du New York Times donnait à penser qu’un certain nombre de grandes entreprises avaient conclu avec Facebook des accords spéciaux de réciprocité leur permettant d'avoir accès aux données de leurs utilisateurs sur Facebook et à celles de leurs amis. Amazon figurait parmi ces entreprises.
Pourriez-vous nous dire quel genre de protocoles d'entente vous avez avec Facebook et si cela vous donne accès non seulement aux données de vos clients ou des titulaires de comptes Facebook, mais aussi à celles de leurs amis?
M. Mark Ryland:
Je vais devoir vous revenir à ce sujet. Je ne sais pas du tout.
M. Damian Collins:
Cet article du New York Times a fait des vagues l’année dernière. Je suis étonné qu’on ne vous en ait pas parlé.
Je vais poser la même question à Microsoft également.
On peut se connecter à Skype à partir de son compte Facebook. Je vous le demande également: si on relie son compte Skype et son compte Facebook, quelles sont les données qui sont partagées entre les deux?
M. John Weigelt:
Si je comprends bien, il s’agit d’une connexion simplifiée à votre compte Skype à partir de Facebook. Quand on se connecte, une fenêtre contextuelle devrait s'ouvrir pour donner une idée de ce que Facebook fournit à l’environnement Skype.
C’est un modèle de connexion simplifié.
M. Damian Collins:
Quelles sont les données qui sont partagées entre les comptes? Pour les utilisateurs qui utilisent ce moyen, quelles sont les données d'utilisation de Skype qui sont communiquées à Facebook?
M. John Weigelt:
C’est simplement une connexion.
M. Damian Collins:
Oui, mais toutes ces connexions sur Facebook comportent également des accords de réciprocité. La question est de savoir si...
M. John Weigelt:
C’est seulement une façon simplifiée de partager une preuve d’identité, si on veut, et c'est ce qui vous permet de vous connecter à Skype.
M. Damian Collins:
Je sais comment fonctionne la connexion de base, mais ces dispositions de connexion à partir de Facebook donnent un accès réciproque aux données des deux. C'est effectivement une connexion.
M. John Weigelt:
Ce n’est rien qui n’aurait pas été divulgué dans le cadre de la connexion initiale; donc, quand vous vous connectez, quand vous utilisez cette passerelle, une fenêtre contextuelle indique les données qui interagissent ou sont échangées.
M. Damian Collins:
Et puis c'est dans les conditions et modalités.
M. John Weigelt:
C’est dans la fenêtre contextuelle par laquelle vous devez passer. C’est une modalité simplifiée et, si j’ai bien compris; c’est un avis à plusieurs niveaux. On vous donne un aperçu de la catégorie de données; puis, en cliquant dessus, vous pouvez aller plus loin pour voir de quoi il s’agit.
M. Damian Collins:
En termes simples, est-ce que Facebook saurait avec qui j’ai communiqué sur Skype?
M. John Weigelt:
Je ne crois pas, mais je vais devoir vous revenir à ce sujet. Mais, vraiment, je ne crois pas.
M. Damian Collins:
D’accord.
Je voudrais revenir à Amazon. Rapidement.
Voici comment Amazon.com prévoit la connexion entre un compte Facebook et un compte Amazon:
Aller dans réglages, sélectionner son compte, puis choisir la fonction de connexion aux réseaux sociaux.
Sélectionner ensuite son compte Facebook.
Fournir ses données de connexion et cliquer sur Se connecter.
C’est une façon très simple de connecter son compte Facebook à son compte Amazon. Je vais donc vous reposer la question: quand on fait cela, quelles sont les données qui sont partagées entre les deux plateformes?
(1045)
M. Mark Ryland:
Je vais devoir vous revenir à ce sujet. Je ne sais pas du tout.
M. Damian Collins:
Je vois. C'est pourtant assez élémentaire. Ce qui m’inquiète, c’est que des données soient partagées entre les deux plateformes.
Je rappelle que l’enquête du New York Times a révélé l'existence d'accords de réciprocité préférentiels entre Amazon et Facebook, entre Microsoft et Facebook, pour que ces entreprises aient accès non seulement aux données de leurs utilisateurs sur Facebook, mais aussi à celles de leurs amis, alors que ce réglage avait été éliminé d’autres applications. Il reste que les principaux partenaires de Facebook ont un accès préférentiel compte tenu de l’argent qu’ils dépensent ensemble ou de la valeur des données.
Je voudrais savoir, encore une fois, si Amazon ou Microsoft peut nous parler de la nature des données, de ce qu’elles englobent, et si ces arrangements sont toujours en vigueur.
M. John Weigelt:
Je ne peux rien dire de...
M. Damian Collins:
Je ne sais pas si cela veut dire que vous ne savez pas ou que vous ne savez pas quoi dire. Quoi qu’il en soit, si vous pouviez nous écrire, nous vous en serions reconnaissants.
M. Mark Ryland:
D'accord.
M. John Weigelt:
Sans faute.
M. Mark Ryland:
Nous ferons un suivi.
Le président:
Passons à M. Erskine-Smith. Vous avez cinq minutes.
M. Nathaniel Erskine-Smith:
Merci beaucoup.
Je voudrais d’abord parler d'éthique et d’intelligence artificielle. Le Comité a entrepris une étude à ce sujet, et le gouvernement du Canada exige désormais des évaluations algorithmiques d'impact sur les ministères quand ceux-ci emploient un algorithme pour la première fois, à titre d'évaluation du risque dans l’intérêt public. D'après vous, est-ce qu'on devrait l'exiger des grandes entreprises de mégadonnées du secteur public comme la vôtre?
Je vais commencer par Amazon, puis je ferai le tour de la table.
M. Mark Ryland:
Nous faisons le maximum pour garantir l'impartialité des algorithmes, et c’est l’un de nos principes fondamentaux. Nous avons des ensembles de données d’essai pour veiller à toujours respecter la norme à cet égard.
M. Nathaniel Erskine-Smith:
Selon vous, est-ce qu'il devrait y avoir transparence pour le public afin de garantir une reddition des comptes suffisante concernant les algorithmes que vous appliquez à ces trésors considérables de données et de renseignements personnels?
M. Mark Ryland:
Je pense que le marché arrive très bien à faire en sorte que les entreprises se dotent de bonnes normes à cet égard.
M. Nathaniel Erskine-Smith:
Voyez-vous, ce qui est frustrant, c’est que vous avez dit être d’accord avec les principes du RGPD, et le droit à l'explication des algorithmes est justement un principe du RGPD.
Apple, qu’en pensez-vous?
M. Erik Neuenschwander:
Dans le modèle d’apprentissage machine que nous employons, nous voulons effectivement que les utilisateurs comprennent que nous le faisons principalement en le plaçant sur leurs appareils et en le développant à partir de leurs données. Quand nous développons des modèles généralisés, nous nous appuyons sur des ensembles de données publiques. Nous ne le faisons surtout pas à partir de données personnelles.
Si l'apprentissage machine se fait à partir de données personnelles, nous tenons absolument à ce que le processus puisse être expliqué aux utilisateurs et que ceux-ci puissent le comprendre.
M. Nathaniel Erskine-Smith:
Vous croyez donc à cette transparence publique.
M. Erik Neuenschwander:
Nous croyons en la transparence à bien des égards.
M. Nathaniel Erskine-Smith:
Microsoft, quel est votre avis?
M. John Weigelt:
Nous participons et nous contribuons au travail qui se fait ici, au Canada, et notamment au règlement des difficultés liées aux définitions. Dans le cas des systèmes d’intervention artificielle à grande échelle, il faut pouvoir expliquer à l’utilisateur ce qui se passe dans les coulisses.
C’est un sujet très controversé, un large domaine de recherche sur le droit à l’explication, sur la généralisabilité et sur la façon dont nous examinons les résultats.
D'après la documentation actuelle, tout se passe pour ainsi dire comme si l'évaluation des risques algorithmiques et un avis au public étaient obligatoires à partir du moment où on a la localisation du site Web — par exemple, si je viens du Québec et que je présente un site Web en français pour cette raison.
M. Nathaniel Erskine-Smith:
Vous vous inquiétez de la définition, mais vous êtes d'accord sur le principe.
M. John Weigelt:
Nous sommes d’accord sur le principe et nous félicitons le gouvernement du Canada d’avoir mis cela en place dès maintenant; d’autres devraient envisager des possibilités semblables.
M. Nathaniel Erskine-Smith:
Notamment le secteur privé et Microsoft.
Concernant la réglementation de la concurrence, j’ai lu hier une citation de l’organisme de réglementation allemand, qui souligne la position dominante de Facebook sur le marché et estime que « le seul choix donné à l’utilisateur est d’accepter de fournir une combinaison complète de données ou de s’abstenir d’utiliser le réseau social. En tout état de cause, on ne peut pas parler de consentement volontaire ».
Est-ce que le même principe s’applique à vos entreprises?
M. Mark Ryland:
Nous faisons face à une concurrence féroce sur les marchés où nous exploitons. Dans le domaine de l’infonuagique, par exemple, notre principal concurrent est l’ancien modèle d'exploitation des entreprises informatiques, et il y a un vaste éventail de concurrents.
