header image
The world according to David Graham

Topics

acva bili chpc columns committee conferences elections environment essays ethi faae foreign foss guelph hansard highways history indu internet leadership legal military money musings newsletter oggo pacp parlchmbr parlcmte politics presentations proc qp radio reform regs rnnr satire secu smem statements tran transit tributes tv unity

Recent entries

  1. PMO Staff Run Government; Ministers Represent It
  2. On A Mostly Harmless Birthday
  3. The Trouble With Political Communications
  4. Politics: War By Other Means
  5. On the function of Social media
  6. C-18 is an existential threat, not a benefit, to democracy
  7. On Missing A Little More Than A Sub
  8. The Realpolitik Of Open Nomination
  9. What Is An Open Nomination, Really?
  10. Alberta election about identity, not policy
  11. The Trouble With Electoral Reform
  12. Mr. Bains Goes to Rogers
  13. Question Period
  14. Why do lockdowns and pandemic restrictions continue to exist?
  15. Parliamentary privilege: an arcane concept that can prevent coups
  16. It's not over yet
  17. Trump will win in 2020 (and keep an eye on 2024)
  18. A podcast with Michael Geist on technology and politics
  19. Next steps
  20. On what electoral reform reforms
  21. 2019 Fall campaign newsletter / infolettre campagne d'automne 2019
  22. 2019 Summer newsletter / infolettre été 2019
  23. 2019-07-15 SECU 171
  24. 2019-06-20 RNNR 140
  25. 2019-06-17 14:14 House intervention / intervention en chambre
  26. 2019-06-17 SECU 169
  27. 2019-06-13 PROC 162
  28. 2019-06-10 SECU 167
  29. 2019-06-06 PROC 160
  30. 2019-06-06 INDU 167
  31. older entries...

2019-05-29 SECU 165

Standing Committee on Public Safety and National Security

(1615)

[Translation]

The Vice-Chair (Mr. Matthew Dubé (Beloeil—Chambly, NDP)):

Good afternoon, everyone. We will begin the meeting, now that we finally have enough government and opposition members here.

Before I give the floor to our witness, who will be joining us by videoconference, I would like to take a moment to discuss today's proceedings.

Given the time we have already lost, and the uncertainty about this afternoon's schedule due, in part, to the possibility of further votes following the procedural manoeuvres in the House, I would like to make a suggestion.[English]

What I would suggest is, given the fact that we still do have time in the remaining meetings to accommodate Mr. Amos, and given the uncertainty.... He is a member of Parliament, and he is around these parts more often than not, so it's easier to reaccommodate him. We would hear from the witness, do questioning and then, depending on how time is going, move on from there, and put Mr. Amos' testimony to another day.[Translation]

I would like to hear what committee members think.

Let us start with Mr. Graham.

Mr. David de Burgh Graham (Laurentides—Labelle, Lib.):

Mr. Amos plans to attend the meeting in any case. He has arranged to be replaced in his duties in order to be here.

I suggest that we do all the work we can until there are no further questions. If there is no vote in the House, the PayPal representative could appear for 45 to 60 minutes, depending on the number of questions. Then Mr. Amos could have the time to give his presentation at the end.

The Vice-Chair (Mr. Matthew Dubé):

It is a possibility, but the problem—and this is what concerns me—is that Mr. Amos is sponsoring the motion. We may not have an opportunity to question him if it is nearly 5:30 p.m. or if the bells call us to vote.

The clerk informs me that this would have little effect on our schedule in the next weeks before the end of the session.

That is my personal, very sincere opinion. I am replacing Mr. McKay, but I do not want to impose my point of view. Even so, because of the number of days we have left, we may well not be able to move forward the study that Mr. Amos is asking for in a meaningful way.

I am still open to your suggestion, Mr. Graham.

What do you think, Mr. Paul-Hus?

Mr. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, CPC):

I agree with you, Mr. Chair.

Mr. Johnson from PayPal has been waiting for an hour. Let us hear his presentation and take the time to ask our questions properly. Then we can adjourn.

Mr. Amos can appear at another time.

The Vice-Chair (Mr. Matthew Dubé):

Does anyone object to proceeding in that way?

It seems unnecessary to do otherwise.

Mr. David de Burgh Graham:

It depends when we will be able to come back.

A motion has been unanimously adopted by the House recommending that we undertake this study. I want to ensure that we come to grips with it as quickly as possible. This must not drag on for another month. We have already lost our time today.

That is why I suggest that Mr. Amos introduce his motion. That way, we can move on with the study.

The Vice-Chair (Mr. Matthew Dubé):

Once again, the clerk has informed me that there is no problem with the schedule. I have checked the information. Mr. Graham, that may reassure you about our ability to hear from Mr. Amos at another time. As Mr. Paul-Hus said, we have already kept our witness waiting.

We have an hour and a quarter, but, even if this witness's testimony takes only 45 minutes and Mr. Amos then appears, we still may run out of time or be called to vote. So I prefer to avoid that uncertainty, especially considering the ease with which we can invite an MP to another meeting. With most witnesses, we can rarely do that.

So let us continue the meeting.

(1620)

Mr. David de Burgh Graham:

Okay.

Let us begin; let us not waste any more time. [English]

The Vice-Chair (Mr. Matthew Dubé):

Thank you, colleagues.

I will now move to our witness. I want to thank Mr. Johnson for his patience. The procedural wrangling that goes on in this place does have that impact sometimes. Joining us by video conference, we have Brian Johnson, who is Senior Director for Information Security at PayPal.