M. Nathaniel Erskine-Smith:
Je vois. Changeons un peu de sujet. Est-ce qu'on devrait tenir compte de l’incidence sur la vie privée des consommateurs dans la réglementation de la concurrence?
M. Mark Ryland:
C’est un domaine qui n’est pas non plus de mon ressort. Je déteste donner cette réponse.
M. Nathaniel Erskine-Smith:
Dommage, parce que j’avais précisé à Amazon que nous discuterions justement de concurrence aujourd’hui.
Je pose la question aux autres entreprises: pensez-vous qu'on devrait tenir compte de l’incidence sur la vie privée des consommateurs dans la réglementation de la concurrence?
M. Erik Neuenschwander:
Vous laissez entendre qu’on exige, du moins dans certains cas, un consentement unique, du genre tout ou rien, et nous le savons très bien. Nous proposons, en fait, un consentement très nuancé et détaillé. Il est possible d’utiliser un appareil Apple sans s'inscrire ni créer de compte Apple. Nous essayons donc de différencier et de séparer ces choses.
(1050)
M. Nathaniel Erskine-Smith:
Je vois.
Est-ce que Microsoft a un point de vue sur cette question?
M. John Weigelt:
C'est une question de données et plus particulièrement de protection et d'utilisation des données. Je crois que nous devons examiner l'utilisation des données de façon plus générale. À ce chapitre, des fiches de données pourraient être utiles puisque, selon moi, la protection des renseignements personnels est une question de sécurité et d'accessibilité des données.
M. Nathaniel Erskine-Smith:
J'ai hâte de savoir ce que l'avocat général associé aura à dire demain au forum des données du commissaire à la concurrence.
J'ai une autre question au sujet du droit de la concurrence.
Dans les années 1990, Explorer était gratuit, et pourtant, on a empêché Microsoft d'être en situation de monopole avec son navigateur. Il ne s'agissait pas de protéger les consommateurs contre une hausse des prix. Il s'agissait de protéger l'innovation.
Je vais lancer quelques flèches en direction d'Amazon. Tout à l'heure, vous avez dit que les renseignements que je verse dans Alexa font partie de mon profil d'utilisateur. J'en déduis que ce que je regarde sur Prime, ce que j'achète de n'importe quel vendeur et ce que je recherche sur Amazon ou ailleurs sur Internet, tout cela est agrégé en un profil unique aux fins des publicités ciblées, je présume.
J'aimerais aussi savoir si mon profil d'utilisateur, combiné au profil des autres utilisateurs, oriente vos décisions en matière de nouveaux produits. Est-ce une question légitime?
M. Mark Ryland:
Nous examinons les tendances, les achats et le comportement de nos clients pour déterminer quels seront les prochains...
M. Nathaniel Erskine-Smith:
Au contraire, en réponse aux questions de M. Saini, vous avez dit ne pas faire le pistage en ligne des renseignements des vendeurs tiers sur vos sites Web. Si l'on regarde les choses sous un autre angle, on constate que vous faites le pistage de toutes les décisions d'achat individuelles sur Amazon et que vous combinez ces données pour faire concurrence aux vendeurs tiers sur votre plateforme de commerce. N'exploitez-vous pas ainsi votre position hégémonique?
M. Mark Ryland:
Je pense que le fait que le marché des vendeurs tiers est si prospère — on y retrouve un très grand nombre d'entreprises prospères — montre très clairement que ce n'est pas un problème.
M. Nathaniel Erskine-Smith:
Vous n'estimez pas détenir un avantage indu sur le marché.
M. Mark Ryland:
Non.
M. Nathaniel Erskine-Smith:
Ma dernière question a été soulevée par...
Le président:
Faites vite, je vous prie. Nous essayons de donner la parole à tout le monde.
M. Nathaniel Erskine-Smith:
En ce qui concerne la monétisation des données personnelles, comme je l'ai dit hier aux experts, le problème tient au modèle d'affaires. Cette proposition a été formulée par un certain nombre de personnes. Je crois que Tim Cook d'Apple a fait valoir le même argument en ce qui a trait au complexe industriel de données.
J'aimerais que les témoins de Microsoft et d'Amazon me disent s'ils pensent que le modèle d'affaires est problématique en soi. Vous voulez recueillir de plus en plus de renseignements à notre sujet. Quelle est l'utilité, pour nous, de cette collecte massive de renseignements à notre sujet? Le modèle d'affaires pose-t-il problème?
M. John Weigelt:
Je tiens à préciser que les renseignements que nous recueillons ne concernent que les produits. Nous ne cherchons pas à personnaliser les choses pour cibler une personne en particulier.
Lorsque nous nous rendons compte que les gens n'utilisent pas une fonctionnalité, grosso modo, nous faisons usage de l'anonymat et du pseudonymat; c'est une excellente fonctionnalité. Nous essayons de faire ressortir cette fonctionnalité dans les versions subséquentes. C'est simplement pour nous aider à améliorer notre entreprise. Nous sommes une société de logiciels et de services. C'est notre secteur d'activité.
M. Mark Ryland:
Notre modèle d'affaires est tout à fait conforme à la protection de la vie privée des consommateurs, car il s'agit de respecter les choix de ceux-ci grâce à un modèle traditionnel d'achat et de vente de ressources et de produits et de services.
M. Nathaniel Erskine-Smith:
Merci.
Le président:
Nous passons maintenant à M. Angus. Vous avez cinq minutes.
M. Charlie Angus:
Merci beaucoup.
Diapers.com était une entreprise en ligne qui vendait des couches dans ce « marché concurrentiel » dont parle Amazon. Jeff Bezos voulait l'acheter. L'entreprise a refusé l'offre, alors Amazon a fixé des prix d'éviction. Amazon perdait 100 millions de dollars en couches tous les trois mois, et ce, afin de pousser un concurrent à la vente ou à la faillite. Finalement, Diapers.com a accepté l'offre. On craignait qu'Amazon ne baisse les prix encore plus.
Nous parlons d'antitrust en raison de ce qu'on appelle, dans The Economist, la « zone de destruction » de l'innovation. Or, dans le cas d'Amazon, il s'agit d'une zone de destruction de la concurrence fondée sur le pouvoir que vous avez, sur toutes vos plateformes, de baisser les prix et de pousser les gens à la faillite. Selon Shaoul Sussman, les pratiques de prix d'éviction d'Amazon relèvent de l'antitrust et réclament une mesure législative.
Que répondez-vous à cela?
M. Mark Ryland:
Je me dois de répéter que je ne suis pas un expert en droit de la concurrence et que je ne connais pas l'historique ou les détails de certains éléments dont vous faites mention.
Dans notre secteur d'activité en général, nous constatons une forte concurrence entre toutes ces entreprises. Il y a beaucoup d'entreprises en démarrage et un grand nombre de concurrents qui utilisent notre plateforme Amazon Web Services — soit AWS. Certaines des plus grandes plateformes de commerce en ligne en Allemagne et en Amérique latine, par exemple, nous font confiance et utilisent AWS. Nous pensons donc que la concurrence fonctionne bien.
M. Charlie Angus:
Oui, vous avez tous ces gens qui utilisent vos services infonuagiques, puis vous pouvez baisser les prix dans une attaque contre les petites entreprises familiales. Lena Kahn, de Open Markets, dit que, étant donné que vous dominez le marché dans un si grand nombre de secteurs, vous pouvez utiliser les profits que vous tirez des services infonuagiques pour imposer des prix d'éviction et réduire la concurrence. Elle dit que la « structure et la conduite [de votre entreprise] soulèvent des préoccupations d'ordre anticoncurrentiel, et pourtant, [la société] échappe au contrôle antitrust ».
Les législateurs doivent se pencher sur cette question, selon moi. Nous constatons que, au Canada, vous jouissez de l'avantage de ne pas payer des impôts au même titre que nos entreprises les plus pauvres. Au Royaume-Uni, vous avez gagné 3,35 milliards de livres et vous n'avez payé que 1,8 million de livres sur des revenus imposables. Si vous obtenez ce genre de traitement, on peut dire que vous êtes le plus grand assisté social de la terre entière.
Aux États-Unis, les choses vont encore plus rondement. Vous avez réalisé des profits de 11 milliards de dollars et vous avez obtenu un remboursement de 129 millions de dollars. De fait, vous avez eu droit à un taux d'imposition négatif de 1 %. Voilà un avantage extraordinaire. Quelle entreprise ou quel particulier ne voudrait obtenir un remboursement au lieu de payer des impôts?
Comment justifier l'existence d'un marché où Amazon peut couper l'herbe sous le pied de n'importe quel concurrent ou éditeur de livres sans même payer sa juste part d'impôts? Ne croyez-vous pas qu'il nous incombe de vous rappeler à l'ordre et de veiller à ce que le marché soit gouverné par des règles équitables?
(1055)
M. Mark Ryland:
Mes excuses. Comme je vous l'ai déjà dit, je ne suis pas un expert en droit de la concurrence. La discussion devait porter sur la sécurité, la protection des consommateurs et la protection de la vie privée, un domaine dans lequel j'ai une certaine expertise. Je ne suis pas en mesure de répondre à vos questions sur les sujets dont vous parlez.
M. Charlie Angus:
Oui, c'est malheureux. C'est pourquoi le président du Comité a demandé que nous invitions des gens qui soient à même de répondre aux questions, parce que ce sont là les questions qui, pour nous, les législateurs, exigent des réponses. Nous sommes dans une nouvelle ère et en raison de Facebook, nous nous trouvons dans la situation actuelle. Si les pratiques d'entreprise de Facebook étaient meilleures, nous ne serions peut-être pas tenus de nous pencher là-dessus. Or, nous y sommes tenus. Si Amazon ne se livrait pas à de telles pratiques anticoncurrentielles, nous pourrions penser que le libre marché fonctionne parfaitement, mais ce n'est pas le cas actuellement, et vous n'arrivez pas à nous donner des réponses.
Voilà qui nous place dans une situation difficile. À titre de législateurs, nous demandons des réponses. Qu'est-ce qu'un taux d'imposition équitable? Comment assurer la concurrence sur le marché? Comment pouvons-nous nous assurer qu'il n'y a pas de pratique de prix d'éviction acculant les entreprises — nos entreprises — à la faillite en raison de votre hégémonie sur le marché? Pourtant, vous n'arrivez pas à répondre à nos questions. Tout cela nous laisse très perplexes. Devrions-nous demander l'aide d'Alexa ou de Siri?
Des voix: Oh, oh!
M. Mark Ryland:
Je m'excuse, mais je n'ai pas l'expertise nécessaire pour répondre à ces questions.
M. Charlie Angus:
Merci.
Le président:
J'aimerais revenir sur ce qu'a dit M. Angus. C'est la raison pour laquelle nous avons demandé à M. Bezos de venir. Il peut répondre à ce genre de questions devant notre grand Comité. C'est lui qui aurait été à même de répondre à toutes nos questions. Nous n'aurions exclu aucun témoin du Comité, mais nous voulions entendre des gens capables de nous donner des réponses complètes au sujet de l'ensemble du dossier.
Je donne maintenant la parole à M. Lucas, du Royaume-Uni.
M. Ian Lucas:
Monsieur Weigelt, puis-je revenir à la question du transfert de données au sein de Microsoft? Vous avez dit que Microsoft avait acquis un certain nombre d'entreprises, dont LinkedIn. Pouvez-vous apporter des éclaircissements? Si je confie des renseignements à LinkedIn, ceux-ci sont-ils ensuite communiqués à d'autres entreprises au sein de Microsoft?
M. John Weigelt:
Pas du tout. LinkedIn conserve une certaine indépendance par rapport à la société Microsoft.
M. Ian Lucas:
Vous dites donc que l'information recueillie par LinkedIn est isolée et qu'elle n'est pas communiquée au sein de la société Microsoft.
M. John Weigelt:
Tout transfert de... Excusez-moi. Permettez-moi de revenir en arrière. Toute connexion entre votre profil LinkedIn et, par exemple, votre suite Office est effectuée par vous-même, l'utilisateur. C'est une connexion qui est établie sciemment. Par exemple, vous pouvez choisir de tirer parti d'une connexion à LinkedIn dans vos clients de messagerie. Alors, l'utilisateur accomplit une action dans son profil LinkedIn. C'est sa suite Office...
M. Ian Lucas:
Ce qui m'intéresse, c'est le fonctionnement par défaut. Si je m'inscris à LinkedIn, j'omets de lire les modalités d'utilisation et je donne des renseignements, est-il possible que ceux-ci soient transférés vers d'autres entreprises de la famille Microsoft, pour reprendre votre appellation?
M. John Weigelt:
LinkedIn ne partage pas de tels renseignements à l'échelle de l'entreprise à partir du système informatique dorsal.
M. Ian Lucas:
En règle générale, les renseignements sont-ils transférés à travers les différentes entreprises faisant partie de la société Microsoft?
M. John Weigelt:
En règle générale, chaque secteur d'activité est indépendant.
(1100)
M. Ian Lucas:
Y a-t-il un transfert d'informations entre les différentes entreprises?
M. John Weigelt:
Les renseignements personnels sont conservés dans chaque secteur d'activité.
M. Ian Lucas:
Je viens de poser une question très précise. La politique de la société Microsoft permet-elle le transfert de données personnelles entre les différentes entreprises appartenant à Microsoft?
M. John Weigelt:
C'est une question d'usage compatible...
M. Ian Lucas:
Pouvez-vous répondre par un oui ou par un non?
M. John Weigelt:
C'est une question d'usage compatible, n'est-ce pas? Donc, nous, à titre de...
M. Ian Lucas:
La réponse à cette question est soit oui, soit non.
M. John Weigelt:
Je dois répondre que je ne peux ni affirmer ni nier qu'il y ait... Je ne suis pas au courant.
M. Ian Lucas:
Bon, d'accord. Voilà qui ne nous avance pas beaucoup.
Pourriez-vous me revenir là-dessus?
M. John Weigelt:
Certainement.
M. Ian Lucas:
Merci.
Monsieur Neuenschwander, j'ai devant moi deux appareils Apple très impressionnants, quoique mes collègues technophiles me disent que mon iPhone est complètement dépassé.
Le problème, c'est que bien souvent, les gens accèdent à Facebook, par exemple, au moyen d'un appareil Apple. Vous avez dit qu'une grande quantité de renseignements se retrouvent dans le téléphone ou dans l'iPad d'Apple. Vous avez aussi dit que ces renseignements ne sont pas transférés ailleurs et qu'il ne vous appartient pas de les transférer. Je n'accepte pas vraiment cet argument, parce que les gens ont accès à d'autres plateformes au moyen de vos appareils.
Votre entreprise est l'une des plus grandes sociétés du monde. Vous pouvez choisir avez qui vous faites affaire. Pourquoi permettre aux entreprises qui ne partagent pas votre approche en matière de protection de la vie privée d'utiliser votre matériel pour faire des affaires?
M. Erik Neuenschwander:
Je ne sais pas si les entreprises sont d'accord ou non avec notre approche. Je pense que nous encouragerions... Nous essayons de donner l'exemple dans notre approche en matière de protection de la vie privée.
Comme je l'ai dit, l'objectif de mon équipe est, je crois, de mettre les renseignements sur l'appareil, mais je pense que nous avons une responsabilité à l'égard du déplacement de ces renseignements. C'est pourquoi nous avons pris des mesures pour que notre système d'exploitation s'interpose entre les applications et certaines données présentes sur l'appareil.
Il y a des données présentes sur l'appareil que nous n'avons jamais rendues accessibles. Il en restera ainsi, je crois. Par exemple, le numéro de téléphone de l'utilisateur ou les identificateurs du matériel qui pourraient être utilisés pour le pistage n'ont jamais été rendus accessibles sur notre plateforme.
Il s'agit d'un concept technologique du type « vase clos », selon lequel chaque application est séparée à la fois des autres applications et des données présentes dans le système d'exploitation.
M. Ian Lucas:
Là où je veux en venir, c'est que vous établissez les principes. Le président les a énoncés. C'est vraiment complexe et difficile pour nous de légiférer sur ces questions. Nous nous en rendons tous compte.
Vous pouvez décider si vous faites affaire avec Facebook. Si vous le vouliez, vous pourriez refuser à Facebook l'accès à votre matériel en cas de non-respect des principes. Facebook a causé beaucoup de tort à votre secteur. Pourquoi continuez-vous de faire affaire avec cette entreprise?
M. Erik Neuenschwander:
Si vous parlez de la disponibilité de l'application sur l'App Store, je crois qu'il y a deux...
M. Ian Lucas:
On ne peut nier qu'énormément de gens accèdent à Facebook au moyen de vos appareils.
M. Erik Neuenschwander:
D'accord. D'un côté, supposons que l'application Facebook ne soit pas offerte. Facebook a un site Web auquel les gens pourraient toujours avoir accès au moyen de notre navigateur ou d'un navigateur concurrent.
Si nous allons plus loin et disons que nous devrions commencer à imposer ce que j'appellerais...
M. Ian Lucas:
Il ne s'agit pas d'imposer quelque chose. C'est une question d'accord. Si vous croyez en vos principes et si vous êtes une entreprise éthique, vous devriez faire affaire avec des gens qui respectent vos principes. Vous avez le pouvoir de faire cela.
M. Erik Neuenschwander:
Ce qui est en mon pouvoir, je suppose, ce sont les mesures techniques. Mon approche consiste à dire que toute application ou tout service passant par le téléphone devrait comprendre des mesures techniques permettant à l'utilisateur de garder la maîtrise de ses données.
M. Ian Lucas:
Vous pourriez décider de ne pas faire affaire avec Facebook. Vous pourriez établir vos propres principes et les appliquer en choisissant avec qui vous faites affaire. Pourquoi ne faites-vous pas cela?
M. Erik Neuenschwander:
Si vous parlez de la disponibilité de Facebook sur l'App Store, le retrait de cette application n'aurait pas une incidence mesurable sur la protection de la vie privée.