You have 10 minutes, Mr. Johnson, for your opening statement. We'll take questions from the members, and we thank you for taking the time this afternoon.

Mr. Brian Johnson (Senior Director, Information Security, PayPal, Inc.):

Thank you very much. Good afternoon, Mr. Chairman and members of the committee.

Again, my name is Brian Johnson and I do serve as the Senior Director of Information Security at PayPal. I appreciate your giving us the opportunity to speak with you today and for making the time in your busy schedule.

I suspect you all know a bit about PayPal generally speaking, but allow me to add a bit of detail.

Founded in 1998, PayPal is a leading technology platform company that enables digital and mobile payments on behalf of more than 277 million consumers and merchants in more than 200 markets worldwide. We offer online and mobile merchant acquiring and money transfer services. PayPal is the most popular digital wallet in Canada.

We are based in San Jose, California, and our Canadian headquarters is in Toronto with offices in Vancouver. PayPal Canada was incorporated in 2006. We have more that 7.1 million customers including more than 250,000 small business customers in Canada.

Fuelled by a fundamental belief that having access to financial services creates opportunity, PayPal is committed to democratizing financial services and empowering people and businesses to join and thrive in the global economy. Our open digital payments platform gives PayPal's 277 million active account holders the confidence to connect and transact in new and powerful ways, whether they are online or on a mobile device. Through a combination of technological innovation and strategic partnerships, PayPal creates better ways to manage and move money, and offers choice and flexibility when sending payments, paying or getting paid.

We believe now is the time to reimagine money and to democratize financial services so that managing and moving money is a right for all citizens, not just the affluent. We believe that every person has a right to participate fully in the global economy. We have an obligation to empower people to exercise this right and improve their financial health. As a fintech pioneer and an established leader, we believe in providing simple, affordable, secure and reliable financial services and digital payments that enable the hopes, dreams and ambitions of millions of people around the world. We have a fundamental commitment to put our customers at the centre of everything we do.

Securing our customers and their data is central to our mission. For financial companies, data security is the main pillar. Through strong partnerships, strategic investments and a tireless commitment to protecting consumers, PayPal has resolved to be an industry leader in cybersecurity capabilities and to help make the Internet safer.

We have in our favour more than 20 years of experience in processing electronic transactions safely. PayPal has one of the most sophisticated fraud prevention engines in the world, which gets smarter with every transaction that goes through our system. With our advanced fraud monitoring technology, we detect and prevent attacks before they happen.

Security is in our DNA, and it's at the epicentre of all that we do at PayPal. We are the number one trusted brand of e-commerce and mobile commerce around the world. People trust PayPal because they know that we don't share customers' financial information with merchants, retailers or online sellers. Our robust security standards ensure that every part of a transaction is safe and secure.

At PayPal we believe we have a responsibility to help protect our users against harm. Privacy has always been one of our main concerns. Our customers trust us with their data. We take that trust very seriously. We collect only the data that's necessary to fulfill services that a customer requests, to improve product experiences and deliver relevant PayPal advertisements and to prevent fraud. We never sell or rent customer information.

It's commonly held among global law enforcement agencies that cybercrime and online methods of fraud are now more common than crimes committed in the offline and physical world. As the committee is certainly aware, over the last five years, the RCMP alone has observed an almost 50% increase in cybercrime reports from Canadians. I applaud the committee for aggressive action and for its support of Canada's national security strategy, by including significant funding for investments in cybersecurity as part of your commitment to safety and security. Building an innovative and adaptive cyber-ecosystem is a crucial step to being able to quickly scale and combat emerging threats to critical infrastructure, government, business and individuals' digital information.

To conclude, I would like to emphasize PayPal's commitment to cybersecurity and our willingness to work together with the Canadian government and industry.

Thank you again for the invitation to discuss these very relevant topics and to represent PayPay's strong position in support of consumer data protection and privacy.

(1625)



I'd be happy to answer any questions you may have.

The Vice-Chair (Mr. Matthew Dubé):

Great. Thank you so much, Mr. Johnson.

We will proceed to our question period. We will begin with Ms. Sahota, please, for seven minutes.

Ms. Ruby Sahota (Brampton North, Lib.):

Thank you, Mr. Johnson, for being here today.

Are there any differences in how you operate in Canada versus the U.S., or are you mainly based out of the U.S. and that's where all the information ends up when Canadians are using your service?

Mr. Brian Johnson:

[Inaudible—Editor] by PayPal customers are stored within U.S. data centres and localized data housing, so localization of data of Canadian customers is also contained within the U.S.-hosted facilities.

Ms. Ruby Sahota:

To clarify, there's no difference in how you operate when it comes to Canadian customers versus the American customers, right?

Mr. Brian Johnson:

Other than localization for currency or for other preferences that are localized, the data and information is stored the same as that of U.S.-based customers.

Ms. Ruby Sahota:

I'm very glad to hear that, because I would figure after operating for two decades—longer than other competitors in this realm have existed—you must have a lot of data stored up. It is good to hear that you don't sell the data that you have received. Thank you for providing us with that information.

However, I have seen that there have been several articles in just this recent month about PayPal. One is about paying hackers—I would assume they are white hat hackers—to try to protect the security of your system. Could I hear a little more about that, and how that's been working? Have you been doing that for a long period? Is this a recent trend, that you're paying hackers to hack your system? What advantages are you getting out of that?

Mr. Brian Johnson:

That's an excellent question, Ms. Sahota.