M. Ian Lucas:
Vraiment?
M. Erik Neuenschwander:
Je pense que les utilisateurs...
M. Ian Lucas:
Vous feriez les manchettes, ne croyez-vous pas?
(1105)
M. Erik Neuenschwander:
Bien sûr, nous ferions les manchettes. Avec tout le respect que je vous dois, je ne crois pas que les manchettes aient nécessairement une incidence sur la protection de la vie privée. Je pense que les utilisateurs...
M. Ian Lucas:
Ne pensez-vous pas que cela aurait une incidence importante sur l'approche adoptée par Facebook?
M. Erik Neuenschwander:
Comme vous l'avez souligné, Facebook est un service extrêmement populaire. Les utilisateurs se tourneraient vers les technologies Web pour trouver d'autres façons de continuer à accéder à Facebook. Personnellement, je ne vois pas comment Apple pourrait... ou comment je pourrais, par respect pour la vie privée d'une personne...
M. Ian Lucas:
Ce qui me préoccupe, c'est que vous vous présentez comme les bons tout en facilitant les choses pour les méchants par l'entremise de votre matériel.
M. Erik Neuenschwander:
Au fil des ans, nous avons adopté de nombreuses mesures pour établir des limitations et pour en faire plus que toute autre plateforme en matière de protection de la vie privée et de maîtrise des utilisateurs sur les données présentes sur nos appareils. C'est précisément grâce à l'intégration de notre matériel informatique que nous avons pu prendre tant de mesures positives et proactives pour encourager la minimisation des données et pour permettre aux utilisateurs d'avoir une maîtrise sur leurs données.
M. Ian Lucas:
Cependant, vous voulez tout de même faire affaire avec les méchants.
Le président:
Merci, monsieur Lucas. Nous devons poursuivre.
Nous passons maintenant à Mme Naughton, de l'Irlande.
Mme Hildegarde Naughton:
Merci.
J'aimerais revenir à M. Ryland et à la question que j'ai posée plus tôt au sujet de l'affichage des noms et des adresses électroniques des clients par Amazon. Êtes-vous absolument certain que cela ne s'est pas produit?
M. Mark Ryland:
Chose certaine, je ne suis pas au courant de l'incident. Je ne crois pas que cela se soit produit, mais nous vous reviendrons là-dessus.
Mme Hildegarde Naughton:
Le 21 novembre 2018, deux articles ont paru dans The Guardian et dans The Telegraph. Dans les deux cas, on faisait état d'une importante atteinte à la protection des données chez Amazon, si bien que les noms et adresses électroniques des clients avaient été divulgués sur le site Web de l'entreprise.
M. Mark Ryland:
Je me ferai un plaisir de vous revenir là-dessus.
Mme Hildegarde Naughton:
Merci. Je voulais simplement tirer cela au clair. C'est consigné au compte rendu.
Le président:
Monsieur Lawless, vous avez la parole.
M. James Lawless:
J'ai une question au sujet de la transférabilité des données et du principe du RGPD. Cela m'a semblé poser problème.
Pour ce qui est des mégadonnées, il s'agit de savoir où elles se trouvent, comment elles sont stockées, sous quelle forme elles sont conservées, etc. Acceptez-vous cela? Souhaitez-vous conserver des données qui soient exclusives à votre société ou êtes-vous à l'aise avec l'utilisation de formats ouverts qui permettent le partage? J'aimerais savoir quelle est la position actuelle de chacun d'entre vous au sujet de la transférabilité des données.
M. Alan Davidson:
Nous pensons que l'accès et la transférabilité des données sont des éléments extrêmement importants du RGPD. En fait, ce sont des piliers de toute bonne réglementation en matière de protection de la vie privée. C'est sans parler de l'effet positif que cela pourrait avoir sur la concurrence. Nous pensons qu'il y a beaucoup de travail prometteur à accomplir pour faire en sorte que les gens sachent ce qui se trouve à tel endroit et pour que cette information — laquelle nous fournissons, d'ailleurs, lorsque nous détenons des données — soit utilisable.
Il ne s'agit pas seulement de savoir que l'on peut télécharger tout son corpus de données Facebook — je l'ai fait et j'encourage les gens à le faire, c'est très intéressant. Il s'agit aussi de rendre ces données utilisables, de telle sorte que l'utilisateur puisse les transporter ailleurs s'il le souhaite.
M. John Weigelt:
Nous nous sommes engagés à respecter le RGPD et les principes de la transférabilité des données. La grande question porte sur l'interopérabilité des profils ou des données et sur la possibilité de les déplacer dans un format approprié. Pour l'heure, on ignore encore où les gens veulent transférer leurs données et dans quels formats ils veulent le faire.
M. James Lawless:
Microsoft a fait des progrès à ce chapitre. Je sais que, par le passé, on alléguait qu'il y avait chez Microsoft un problème qui tenait aux formats exclusifs, mais aujourd'hui, on offre toujours l'option de « sauvegarder sous » un format plus ouvert. Est-ce là ce que vous avez fait?
M. John Weigelt:
Tout à fait. Même que dans le secteur, dans le domaine de l'infonuagique, des activités arbitraires ont été déplacées d'un endroit à l'autre. Nous avons adopté cette approche. De plus, nous nous sommes tournés vers la communauté des codes sources ouverts et des données ouvertes pour obtenir des conseils.
M. Erik Neuenschwander:
Anticipant le RGPD, Apple a lancé un portail de données et de renseignements personnels. Les utilisateurs peuvent télécharger leurs renseignements personnels, au titre de l'accès à l'information comme au titre de la transférabilité, en formats lisibles par des humains et par des machines.
M. Mark Ryland:
Au nom d'Amazon Web Services, où je travaille, je dirai que l'importation et l'exportation sont des fonctionnalités fondamentales de notre plateforme. Chez nous, toute fonction d'importation se double d'une fonction d'exportation dans des formats lisibles par des machines virtuelles ou dans d'autres types de formats de données d'importation ou d'exportation. Nos outils sont toujours bidirectionnels.
Nous collaborons aussi beaucoup avec la communauté des codes sources ouverts en vue de la transférabilité des codes des applications, entre autres. Par exemple, bon nombre de nos plateformes sont compatibles avec les formats pour le débardage des conteneurs, tel Kubernetes pour la gestion de grappes de serveurs. Les utilisateurs peuvent très facilement créer des systèmes caractérisés par une très grande transférabilité des données entre les plateformes. Telles sont les attentes de nos clients, attentes auxquelles nous souhaitons répondre.
(1110)
M. James Lawless:
Vous dites que c'est comme Apache, suivant les lignes directrices des fondations du code source ouvert. Les normes du code source ouvert sont en train d'être consolidées et acceptées, je suppose, dans une certaine mesure. Peut-être s'agissait-il de concepts communautaires antérieurs au RGPD, mais ces concepts sont maintenant assez généralisés, n'est-ce pas?
M. John Weigelt:
Tout à fait.
M. James Lawless:
Oui, d'accord. C'est très bien. Merci.
Merci, monsieur le président.
Le président:
Nous passons maintenant à Mme Xueling, de Singapour. Vous avez cinq minutes.
Mme Sun Xueling:
Monsieur Davidson, vous avez dit tout à l'heure, en réponse à une question de M. Baylis, qu'en ce qui concerne les publicités politiques, vous aimeriez voir les entreprises adopter des mesures pour promouvoir la transparence. J'aimerais donner deux exemples dans lesquels les mesures prises par les entreprises n'ont pas été suffisantes.
En avril 2018, Facebook a mis en œuvre de nouvelles règles pour la transparence en matière de publicité politique. Chez Facebook, on a admis avoir pris beaucoup de temps pour déceler l'ingérence étrangère dans les élections américaines de 2016. On a dit avoir amélioré la transparence en matière de publicité et on a argué que, par conséquent, il y aurait une meilleure reddition de comptes. Pourtant, à la fin d'octobre 2018, Vice News a publié un rapport montrant à quel point il était facile de contourner les barrières que Facebook avait prétendu avoir mises en place. Les journalistes ont dû se soumettre à une vérification d'identité avant de pouvoir acheter des annonces publicitaires, mais une fois cette étape franchie, ils ont été capables de publier des annonces semant la discorde et de mentir au sujet de ceux qui les avaient payées.
Voilà pour Facebook.
Par ailleurs, en août 2018, Google a déclaré avoir investi dans des systèmes robustes visant à identifier les opérations d'influence lancées par des gouvernements étrangers. Cependant, peu de temps après, un organisme sans but lucratif nommé Campaign for Accountability a mené une expérience qui a été décrite en détail: des chercheurs de l'organisme ont prétendu travailler pour un organisme de recherche Internet, puis ils ont acheté des publicités politiques ciblant les internautes américains. Selon Campaign for Accountability, chez Google, on n'a pas tenté de vérifier l'identité du compte et on a approuvé les annonces en moins de 48 heures. Les publicités ont été diffusées sur un large éventail de sites Web et de chaînes YouTube, générant plus de 20 000 visionnements, et ce, pour un coût inférieur à 100 $.
Ainsi, il ne semble pas que les plateformes soient sur le point de remplir leur promesse de protection contre l'ingérence étrangère.