Our program is called bug bounty, and it's an industry-wide accepted method of using contracted support, basically using the industry of white hat hackers through a managed program. They're vetted so they're not allowed to just go rogue or attack systems without request and without knowledge. They're considered professional security researchers across industry, and many of them are professionals in other areas and use freelance time or side jobs at times to provide what's called bug bounty ethical hacking. It helps us to expose any concerns or vulnerabilities in systems that are not caught with internal tools and to instead catch those through bug bounty programs, which again are commonly used by many companies for the security researcher community to collaborate with us on those vulnerabilities.

Ms. Ruby Sahota:

Do you have contracts with these hackers?

Mr. Brian Johnson:

We contract with a group called Hackerone that provides the vetting process with them, and then through responsible disclosures, those vulnerabilities are reported to us to fix them before they're disclosed publicly, so we can resolve any of those vulnerabilities that they find.

Ms. Ruby Sahota:

If an issue was to occur where somebody was to breach the system or someone's privacy, where would the liability lie? Would it lie with PayPal?

Mr. Brian Johnson:

If there's a system breach, that's an unauthorized activity and it would be treated as malicious and illegitimate access as with any mal-intended attacker. We don't have bug bounty researchers perform attacks or breaches, and as part of the program policy, they're not allowed to access customer data nor to make any manipulation or changes of information. They're allowed to disclose vulnerabilities that are detected in the system and report those to us through the responsible disclosure program.

Ms. Ruby Sahota:

PayPal also uses an app for convenience for customers, correct?

(1630)

Mr. Brian Johnson:

An app for convenience? We do have a mobile app.

Ms. Ruby Sahota:

A mobile app, that's right.

Mr. Brian Johnson:

Correct, we do have mobile apps.

Ms. Ruby Sahota:

I have seen articles also just recently this month of actual accounts of people being defrauded, with up to $9,000 or so being taken out of their bank account, and it has been done because the app can be hacked. As a result, the vulnerability of the app is allowing access into people's bank accounts directly.

We heard from credit card companies that the information is never shared directly. People's bank information does not directly go to the credit card company, but it seems in this case, the bank information is being directly shared with PayPal and then if there's a vulnerability there, the hacker can access all the information.

How are you protecting against that?

Mr. Brian Johnson:

Media reports are not always accurate. To be technically accurate, the access of information within the PayPal account would only be through an authorized account holder or through their loss of credentials and device. If there's a loss of credentials by a consumer—let's say they have malware on their computer and their log-in credentials are stolen or lost through that—the access of their account through a malicious attempt would be caught by our fraud platform or risk systems to detect that. If it's not caught by some vulnerability, the only access into the PayPal account would be to PayPal balance, but not directly into the consumer's bank information. The bank information is stored in our system and not made visible, even after entered into the system by the consumer.

The only method they would have is of trying to extract data by using the PayPal system to process transactions. They might try to attempt fraud, but they wouldn't be able to get their bank account information through the platform.

Ms. Ruby Sahota:

That's interesting. The article warns people to check their bank accounts regularly and look for PayPal transactions that may not have been authorized.

When this occurs, how does the person recover? Do they recover from their bank? Are they able to recover from PayPal?

Mr. Brian Johnson:

We have buyer protection so if there are malicious or unintended transactions on a consumer account, we provide buyer liability and buyer protection for those fraudulent transactions and protect the consumer in that case.

I want to reiterate though that a malicious account access into a PayPal account is unlike a malicious access into any account. If online fraud occurs, we cover liability for the buyer, for the consumer, in that case. Our seller protection has other coverages to sell our merchants. The access to the PayPal account does not mean that the malicious actor necessarily has access to the bank account directly. They don't have access to credentials, nor to the bank account information, but only the linkage that we provide for the bank account as a funding instrument into the PayPal account.

Ms. Ruby Sahota:

Okay.

I used PayPal many years ago, but I stopped using after a while when I continued to get fraudulent emails telling me about certain transactions that were made. I have a final comment; it can lead to being very confusing for the user and, therefore, I steered away from it because I found I was receiving too many fake emails from PayPal.

The Vice-Chair (Mr. Matthew Dubé):

Unfortunately, we're going to have to leave it there.[Translation]

I now give the floor to Mr. Paul-Hus for seven minutes.

Mr. Pierre Paul-Hus:

Thank you, Mr. Chair.

Here is my first question.

Mr. Johnson, you mentioned that PayPal has existed since 1998. You have therefore been in existence since the beginnings of the Internet.

We know that cybersecurity issues have evolved in parallel with the Internet. Is PayPal able to follow that evolution and counter those threats? [English]

Mr. Brian Johnson:

Many of our staff in our information security organization are members of industry alliances that are helping to make the Internet more secure. We are absolutely in the research and development stages of many investments. Email phishing and anti-phishing working groups are other areas as well, as Ms. Sahota mentioned. The investments we make in email security, Internet security and browser security are at the forefront of our investments.

(1635)

[Translation]

Mr. Pierre Paul-Hus:

You also mentioned that people trust PayPal.

What measures have you undertaken to ensure that those who do business with PayPal do so with complete trust? [English]

Mr. Brian Johnson:

As I mentioned, our buyer protection programs provide liability coverage for any fraudulent activities that might happen on a consumer account. We also invest heavily into cybersecurity initiatives and our fraud-risk platforms. We have industry-leading metrics on how low our fraud numbers are in the sense that we protect and prevent a significant amount of fraud, and protect merchants and consumers on our platform at an excellent rate that we're very proud of. [Translation]

Mr. Pierre Paul-Hus:

Excellent.

Among the witnesses who have appeared before our committee for this study, we have had representatives from a number of banks, including the Toronto-Dominion Bank. One of its representatives informed us that cyber attacks against the bank come from a number of different countries.