Êtes-vous d'accord avec ce que je viens de dire?
M. Alan Davidson:
Manifestement, il nous reste beaucoup de travail à faire. Tout à fait. Nous qui travaillons dans ce domaine avons ressenti une frustration, car nous pensons que la transparence de la publicité est un outil extrêmement important pour accomplir cela. Les autres outils ne sont pas aussi efficaces.
Mme Sun Xueling:
Oui. Il ne semble pas qu'il s'agisse d'un problème technique à proprement parler, puisque les chercheurs ont indiqué avoir utilisé l'adresse IP russe pour accéder aux plateformes de publicité russe de Google et fournir les détails de l'organisme de recherche Internet. Ils sont allés jusqu'à payer les publicités en roubles.
Voilà qui semble indiquer que le désir de vendre des publicités est plus fort que l'intention de réduire l'ingérence étrangère.
M. Alan Davidson:
Je mettrais un bémol. Il est encore trop tôt pour dire ce qu'il en est. Il reste beaucoup à faire, à mon avis. L'expérience des élections en Inde et au Parlement européen sera peut-être instructive. Là-bas, les gens ont tenté d'adopter des mesures de manière beaucoup plus proactive. Nous devons être à même d'évaluer cela, je crois. C'est pourquoi, entre autres raisons, la transparence est importante.
Les plateformes doivent en faire plus, mais comme l'un de vos collègues l'a souligné, nous devrions aussi nous pencher sur les auteurs de ces actes...
Mme Sun Xueling:
Tout à fait, oui.
M. Alan Davidson:
... et lorsque des États-nations s'en prennent à nos entreprises, nous avons besoin de l'aide du gouvernement.
Mme Sun Xueling:
Plus tôt, vous avez parlé de garde-fous.
M. Alan Davidson:
Oui.
Mme Sun Xueling:
Je crois que c'est important pour que nous évitions de plonger dans l'abîme de la désinformation.
M. Alan Davidson:
Je suis d'accord.
Mme Sun Xueling:
Merci.
Merci, monsieur le président.
Le président:
Merci.
Nous passons maintenant à Mme Vandenbeld. C'est à vous.
Mme Anita Vandenbeld:
Je vais changer un peu le sujet de la conversation. Monsieur Davidson, dans votre déclaration préliminaire, vous avez mentionné le fait que votre entreprise met davantage l'accent sur la diversité de la main-d'œuvre. Nous savons — des témoins entendus ici l'ont aussi dit — que les algorithmes sont influencés par les préjugés sociaux de ceux qui en écrivent le code, de sorte que si la plupart des programmeurs sont des hommes dans la vingtaine, leurs préjugés sociaux seront reconduits par les algorithmes.
Dans quelle mesure est-il important de diversifier la main-d'œuvre? Comment vous y prenez-vous? Quelles sont les répercussions?
M. Alan Davidson:
Selon nous, c'est extrêmement important. Non seulement est-ce la bonne chose à faire, mais nous soutenons aussi que les produits que nous créerons seront meilleurs si nous disposons d'une main-d'œuvre plus diversifiée qui reflète l'ensemble des communautés que nous desservons.
C'est un grand problème dans la Silicon Valley et dans le secteur de la technologie en général. Je pense que nous devrions tous l'admettre. Nous devons travailler là-dessus sans relâche.
Dans notre entreprise, nous en avons fait une très grande priorité. Par exemple, chaque année, tous les cadres de notre entreprise ont des objectifs. Nous parlons d'objectifs et de résultats clés. Chacun établit ses propres critères, mais il y a un critère qui est obligatoire pour tout le monde. La question se pose comme suit: dans quelle mesure avez-vous réussi à assurer la diversité dans votre processus d'embauche? Lorsque l'on se sait évalué, on a tendance à fournir un effort quelque peu accru.
Nous devons en faire plus à ce chapitre. Nous sommes les premiers à reconnaître qu'il nous reste du chemin à faire. Je pense que nous avons fait beaucoup de progrès en matière de diversité des genres, surtout parmi les membres de la communauté du domaine technique. Dans d'autres aspects de la diversité ethnique, nos résultats sont moins bons, il nous reste beaucoup à faire. Nous y travaillons vraiment.
(1115)
Mme Anita Vandenbeld:
Merci.
M. Alan Davidson:
Merci d'avoir soulevé la question.
Mme Anita Vandenbeld:
Pourrais-je demander à chacun des autres témoins de s'exprimer à ce sujet?
M. John Weigelt:
Chez Microsoft, Satya Nadella en a fait une priorité absolue. Nous reconnaissons que nos décisions et nos produits sont meilleurs si notre entreprise reflète mieux les communautés que nous desservons.
Ici, au Canada, nous travaillons à faire en sorte que Microsoft Canada reflète la mosaïque culturelle du Canada, ce qui comprend non seulement le sexe, mais aussi les origines ethniques et l'orientation. De plus, pour les personnes qui ont des exigences d'adaptation et des méthodes de travail uniques, comme des problèmes de vision, d'ouïe ou d'attention...
Nous travaillons vraiment à forger une telle communauté en intégrant cet effort au sein de notre programme d'éthique de l'IA. Nous avons un comité de gouvernance qui se penche sur les utilisations délicates de l'IA. Ensuite, nous réunissons un groupe de personnes très diversifié pour examiner toutes les facettes de cette utilisation délicate. Nous voulons expressément obtenir le point de vue intersectionnel de toute personne de l'entreprise souhaitant émettre un commentaire afin de refléter cette mosaïque culturelle dont j'ai parlé. De cette façon, nous pensons être à même de tuer dans l'œuf certains effets imprévus potentiels, de manière à pouvoir donner des conseils et une orientation à l'avenir.
Mme Anita Vandenbeld:
Allez-y.
M. Erik Neuenschwander:
En plus de la protection des renseignements personnels, la diversité constitue l'une des quatre valeurs d'entreprise de notre PDG Tim Cook. Les deux valeurs sont très importantes. Cela va bien au-delà de l'IA. La protection de la vie privée relève surtout de la condition humaine. Pour ce qui est de la diversité des points de vue, elle nous aidera à faire de bons choix.
En matière de diversité dans notre entreprise, je n'ai pas les chiffres sous la main. Je suis sûr qu'il nous reste encore beaucoup de travail à faire. Nous avons adopté des mesures d'amélioration non seulement en matière de recrutement et de rayonnement visant à attirer des personnes de la diversité, mais aussi en matière de roulement ou de longévité de la carrière. Faire entrer une personne dans l'entreprise est une chose, s'assurer qu'elle a une expérience de carrière productive et enrichissante pour qu'elle reste dans l'entreprise et continue d'y contribuer en est une autre.
Comme je l'ai dit, nous avons encore du travail à faire sur ces deux aspects.
Mme Anita Vandenbeld:
Merci.
M. Mark Ryland:
La situation est similaire chez Amazon. Nous mettons beaucoup l'accent sur la diversité. Parmi nos objectifs d'entreprise, cet enjeu occupe une grande place. Les gestionnaires d'embauche et les cadres supérieurs sont tenus d'atteindre des objectifs précis à cet égard.
Bien entendu, ce n'est pas seulement une question d'embauche. C'est aussi une question de longévité de carrière, de gestion de carrière et de création de communautés d'intérêts au sein de notre entreprise. Ainsi, les gens sentent qu'ils font partie à la fois de l'entreprise dans son ensemble et de communautés d'intérêts qui leur ressemblent vraiment.
Nous travaillons très fort dans tous ces domaines pour accroître la diversité de l'entreprise. Encore une fois, nous pensons que c'est ce qu'il y a de mieux pour les affaires. Non seulement est-ce la bonne chose à faire, mais c'est aussi ce qui nous aidera à créer de meilleurs produits, parce que les origines diverses de nos employés correspondent aux clients que nous essayons de rejoindre.
Mme Anita Vandenbeld:
Merci.
Le président:
Merci, madame Vandenbeld.
J'aimerais expliquer le déroulement des choses. Nous aurons encore quelques interventions, puis nous entendrons les derniers commentaires des vice-présidents, du coprésident et de moi-même. Ensuite, ce sera terminé. Si nous dépassons les 11 h 30, ce sera de peu.
Monsieur Kent, vous avez cinq minutes.
L'hon. Peter Kent:
Merci, monsieur le président.
J'aimerais revenir à la question de la concurrence, de l'antitrust et des monopoles dans le nouveau marché. On a beaucoup parlé récemment, particulièrement aux États-Unis, des nouveaux monopoles numériques et du fait qu'ils sont peut-être beaucoup plus durables que les monopoles du passé — les chemins de fer, les compagnies de téléphone, etc. Ces monopoles peuvent vaincre leurs concurrents en les achetant ou en les détruisant.
Hier, j'ai cité, à l'intention du représentant de Facebook qui comparaissait au Comité, les écrits de Chris Hughes, le cofondateur de Facebook, désormais désillusionné. Certains de nos témoins d'aujourd'hui ont laissé entendre que leurs entreprises seraient peut-être prêtes à accepter des déclinaisons de la loi européenne. Toutefois, M. Hughes a fait les manchettes en laissant entendre que Facebook devrait être démantelée et faire l'objet d'une démarche antitrust. Il a dit ceci: « Ce qui effraie chez Facebook, ce n'est pas quelques règles de plus. C'est une poursuite antitrust ».