Can you name the countries attacking PayPal's system? [English]

Mr. Brian Johnson:

Interestingly, foreign countries—you mention nation-state, and it's not information I'm at liberty to share, but related to private attackers or individuals who are online fraudsters who would attempt to attack websites happens on a regular basis. They're not centralized to any particular geographic region. There is, of course, a high distribution of cyber-attacks where their origin or their attribution to the country of origin is often difficult to trace, because a lot of countries participating in their infrastructure are allowing it to be hacked. As an example, attackers may originate from one country and use Internet services from another country to direct their attacks. Criminals use a multi-layered economy, and multiple parties are usually involved from different regions of each attack. [Translation]

Mr. Pierre Paul-Hus:

I understand the difference between an individual's country of origin and the country from which an attack comes, but my question was more about the countries than the individuals. Has PayPal been subject to attacks from states? [English]

Mr. Brian Johnson:

Not in particular. We have no singular concentration of countries that attack us as a company uniquely. [Translation]

Mr. Pierre Paul-Hus:

Okay, perfect.

Your company is based in the United States and deals with many different countries, all of which have different regulations. Given that we are studying this from a Canadian perspective, do Canadian laws and regulations have an effect on PayPal's activities? For example, are our privacy laws too restrictive or not restrictive enough? [English]

Mr. Brian Johnson:

It's an excellent question. The data protection and data privacy implications that Canada is proposing and has outlined as a framework are an excellent support for industry and businesses globally.

To answer the first part of your question about operating globally, we do have staff in many of our regions that have increased regulations. We gave a local presence in many countries, including Europe, with support for GDPR, and in regions in Singapore where we have support for our business in the APAC region. We do have localized staff and support for each of those regions, as well as in other areas in the world that support local regulations. We have a global workforce that encourages participation with local legislators and regulators. We work closely with examiners and regulators when there are data protection and data privacy laws to ensure that we not only support and accommodate those, but help to align with regulations that are evolving and help inform practical applications to those in a context that's suitable for a global economy. [Translation]

Mr. Pierre Paul-Hus:

In your opinion, are there aspects that Canada should improve? You have said that our country has strong laws, but do you still have recommendations for us on the legislative level?

(1640)

[English]

Mr. Brian Johnson:

By the way, on the announcement of the new digital charter, PayPal applauds Minister Bains and the Government of Canada for taking leadership on that important topic of data protection. We believe that this responsibility does help us to protect users against harm and support privacy laws. It's a great first step. It derives some principles. I believe the 10th principle, or the last one on that was to provide accountability and enforcement. More detail around that would be helpful.

Certainly, as Canada has not been the first mover of data privacy law, I think that's actually worked to your advantage because you've been able to learn from other regions and regulators about the right balance of privacy law. But in being specific with companies with respect to the digital privacy and regulations that you're encouraging, there will be a tough balance between the framework that you've provided and those guiding principles that help direct good behaviour and strong accountability. As well, the work with industry and private partnerships will help to build strong legislation that you can support in years to come. [Translation]

The Vice-Chair (Mr. Matthew Dubé):

Thank you very much.

We will now give the floor to Mr. Picard for seven minutes.

Mr. Michel Picard (Montarville, Lib.):

Mr. Chair, usually, you would also have the right to speak for seven minutes.

Under the circumstances, I propose allowing the Chair seven minutes so that he can ask questions on behalf of his party.

The Vice-Chair (Mr. Matthew Dubé):

You are very generous, thank you. [English]

Mr. Michel Picard:

I won't do that again.

Sir, I would like to look at your operation from a money-laundering standpoint. When I buy credit or I put money in my account, my first naive question is where does my money go?

Mr. Brian Johnson:

Where does your money go in a PayPal balance stream?

Mr. Michel Picard:

Yes.

Mr. Brian Johnson:

PayPal balances are backed by a number of U.S. banks, so we support depositing and safe investment and deposit of the account money. The first item was if you use credit. Was that a supporting comment, or what was the line there, before I answer?

Mr. Michel Picard:

When I buy a number of credit...and I put some money in my account for further purchases, my money then ends up in a bank supporting your transaction. Let's say I have $100 of whatever unit, or it might be just dollars, to buy stuff. Do you trace the origin of this transaction and where it comes from, whether credit card, bank account or stuff like that?

Mr. Brian Johnson:

Yes, I'm sorry. I understand your question now, Mr. Picard.

Yes. The origin of the money.... From an anti-money laundering, AML, perspective, we have an anti-money laundering department and a strong division and investment in detecting money-laundering activities. We treat those activities very seriously by tracing the money trail from the point of origin, funding source and the original deposit method, and we support law enforcement efforts in fighting any money-laundering operations or fraud schemes that are detected or reported on the platform.

Mr. Michel Picard:

You are supporting efforts during the investigation, but when you get the money from any credit card, at your level, I guess you accept the transaction as long as there is enough money at the point of origin. That means that if I have, for example, a prepaid credit card, and I want to put money in my balance, I put in mu credit card, you verify the balance, the money is there, you take it, and there's no more investigation, regardless of the origin. Whether this origin is criminal or not, you cannot verify that.

Mr. Brian Johnson:

We actually do validation of the data source or the money source at its origin, and in certain circumstances, prepaid has limits supplied on how much money we will allow to be deposited and what money can be withdrawn within a period of time or spent within certain websites. Our risk and fraud platforms do have very granular rules that detect certain financial instruments that are used based on the risk level. If there is an AML or a money-laundering method that we've written into our fraud patterns for that use case, like prepaid, as an example, we place limits and certain criteria to restrict losses and to minimize risk in that case.

(1645)

Mr. Michel Picard:

Do you have pattern analysis in terms of types of transactions?

Mr. Brian Johnson:

We do. We perform behavioural analysis, and we have some artificial intelligence methods running in our risk platforms that are learning and baselining behaviours and payment patterns across the platform.

Mr. Michel Picard:

Usually when money is in my balance, I cannot withdraw money as is. I have to buy something. Is that the case, or do I have exceptions where I can withdraw some money from my balance?

Mr. Brian Johnson:

We do provide methods of withdrawing money in certain regions of the world, depending on where the money was sourced, of course. It can be withdrawn through different methods. We have a partnership, as an example, with Walmart that allows for cash withdrawals. With Walgreens and with local retailers, we've opened partnerships that allow for deposit and withdrawal of cash in local currency. Through our integration with the Zoom platform, we also allow for global remittance or transfer across borders of different transactions and withdrawal of money through different methods at retailers as well. The money can also be deposited or withdrawn in cash by certain methods.

Mr. Michel Picard:

What is the maximum amount of money I can put in my balance in one transaction?

Mr. Brian Johnson:

I believe it depends on the risk rules. That's not my area of expertise, so I don't know the specifics, but there are limits depending on the age of the account, whether your account has been verified with identification and whether we've verified the account holder's history. There are other methods of raising that limit based on knowledge and know-your-customer indicators on trusting the account holder.

Mr. Michel Picard:

Do you have the obligation to declare to FINTRAC in Canada if there are patterns of transactions or deposits of more than $10,000?

Mr. Brian Johnson:

I'm not certain about that. I'm not in the fraud or AML department, but I know that we do report through FinCEN and other networks in the U.S. that I'm familiar with with respect to certain criteria. I'm not familiar with our reporting through the fraud pattern notification with Canada, though. We can certainly find out.

Mr. Michel Picard:

If I put money in my own account so I can, myself, withdraw my own money without your knowing whether I'm the same person doing the two transactions.... Let's say I take a prepaid card, or my money is in an account in a bank that is the same, under suspicion, because we do have some banks that are under suspicion.

Mr. Brian Johnson:

Sure.

Mr. Michel Picard:

I put money in my PayPal account. Two or three days after that, I withdraw my money. The only information you need to know to do this transaction is whether the account has the right log-in and password to get in, and the same thing to get the money out. There's no possibility to verify whether it's the same person. My colleague and I may work on the same account.

Mr. Brian Johnson:

We do verify device telemetry. We look for information about the device, the computer you're using, based on geolocation, on some other fraud detection patterns, to try to verify the authenticity of the user on the account. The account holder, of course, has to have the credentials to perform that payment or that transaction.

Mr. Michel Picard:

Another area—I don't have much time—is the nature of the attacks where you've been targeted.

What kind of evolution have you seen throughout the years, the level of sophistication of those attacks? What can you say about that?

Mr. Brian Johnson:

Generally speaking, the cyber-attack footprint has become much more complex and advanced. Cybercriminals have become much more of an economy unto themselves, and have layered their tools, their data, their methods of attack in a very sophisticated way, and in a very coordinated way in many cases.

Criminals are creating tools, and both executing and renting access to those tools. Distributed denial-of-service attacks, or DDoS attacks, have become much more significant and advanced over the years. The cyber-landscape in threats and emerging trends in that area have definitely become more complex, and have increased in scale dramatically in recent years.

Mr. Michel Picard:

Thank you.

The Vice-Chair (Mr. Matthew Dubé):

Colleagues, as you can see, we have bells. We require unanimous consent to continue. If we choose to do so, we must also decide for how much longer we will continue. I'm looking for guidance, based on the number of questions you may or may not have.

Mr. Graham.

Mr. David de Burgh Graham:

I say we go until the bells flash three times, which should give us five minutes to get upstairs.

The Vice-Chair (Mr. Matthew Dubé):

You're proposing that we go for 20 minutes?

Mr. David de Burgh Graham:

Twenty-two more minutes, yes.

An hon. member: Is that enough time?

Mr. David de Burgh Graham: It's five minutes to go up two floors in this building.

The Vice-Chair (Mr. Matthew Dubé):

Can we agree on two final five-minute rounds for each of the parties at the table right now? Is that okay?

Some hon. members: Agreed.

An hon. member: Do you want [Inaudible—Editor], Mr. Chair ?

The Chair: I'm good on my end, but I appreciate the generosity with the speaking time from your side.

Mr. Eglinski, please, for five minutes.

(1650)

Mr. Jim Eglinski (Yellowhead, CPC):

I'd like to thank the witness for being here.

Brian, I want to follow through with what Mr. Picard was stating.

You stated earlier in your evidence that the money put into the PayPal accounts goes into the United States. Is that true for all countries where you do transactions?

Mr. Brian Johnson:

I'm not certain on that, Mr. Eglinski.

I'd have to verify with our product team on where the money is deposited in back-end sources based on locale.

Mr. Jim Eglinski:

Let's deal with the Canadian customers.

Do all the funds from which we do transactions with you go into the United States, or is some of it done here in Canada?

Mr. Brian Johnson:

I'm sorry. I'm not sure which products have storage of data and balances in which accounts, so I can't answer that with clarity.

Mr. Jim Eglinski:

All right.

Is there a regulatory body in the United States that requires you to report breaches in your program? As you mentioned to Mr. Picard earlier, you have a program that will kick out if a transaction is made and a second transaction is withdrawn from a different locale.