Je sais que la défense contre les poursuites antitrust peut poser problème. En situation de monopole en matière de mégadonnées, vous invoquez l'excuse suivante: votre service est gratuit, il n'y a pas de coûts tangibles associés aux achats des consommateurs.
C'est peut-être une question trop vaste pour le poste que vous détenez, comme on l'a déjà dit. C'est pourquoi nous avions demandé que les PDG soient présents aujourd'hui. Je me demande tout de même, particulièrement dans le cas d'Amazon et de Microsoft, si vous pourriez nous parler du point de vue de vos entreprises visant à contrer ces discussions antitrust et les appels au démantèlement dans l'intérêt d'une plus grande concurrence et d'une plus grande protection des consommateurs.
Je pose d'abord la question à M. Ryland.
(1120)
M. Mark Ryland:
Je dirai volontiers quelques mots à ce sujet.
Comme je l'ai déjà dit, notre modèle d'affaires est très traditionnel. Nous vendons des biens et des services — lesquels ont une valeur pécuniaire — tant dans notre commerce de détail Amazon.com que dans notre entreprise d'infonuagique, et nous faisons face à une concurrence féroce pour toutes sortes de services et de plateformes qui ne se limitent pas à l'Internet. Les gens utilisent une grande variété de canaux et de mécanismes pour acquérir des services de TI, que ce soit pour l'infonuagique ou pour d'autres types de ressources. De notre point de vue, il s'agit tout simplement d'un modèle d'affaires très différent, et notre utilisation des données pour améliorer l'expérience des consommateurs est, à notre avis, très avantageuse pour les consommateurs. Ceux-ci apprécient vraiment l'expérience d'utilisation de ces technologies.
À mon avis, c'est une approche qui diffère beaucoup de certains enjeux que vous soulevez. Je m'en tiens à cette affirmation plutôt générale. En ce qui concerne les détails du droit de la concurrence, comme je l'ai déjà dit, je ne suis pas un expert.
Je pense vraiment que notre modèle d'affaires est très traditionnel à cet égard. C'est un peu différent, à mon avis.
L'hon. Peter Kent:
Merci.
Je vais passer au témoin de Microsoft.
M. John Weigelt:
Au vu de la longévité de notre entreprise, qui existe depuis les années 1970, nous avons connu des fluctuations. Nous avons eu un téléphone par le passé. Nous avons un excellent navigateur, mais celui-ci a subi un certain nombre de modifications. Auparavant, on disait: un ordinateur sur chaque bureau. Aujourd'hui, on dit plutôt: un téléphone dans chaque poche. Ces fluctuations traversent le milieu qui est le nôtre.
Pour ce qui est de l'environnement des données, les consommateurs se tourneront vers les services qui leur plaisent. Il y aura des fluctuations. Si vous parlez aux milléniaux, ils vous diront qu'ils utilisent différents services. Par exemple, mes enfants — qui, s'ils ne se considèrent pas comme des milléniaux, occupent le même espace —, diront ceci: « Papa, ne me parle pas sur cette plateforme, je ne suis pas là. Parle-moi sur cette autre plateforme ». Ces choses-là fluctuent.
Des données, on passe ensuite aux algorithmes. Nous entrevoyons une ère algorithmique et une monétisation des algorithmes. Nous assistons à une transition des algorithmes aux API, les gens tirant un profit pécuniaire de ces API.
Nous voyons ce moteur d'innovation en marche, qui va continuellement de l'avant. Nous devons travailler ensemble pour essayer d'anticiper les conséquences imprévues et d'apprendre en cours de route des leçons en matière de désinformation. C'est comme le jeu de la taupe: on n'a pas plus tôt frappé une taupe qu'une autre resurgit à un endroit imprévu. On s'exclame alors: « Oh, nous n'avions pas pensé à cela. » En travaillant ensemble, nous pouvons mettre en place les instruments pour y arriver.
J'ai donné une réponse abstraite à votre question au sujet de l'anticoncurrence et de l'antitrust, je sais, mais j'aimerais aborder la question sous l'angle général et sur le plan des fluctuations. Comment pouvons-nous mettre en place des mécanismes de protection solides pour les entreprises et les particuliers? Grâce à des partenariats.
L'hon. Peter Kent:
C'est au tour des témoins d'Apple et de Mozilla.
M. Erik Neuenschwander:
Je ne crois pas avoir grand-chose à ajouter aux observations des autres témoins. Je pense que nous essayons à la fois d'offrir la diversité de l'App Store à nos utilisateurs et de favoriser une grande concurrence. De nombreuses entreprises ont connu une grande réussite dans cet espace.
En ce qui concerne les données personnelles, nous pratiquons la minimisation des données et nous essayons de donner le pouvoir non pas à Apple, mais bien aux utilisateurs.
M. Alan Davidson:
Je dirai simplement que je travaille pour une entreprise qui, d'une certaine façon, a pris naissance en réaction à Internet Explorer, qui était un joueur dominant dans le marché à l'époque. Nous croyons que la loi antitrust constitue un garde-fou très important pour le marché. Comme tout le monde, nous voulons qu'il y ait des règles du jeu équitables sur le plan de la concurrence.
À notre avis, il y a beaucoup de préoccupations au sujet de la taille des entreprises. Plus grande est la taille, plus grande est la responsabilité. Nous pensons aussi que les organismes de réglementation antitrust disposent de beaucoup d'outils très puissants à l'heure actuelle. Nous devons, je crois, réfléchir à la façon de donner à ces organismes plus d'information, plus d'outils et une meilleure compréhension des API et de la puissance des données dans leur analyse, notamment. C'est d'abord là que nous devons effectuer une mise à niveau, tandis que nous réfléchissons à la façon d'élargir les rôles. C'est un domaine très important.
(1125)
L'hon. Peter Kent:
Pour moderniser numériquement...?
M. Alan Davidson:
Nous avons besoin d'une application contemporaine et numérique de la loi antitrust.
L'hon. Peter Kent:
Merci.
Le président:
Merci, monsieur Kent.
Le dernier intervenant est M. Graham. C'est à vous.
M. David de Burgh Graham:
Merci.
J'ai posé des questions à tout le monde un peu plus tôt. J'aimerais donc discuter un peu avec M. Ryland d'Amazon.
Plus tôt, vous avez discuté avec M. Lucas de la question de savoir si la sécurité d'Alexa avait déjà été compromise. Si je me souviens bien, vous avez dit que non. Est-ce exact?
M. Mark Ryland:
C'est exact.
M. David de Burgh Graham:
Vous n'êtes pas au courant du piratage de Checkmarx d'il y a à peine un an, qui a complètement compromis Alexa et qui pourrait causer la diffusion en direct d'innombrables enregistrements audio?
M. Mark Ryland:
Je n'étais pas au courant de ce... Je vais vous revenir là-dessus.
M. David de Burgh Graham:
N'êtes-vous pas le directeur de l'ingénierie de sécurité?
M. Mark Ryland:
Qu'est-ce que c'est?
M. David de Burgh Graham:
N'êtes-vous pas le directeur de l'ingénierie de sécurité?
M. Mark Ryland:
Oui, chez Amazon Web Services.
M. David de Burgh Graham:
Vous travaillez pour Amazon Web Services; on ne nous a donc pas envoyé quelqu'un de Amazon. Je voulais simplement que ce soit clair.
Amazon a un système de marketing intégré. Si je cherche une information sur Amazon et je vais ensuite sur un autre ordinateur et un autre site Web, il y aura des annonces de Amazon me demandant si je veux acheter l'article que j'avais cherché antérieurement sur un autre appareil et avec une adresse IP différente. Que fait Amazon pour savoir cela? Quel genre d'échange de données y a-t-il entre Amazon et des sites comme Facebook et autres? Par exemple, National Newswatch me fait le coup.
Comment se fait cet échange d'information? Comment savez-vous qui je suis quand j'utilise un autre appareil?
M. Mark Ryland:
Nous faisons des échanges publicitaires. Nous avons tout un site consacré à la vie privée, qui vous permet de désactiver la publicité. Cela dit, il ne s'agit pas de renseignements personnels. Les données sont anonymisées. Le système se fonde sur un profilage démographique.
Je répète qu'il est très simple de désactiver la publicité sur notre site Web. On peut également se valoir d'outils commerciaux, comme AdChoices, pour éviter de participer aux réseaux publicitaires.
M. David de Burgh Graham:
Ce sont des données soi-disant anonymes, mais le système sait exactement ce que j'ai cherché il y a trois heures.
M. Mark Ryland:
Je ne sais quoi vous dire dans votre cas précis, mais nous n'utilisons pas vos renseignements personnels à de telles fins.
M. David de Burgh Graham:
D'accord.