Is that requirement for you? Do you report those to certain security agencies within the United States or Canada?

Mr. Brian Johnson:

We have a number of obligations to notify and notification obligations based on regulators across the globe. Again, those are regionally managed at the state level within the U.S., and at the regional level within each of the regulators.

We're governed by the CSSF in Europe, which is overseeing our European banking licence, and the MAS, which is the Monetary Authority of Singapore. We're governed in a number of other jurisdictions where we operate money remitter and payment service provider licences that we do in the United States and Canada.

Those obligations to notify vary based on the condition, but we do notify regulators of occurrences on whether they cross the threshold of notification for any data breach situation, or for any money-laundering operation or fraud scheme that we may detect on the platform. Those are notified through regulators as required.

Mr. Jim Eglinski:

Are you a member of the Canadian Cyber Threat Exchange?

Mr. Brian Johnson:

No, sir, we're not. We've discussed with the group, and our threat intelligence team has met with them before, but we're not currently members of the group.

Mr. Jim Eglinski:

Is there a reason for that?

Mr. Brian Johnson:

I believe there were other channels that superceded that—threat exchange platforms that are not specifically regional. The CCTX actually subscribes to some of the threat feeds that we're already members of. There are a number of threat exchanges that I believe they already exchange data through. We're not opposed to it, there just wasn't a need, as we've discussed with them, for any unique data exchange.

Mr. Jim Eglinski:

Okay, thank you.

I've been a member of PayPal, I think since about 2000, and have used it quite often over the years.

Mr. Brian Johnson:

Thank you for your business.

Mr. Jim Eglinski:

How much of my personal information, or other users', goes through your service? Where is that information stored? Is it all stored in the United States, or is it stored in individual countries?

Mr. Brian Johnson:

It's all stored in the United States. Personal information is all encrypted. We have extremely high-level encryption technologies at all levels of our infrastructure and technology stack. Personally identifiable information is not shared. Again, we don't sell or rent that data out to anyone, for marketing or any other purpose. It is housed and stays on PayPal's systems in the United States, in our data centres.

Mr. Jim Eglinski:

Have you been hacked?

Mr. Brian Johnson:

Have we been hacked? The direct answer is that we have not been breached. If you're asking if we've been breached in the sense of a customer-notifiable data breach event from PayPal, no. Properties, as you may be aware, of other adjacent companies that we've acquired over the years have reported cyber-incidents. We've had some vulnerabilities, and what would be classified as “hacks” noted in different products as an interface, but none of those have led to a massive breach, or a data loss at the extreme level that would require any notification.

Mr. Jim Eglinski:

You mentioned that all the data is stored in the United States. Is it stored in only one facility, or do you have a backup-type system?

(1655)

Mr. Brian Johnson:

We have multiple backups, yes. We're geographically distributed across high-availability data centre zones, so that we maintain resilience and disaster recovery capabilities across the platform.

Mr. Jim Eglinski:

Okay. Thank you. [Translation]

The Vice-Chair (Mr. Matthew Dubé):

Thank you, Mr. Eglinski.

We will now give the floor to Mr. Graham for the last five minutes. [English]

Mr. David de Burgh Graham:

I have a more lighthearted question to start with.

Do you know that at the bottom of the screen, it says, “SCF Superman”?

Mr. Brian Johnson:

Yes, it does. That's my conference room.

Voices: Oh, oh!

Mr. David de Burgh Graham:

Okay. I'm just wondering, because that's televised, so everyone is going to see that.

Mr. Brian Johnson:

Yes. That's a joke, so you're just fine.

Mr. David de Burgh Graham:

You mentioned that you don't trade data. Is there no interaction of any data, besides transaction data, between PayPal and any other company, for any reason? Would that be correct?

Mr. Brian Johnson:

We don't sell or rent data. There are certain fraud detection and other methods that we use. There are certainly integrations with merchants where we require certain data types. We don't sell or rent our customer data. The customer data footprint is not exchanged with third parties for marketing purposes, unless it's opted in on the PayPal platform by our customers.

Mr. David de Burgh Graham:

What data, besides transaction history data, does PayPal collect from its own customers, for some marketing purposes?

Mr. Brian Johnson:

I'm sorry, Mr. Graham, I'm not in the marketing department, so I'm not sure which data elements the marketing department uses. Again, we don't rent or sell that data outside of the platform. I'm not sure what we use onside of the platform, and into our platform, from a marketing perspective. Do you mean if they source other data, in other words, or data that's collected from PayPal customers?

Mr. David de Burgh Graham:

I'm just trying to get to the bottom of it. Mr. Picard and I just came out of three days of the grand committee on privacy, and we've discussed the avatars companies create, and this type of thing, so it's obviously top of mind for us and I'm trying to understand the level of information PayPal has on its users. Is it just: This person has sent this much money, and that's all we know about him, or is there a great deal more information retained by PayPal about their users?

Mr. Brian Johnson:

Certainly from a financial perspective, and in regard to some of the prior questions around any money-laundering detection and fraud prevention, we need to collect more data around transaction details, usage of the platform and device information, to comply with local law enforcement and regulators that require us to maintain knowledge of customers.

From a know-your-customer, KYC, perspective, the transaction history and the usage of certain customer computers and devices are bits of information we use to detect fraud. Those are, again, not used for marketing purposes. We wouldn't market you because you have connected a certain device type to us, if, for example, we use that for fraud prevention. Again, to my knowledge, that's not information we would have in our marketing team's purview, to expand on or share outside of that function.