Au tout début de la réunion, vous avez présenté des points de vue intéressants sur le consentement à l'utilisation des données, ce qui a suscité une excellente intervention de M. Angus. Selon Amazon ou selon vous, quelle est la limite de consentement pour la divulgation de données? Est-ce explicite? Suffit-il que la boîte précise qu'il s'agit d'un appareil « intelligent » pour que le consentement à divulguer des données soit sous-entendu?
M. Mark Ryland:
Nous pensons que le plus logique, c'est d'être sensible au contexte. Le consommateur averti aura sûrement une idée de ce qui est en jeu. Si ce n'est pas le cas, il faudra nous arranger pour que ce soit plus explicite. C'est très contextuel.
Cela dépend aussi, bien entendu, du type de données. Certaines sont beaucoup plus délicates que d'autres. Comme l'un des panélistes l'a mentionné, utiliser une plateforme de jeux en ligne et consulter un site sur les soins de santé sont deux choses entièrement différentes; il faut donc connaître le contexte et le contenu. Le consentement fondé sur le contexte est tout à fait logique.
M. David de Burgh Graham:
D'accord.
Vous avez dit plus tôt que votre entreprise est axée sur la clientèle. Accordez-vous autant d'importance à vos travailleurs?
M. Mark Ryland:
Oui. Nous nous efforçons de le faire.
M. David de Burgh Graham:
Vous ne suivez pas des pratiques antisyndicales?
M. Mark Ryland:
Ce n'est pas mon champ d'expertise, mais je dirais que nous traitons nos travailleurs avec respect et dignité. Nous nous efforçons de leur offrir de bons salaires et des conditions de travail raisonnables.
M. David de Burgh Graham:
Obtenez-vous des données de vos propres employés?
M. Mark Ryland:
Comme toutes les entreprises, nous recueillons des données sur des aspects comme l'accès à Internet et l'utilisation responsable de notre technologie pour protéger les autres travailleurs.
M. David de Burgh Graham:
Alors Amazon n'aurait jamais distribué de matériel promotionnel antisyndical à des entreprises nouvellement acquises.
M. Mark Ryland:
Je ne suis pas au courant de ce genre de scénario.
M. David de Burgh Graham:
Eh bien, j'espère que lors de notre prochaine réunion, nous pourrons compter sur un représentant de Amazon qui en sache plus long sur les politiques de l'entreprise. Vous maîtrisez sans doute les services sans fil évolués, mais ce qu'il nous faut, c'est nous faire une idée globale du fonctionnement de Amazon.
Je pense que c'est tout pour l'instant. Merci.
Le président:
Merci, monsieur de Burgh Graham.
Il semble que j'ai oublié Mme Stevens du Royaume-Uni, et...
M. James Lawless:
Monsieur le président, avant que vous ne donniez la parole à Mme Stevens, je dois m'excuser, car nous devons prendre l'avion.
Je voudrais simplement remercier les membres de tout le travail qui a été fait ces derniers jours.
Le président:
D'accord. Merci. Nous vous reverrons en novembre prochain.
M. James Lawless: Absolument.
Le président: Toutes nos salutations à Mme Naughton. Merci d'être venus.
M. James Lawless:
Merci beaucoup.
Le président:
Allez-y, madame Stevens.
Mme Jo Stevens:
Merci beaucoup, monsieur le président.
J'aimerais revenir à quelque chose que vous avez dit tout à l'heure, monsieur Weigelt, au sujet d'un conseil ou d'un groupe qui doit se pencher sur l'utilisation judicieuse de l'intelligence artificielle. Pouvez-vous me donner un exemple du genre de déploiement qui serait « judicieux » d'après vous?
(1130)
M. John Weigelt:
Il y a d'abord l'utilisation de l'intelligence artificielle dans le diagnostic médical. Il y a trois critères à examiner: le système peut-il approuver ou refuser des services corrélatifs? Y a-t-il atteinte aux droits de la personne ou à la dignité humaine? Y a-t-il des problèmes de santé et de sécurité?
Dans un cas, des chercheurs ont établi des algorithmes d'intelligence artificielle sur les radiographies pulmonaires. Ils ont ensuite voulu les incorporer à la salle d'urgence, pour en constater le fonctionnement et les effets sur les patients. Notre comité s'est réuni. Nous avons examiné les ensembles de données. Nous avons étudié la validité de cet ensemble de données ouvertes et le nombre de personnes visées. Nous avons ensuite déconseillé leur usage clinique aux chercheurs en cause en leur précisant que tout logiciel utilisé comme instrument médical est un domaine complètement différent. Il faut des certifications et tout le reste.
Un usage judicieux serait d'évaluer si l'intelligence artificielle peut oui ou non tirer des leçons de ces examens. C'est l'optique que nous avons tendance à adopter en la matière.
Mme Jo Stevens:
C'est un exemple très utile. Merci.
Nous savons, et ce ne sont pas les preuves qui manquent, qu'il y a des préjugés délibérés et inconscients inhérents à l'intelligence artificielle. Je pense qu'il y a un argument assez solide en faveur d'une approche réglementaire pour régir son déploiement, un peu comme ce que nous avons dans, disons, le secteur pharmaceutique. Avant de mettre un médicament sur le marché, il faut en examiner les effets secondaires indésirables.
Qu'en pensez-vous? Pensez-vous qu'il y a un argument en faveur d'une approche réglementaire, particulièrement parce que, comme nous le savons, le déploiement actuel de l'intelligence artificielle est discriminatoire envers les femmes, les Noirs et les minorités ethniques? Des gens perdent leur emploi et n'ont pas accès à des services comme des prêts et des hypothèques à cause de cela.
M. John Weigelt:
Absolument. Je pense que vous avez raison de parler du parti pris involontaire en ce qui a trait aux décisions en matière d'intelligence artificielle; il s'agit donc de nous protéger contre cela. C'est l'un des principes techniques sur lesquels nous travaillons fort pour donner des conseils et des directives à nos équipes.
Il y a certains domaines où nous avons préconisé une action très rapide et directe pour agir plus prudemment et plus délibérément, comme dans le cas du logiciel de reconnaissance faciale. Pour revenir à ce que vous disiez, bon nombre de ces modèles ont été formés en fonction d'une communauté très homogène et ne tiennent donc pas compte de la diversité des gens qu'ils doivent servir.
Nous sommes d'ardents défenseurs de la mise en place de cadres législatifs pour certains régimes de consentement, par exemple s'il faut des bannières dans les rues, s'il faut des paramètres, s'il faut définir la différence entre l'espace public et l'espace privé, et ainsi de suite.
Mme Jo Stevens:
Dans quelle mesure êtes-vous prêt à rendre public le travail que vous avez fait? Je vous en sais gré si vous le faites officieusement. C'est très bien, mais il serait utile de savoir ce que vous faites et ce que font vos collègues.
M. John Weigelt:
Absolument. Il est clair que nous devons mieux renseigner la collectivité de l'excellent travail qui est en cours. Nous avons publié des lignes directrices sur les robots et sur la façon de s'assurer qu'ils se comportent correctement, car figurez-vous que nous avons eu nos propres ennuis avec un robot sectaire qui a semé la discorde pendant un certain temps. Nous en avons tiré des leçons. Notre PDG a appuyé notre équipe et nous avons progressé. Nous avons fourni des conseils, et ils sont accessibles au public.
Nous avons ce qu'on appelle la AI Business School, qui propose toute une série de cours à l'intention des chefs d'entreprise pour mettre en place un modèle de gouvernance de l'intelligence artificielle. Nous travaillons avec ce milieu pour l'aider. Nous nous efforçons de diffuser le travail que nous faisons à l'interne dans le cadre de notre examen de l'éthique de l'intelligence artificielle.
Enfin, je dirais que nous travaillons dans le cadre d'une soixantaine d'activités d'orientation en matière de réglementation qui se déroulent partout dans le monde afin de commencer à socialiser cet aspect du point de vue de l'expérience pratique. Ici, au Canada, on s'occupe de mettre au point les critères d'évaluation de l'impact de l'intelligence artificielle et la norme d'éthique correspondante.
Mme Jo Stevens:
Ce serait vraiment bien de voir un assistant virtuel coupé sur un patron tout autre que celui d'une femme servile. J'ai hâte de voir quelque chose de différent.
Merci.
Le président:
Merci, madame Stevens.
Nous allons maintenant entendre les observations finales de nos vice-présidents, puis du coprésident.
Monsieur Erskine-Smith, voulez-vous commencer par vos 60 secondes, s'il vous plaît?
M. Nathaniel Erskine-Smith:
Je pense que si nous avons tiré des leçons des derniers jours, c'est que nous continuons de vivre dans une ère de capitalisme de surveillance qui pourrait avoir de graves conséquences sur nos élections, sur notre vie privée, voire sur notre envie d'innover.
Malgré certaines frustrations, je crois que nous avons fait des progrès. Toutes les plateformes et toutes les entreprises de mégadonnées nous ont dit ce qu'elles n'avaient pas dit auparavant, à savoir qu'elles allaient adopter des règles plus rigoureuses en matière de protection de la vie privée et des données.
Hier, les responsables des plateformes ont fait remarquer qu'ils doivent rendre des comptes au public lorsqu'ils prennent des décisions sur le contrôle du contenu, et ils ont reconnu la responsabilité des entreprises à l'égard des répercussions algorithmiques. Il y a donc des progrès, mais il reste encore beaucoup de travail à faire en ce qui concerne la concurrence et la protection des consommateurs, et la reconnaissance de la responsabilité des algorithmes qu'ils utilisent, pour passer à une responsabilisation et responsabilité réelles lorsque les décisions ont des conséquences négatives.
Je pense qu'il y a encore beaucoup de travail à faire, et cela dépendra d'une coopération mondiale suivie. Je pense que notre communauté canadienne a su transcender les lignes de parti. Ce comité international travaille maintenant efficacement dans plusieurs pays.
La dernière chose que je dirai, c'est qu'il ne s'agit pas seulement de s'attaquer à ces graves problèmes mondiaux au moyen d'une coopération mondiale sérieuse entre les parlementaires; il faut une coopération mondiale de la part des entreprises. S'il y a une dernière chose à retenir, c'est que les entreprises ne l'ont tout simplement pas pris assez au sérieux.
(1135)
Le président:
Merci, monsieur Erskine-Smith.
Nous passons maintenant à M. Angus.
M. Charlie Angus:
Merci à nos deux excellents présidents. Merci à nos témoins.
Je pense que nous avons vu quelque chose d'extraordinaire. Je suis très fier du Parlement canadien et de notre volonté de participer à ce processus.
Il y a eu des témoignages extraordinaires en ce qui a trait à la qualité des questions, et j'ai été très fier d'en faire partie. Deux faits extraordinaires, c'est que, au cours de mes 15 années en fonction, nous n'avons jamais réussi à transcender les lignes de parti sur ainsi dire quoi que ce soit, et pourtant, nous voilà réunis. De plus, nous n'avons jamais travaillé au-delà des frontières internationales. Nous pouvons remercier un dénonciateur canadien, Christopher Wylie, qui a lancé l'alerte sur le Tchernobyl numérique qui sévissait autour de nous.
Les politiciens, nous ne nous occupons pas des aspects techniques complexes. Ils nous effraient. Nous n'avons pas l'expertise nécessaire, alors nous avons tendance à les éviter, ce qui a été un grand avantage pour la Silicon Valley pendant des années.
Ces choses ne sont pas tellement techniques. Je pense que ce que nous avons fait ces deux derniers jours avec nos collègues d'autres pays — et ce que nous continuerons de faire à l'échelle internationale — c'est de rendre les choses aussi simples et claires que possible pour rétablir la primauté de la personne humaine dans le domaine des mégadonnées. La vie privée est un droit fondamental qui sera protégé. Les législateurs ont l'obligation et le devoir de protéger les principes démocratiques de notre pays, comme la liberté d'expression et le droit de participer à l'univers numérique sans faire proliférer l'extrémisme. Ce sont là des principes fondamentaux sur lesquels reposent nos démocraties. Ce qui était vrai à l'ère des lettres manuscrites est tout aussi vrai à l'ère de la téléphonie.
Je tiens à remercier mes collègues de leur participation. Je pense que nous sortons de nos réunions beaucoup plus forts qu'avant et nous prendrons encore plus de force à l'avenir. Nous voulons travailler avec les entreprises de technologie pour faire en sorte que le monde numérique soit un monde démocratique au XXIe siècle.
Merci à tous.
Le président:
Merci, monsieur Angus.
C'est votre tour, monsieur Colllins.
M. Damian Collins:
Merci beaucoup, monsieur le président.
J'aimerais commencer par vous féliciter, vous et les membres de votre comité, de l'excellent travail que vous avez fait en organisant et présidant ces séances. Je pense que cette rencontre a réussi à faire exactement ce que nous espérions. Elle s'appuie sur les travaux que nous avions entrepris à Londres. Je pense que c'est un modèle de coopération entre les comités parlementaires de différents pays qui travaillent sur les mêmes questions et profitent mutuellement de leurs expériences et connaissances connexes.
Les séances ont été divisées entre ce que nous appelons les entreprises de médias sociaux hier et d'autres entreprises de données ici. En réalité, ce dont nous parlons, c'est que même s'il y a différentes fonctions, ce sont toutes des entreprises de données énormes. Ce qui nous intéresse, c'est la façon dont elles recueillent leurs données, si elles ont le consentement des intéressés, et ce qu'elles font de ces données.
Au cours des séances, nous avons vu à maintes reprises des entreprises refuser de répondre à des questions directes sur la façon dont elles obtiennent des données et dont elles les utilisent. Qu'il s'agisse de savoir comment Amazon et Facebook échangent les données... Même si c'est amplement diffusé, il demeure que nous ne le savons pas. Mon collègue, M. Lucas, a posé une question au sujet de l'échange des données de LinkedIn et de Microsoft. Il est possible d'intégrer totalement vos données LinkedIn à vos outils Microsoft, et une recherche rapide sur Google vous dira exactement comment faire.
Je ne comprends pas pourquoi les entreprises ne veulent pas parler ouvertement des outils qu'elles mettent en place. Les gens peuvent consentir à utiliser ces outils, mais comprennent-ils la portée des données qu'ils divulguent ce faisant? Si c'est aussi simple et direct qu'il semble, je suis toujours surpris que les gens ne veuillent pas en parler. Pour moi, ces séances sont importantes parce que nous avons l'occasion de poser les questions que les gens ne poseront pas et de continuer à insister pour obtenir les réponses dont nous avons besoin.
Merci.
Le président:
Je vais d'abord m'adresser aux panélistes, puis je ferai quelques observations finales.
Je tiens à vous encourager. Vous aviez promis, surtout M. Ryland, de nous donner beaucoup de documents que vous n'avez pas... Divers commentateurs n'avaient pas toute l'information que nous demandions. Je vous implore de fournir les renseignements que nous avons demandés au greffier à mes côtés afin que nous puissions obtenir une réponse complète pour le Comité. Nous la distribuerons ensuite à tous les délégués ici présents.
Ce que je ne risque pas d'oublier de sitôt, c'est le commentaire de Roger McNamee au sujet de l'expression « poupées vaudou ».
Je regarde mes enfants. J'en ai quatre, âgés de 21, 19, 17 et 15 ans, respectivement. Je les vois devenir de plus en plus dépendants de ces appareils téléphoniques. Je vois le travail effectué par nos collègues à Londres au sujet de la dépendance que ces appareils peuvent créer. Je me demandais où on voulait en venir. On voit clairement que le capitalisme de surveillance, tout le modèle des affaires, ne demandent qu'une chose: garder ces enfants, nos enfants, collés au téléphone, même si c'est au prix de leur santé. C'est une question d'argent, tout simplement. Nous avons la responsabilité de faire quelque chose à ce sujet. Nous nous soucions de nos enfants, et nous ne voulons pas qu'ils soient transformés en poupées vaudou contrôlées par le tout-puissant dollar et le capitalisme.
Comme nous aimons tellement les appareils, je pense qu'il nous reste du travail à faire pour nous assurer que nous continuons d'offrir l'accès. Nous aimons la technologie et nous l'avons déjà dit. La technologie n'est pas le problème; c'est le véhicule. Nous devons nous attaquer aux causes de ces pratiques qui créent une dépendance.
Je vais dire merci et faire quelques derniers commentaires.
Merci à notre greffier. Nous allons l'applaudir pour s'être si bien tiré d'affaire.
Il a ce regard sur son visage parce que des événements comme celui-ci ne se déroulent pas sans ses petits problèmes. Nous nous en occupons au fur et à mesure, alors c'est difficile. Encore une fois, un gros merci à Mike MacPherson, pour avoir tout si bien résolu.
Je remercie également mon équipe — à ma gauche, Kera, Cindy, Micah, Kaitlyn — de m'avoir aidé à régler les questions administratives. Je pense qu'ils ont hâte de décompresser.
Avant de terminer, je vais encore évoquer... Oh, j'ai oublié les analystes. Désolé. J'oublie toujours nos pauvres analystes. Veuillez vous lever.
Merci pour tout.
Merci également aux interprètes. Il y avait trois langues à traduire, alors je vous remercie de nous avoir accompagnés toute la semaine.
Je salue notre ami Christopher Wylie, même si les sandwichs ont fini par avoir la vedette. Je ne sais pas si quelqu'un a vu ses gazouillis, « En plus d'une occasion ratée de faire preuve de démocratie, Zuckerberg a manqué toute l'action autour des sandwichs. » Notre ami m'a suggéré d'envoyer les restes par la poste au siège social de Facebook. C'est peut-être ainsi que nous réussirons à remettre la convocation en bonnes mains.
Je tiens à remercier tous les médias d'avoir accordé à cette question l'attention qu'elle mérite. C'est notre avenir et celui de nos enfants qui sont en jeu.
Encore une fois, merci à tous les panélistes qui sont venus de si loin, en particulier nos membres du Royaume-Uni, qui sont nos frères et sœurs de l'autre côté de l'océan.
Singapour est toujours là aussi. Merci d'être venus.
Passez une bonne journée.
Nous nous reverrons en Irlande au mois de novembre.
La séance est levée.
|