Mr. David de Burgh Graham:

A couple of years ago, there was a lot of ink spilled over a class action lawsuit against PayPal for accepting donations to charities that weren't members of PayPal, and it was eventually referred to binding arbitration. By any chance, do you know the status of that suit?

Mr. Brian Johnson:

I don't. I recall reading about it, but I don't recall the status of that suit.

Mr. David de Burgh Graham:

Then it wouldn't be in your purview to discuss why PayPal would accept donations for clients they don't have.

Mr. Brian Johnson:

I'm not in that space; I'm in the cybersecurity space.

As I understood, though, it was one of those situations where, as we accept for charities, whether we validate that the charity is a valid one was a concern in that case. I don't recall if it was outside that scope, because it wasn't in my purview.

Mr. David de Burgh Graham:

In the time I have left, can you give us a bit of a taste of the evolution of PayPal cybersecurity?

You've been around since 1998, and an awful lot has changed in that time. Do you have some key moments that you'd like to tell us about?

Mr. Brian Johnson:

Certainly.

PayPal was part of eBay until just five years ago, and at that point, eBay had encountered some cyber-events. We were part of a program that learned from those. We've emerged into the leading digital payments platform that has evolved into a global leader in this space.

We've certainly invested a lot in knowing the industry partners and working with government and working with public and law enforcement agencies to make sure that we understand the climate of each of the regions that we do business in. We've invested quite a bit in our fraud platforms to understand more about what types of criminals are trying to defraud customers. Of course, we've remained true to protecting customers data and standing behind them with our buyer protection program and safe practices in protecting consumers in all those situations.

Mr. David de Burgh Graham:

Thank you for having come, because I know a lot of other companies in this sector haven't come to visit us. I really appreciate people taking the time to come and discuss these issues with us.

(1700)

Mr. Brian Johnson:

Thanks for inviting us.

The Vice-Chair (Mr. Matthew Dubé):

Thank you, and I will echo those sentiments.

Mr. Johnson, thank you very much, not only for your time but also for your patience, as we were a bit delayed in getting started.[Translation]

Thank you very much, colleagues.

Given the time and the fact that we have to go to vote, it serves no purpose for us to come back later. So I thank you for indulging me as Mr. McKay's temporary replacement, and add that our meeting is adjourned.

The meeting is adjourned.

Comité permanent de la sécurité publique et nationale

(1615)

[Français]

Le vice-président (M. Matthew Dubé (Beloeil—Chambly, NPD)):

Bonjour à tous. Nous allons commencer la réunion, maintenant que nous avons enfin des représentants et du gouvernement et de l'opposition.

Avant de passer la parole à notre témoin, qui va se joindre à nous par vidéoconférence, je voulais prendre un moment pour discuter du déroulement de la séance.

Compte tenu du fait que nous avons perdu du temps ainsi que de l'incertitude relative à l'horaire de cet après-midi en raison, notamment, de la possibilité qu'il y ait d'autres votes suivant les tractations procédurales à la Chambre, j'aimerais faire une suggestion.[Traduction]

Ce que je suggère, compte tenu du fait que nous avons encore du temps pour accommoder M. Amos au cours des séances restantes, et compte tenu de l'incertitude... Il est député et il se trouve souvent ici, alors il est plus facile de reporter son témoignage. Nous pourrions entendre le témoin, le questionner, puis, selon le temps qu'il nous reste, passer à autre chose et reporter le témoignage de M. Amos à un autre jour.[Français]

J'aimerais avoir l'avis des membres du Comité.

Nous allons commencer par M. Graham.

M. David de Burgh Graham (Laurentides—Labelle, Lib.):

M. Amos a l'intention de venir à la réunion de toute façon. Il s'est organisé pour se faire remplacer dans ses fonctions afin d'y être.

Je suggère que nous fassions tout le travail qu'il nous est possible de faire jusqu'à ce qu'il n'y ait plus de questions. S'il n'y a pas de vote à la Chambre, nous pourrions recevoir le représentant de PayPal pendant une période de 45 à 60 minutes, en fonction du nombre de questions, puis nous donnerions le temps à M. Amos de faire sa présentation à la fin.

Le vice-président (M. Matthew Dubé):

C'est une possibilité, mais le problème — et c'est ce qui me préoccupe —, c'est que M. Amos est le parrain de la motion. Il est possible que nous n'ayons aucune occasion de l'interroger s'il est près de 17 h 30 ou si les cloches sonnent pour nous appeler à aller voter.

Le greffier m'informe que cela aurait peu de conséquences sur notre horaire au cours des prochaines semaines jusqu'à la fin de la session.

Très sincèrement, c'est mon opinion personnelle. Je remplace M. McKay, mais je ne veux pas imposer mon point de vue. N'empêche que nous risquons de ne pas pouvoir faire avancer de façon substantielle l'étude demandée dans la motion de M. Amos, en raison du nombre de jours qui nous restent.

Je suis tout de même ouvert à votre suggestion, monsieur Graham.

Monsieur Paul-Hus, qu'en pensez-vous?

M. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, PCC):

Je suis d'accord avec vous, monsieur le président.

Écoutons la présentation de M. Johnson, de PayPal, qui attend depuis une heure. Donnons-nous du temps pour poser correctement nos questions et mettons fin ensuite à la séance.

Nous pourrons accueillir M. Amos une autre fois.

Le vice-président (M. Matthew Dubé):

Avez-vous des objections importantes à ce que nous procédions de cette façon?

Je ne crois pas qu'il soit nécessaire de faire autrement.

M. David de Burgh Graham:

Cela dépend du moment où nous serons en mesure d'y revenir.

Une motion a été adoptée à l'unanimité à la Chambre nous recommandant de faire cette étude. Je veux m'assurer que nous allons nous pencher là-dessus le plus vite possible. Il ne faudrait pas que cela traîne pendant un autre mois. Nous avons déjà a perdu la journée d'aujourd'hui.

C'est pourquoi je suggère que M. Amos fasse la présentation de sa motion. Comme cela, nous nous engagerions dans l'étude.

Le vice-président (M. Matthew Dubé):

Encore une fois, le greffier m'a informé du fait qu'il n'y avait aucun problème en ce qui a trait à l'horaire. J'ai validé l'information. Cela peut suffire à vous rassurer, monsieur Graham, en ce qui concerne notre capacité d'accueillir M. Amos à un autre moment. Comme l'a dit M. Paul-Hus, nous avons déjà fait attendre le témoin.

Nous disposons d'une heure et quart, mais, même si le témoignage de ce témoin ne prend que 45 minutes et que M. Amos comparaît par la suite, il est possible que nous manquions de temps ou que nous soyons appelés à aller voter. Je préfère donc ne pas vivre avec cette incertitude, surtout considérant la facilité avec laquelle nous pouvons inviter un député à une autre séance. Cela est rarement possible dans le cas d'autres témoins.

Nous allons donc poursuivre la séance.

(1620)

M. David de Burgh Graham:

D'accord.

Commençons, ne perdons pas plus de temps. [Traduction]

Le vice-président (M. Matthew Dubé):

Merci, chers collègues.

Je cède maintenant la parole à notre témoin. Je tiens à remercier M. Johnson de sa patience. Les querelles de procédures qui ont lieu à la Chambre ont parfois cet effet. Nous accueillons par vidéoconférence M. Brian Johnson, directeur principal de la sécurité de l'information à PayPal.

Monsieur Johnson, vous avez 10 minutes pour votre déclaration liminaire. Nous passerons ensuite aux questions des députés. Nous vous remercions d'avoir pris le temps d'être avec nous cet après-midi.

M. Brian Johnson (directeur principal, Sécurité de l'information, PayPal, Inc.):

Merci beaucoup. Bonjour, monsieur le président, et mesdames et messieurs les membres du Comité.

Encore une fois, je m'appelle Brian Johnson et je suis directeur principal de la sécurité de l'information à PayPal. Je vous suis reconnaissant de nous donner l'occasion de vous parler aujourd'hui et de prendre le temps malgré votre horaire chargé.

Je soupçonne que vous connaissez tous un peu PayPal en général, mais permettez-moi d'ajouter quelques détails.

Fondée en 1998, PayPal est une société de premier plan dans le domaine des plateformes technologiques qui facilitent les paiements numériques et mobiles pour le compte de plus de 277 millions de consommateurs et de commerçants dans plus de 200 marchés dans le monde. Nous offrons des services d'acquisition et de transfert d'argent en ligne et mobile pour les commerçants. PayPal est le portefeuille numérique le plus populaire au Canada.

Nous sommes basés à San Jose, en Californie, et notre siège social canadien est à Toronto, avec des bureaux à Vancouver. PayPal Canada a été incorporée en 2006. Nous comptons plus de 7,1 millions de clients, dont plus de 250 000 petites entreprises au Canada.

Animée par la conviction fondamentale que l'accès aux services financiers crée des possibilités, PayPal s'engage à démocratiser les services financiers et à donner aux personnes et aux entreprises les moyens de s'intégrer et de prospérer dans l'économie mondiale. Notre plateforme ouverte de paiements numériques donne aux 277 millions de titulaires de comptes actifs de PayPal la confiance nécessaire pour se connecter et effectuer des transactions d'une manière nouvelle et puissante, qu'ils soient en ligne ou sur un appareil mobile. Grâce à une combinaison d'innovations technologiques et de partenariats stratégiques, PayPal crée de meilleures façons de gérer et de transférer de l'argent et offre choix et flexibilité lors de l'envoi de paiements, de paiement ou d'encaissement.

Nous croyons que le moment est venu de réimaginer l'argent et de démocratiser les services financiers afin que la gestion et le transfert d'argent soient un droit pour tous les citoyens, pas seulement pour les riches. Nous croyons que chaque personne a le droit de participer pleinement à l'économie mondiale. Nous avons l'obligation de donner aux gens les moyens d'exercer ce droit et d'améliorer leur santé financière. En tant que pionnier de la technologie financière et chef de file établi, nous croyons en la fourniture de services financiers et de paiements numériques simples, abordables, sûrs et fiables qui permettent à des millions de personnes dans le monde de réaliser leurs espoirs, leurs rêves et leurs ambitions. Nous avons l'engagement fondamental de placer nos clients au centre de tout ce que nous faisons.

Sécuriser nos clients et leurs données sont au cœur de notre mission. Pour les sociétés financières, la sécurité des données est le pilier principal. Grâce à des partenariats solides, des investissements stratégiques et un engagement inlassable à protéger les consommateurs, PayPal s'est promis d'être un chef de file de l'industrie en matière de cybersécurité et de contribuer à rendre Internet plus sûr.

Nous avons en notre faveur plus de 20 ans d'expérience dans le traitement sécurisé des transactions électroniques. PayPal possède l'un des moteurs de prévention de la fraude les plus sophistiqués au monde, qui devient plus intelligent à chaque transaction qui passe par notre système. Grâce à notre technologie avancée de surveillance de la fraude, nous détectons et prévenons les attaques avant qu'elles ne se produisent.

La sécurité est dans notre ADN, et c'est l'épicentre de tout ce que nous faisons à PayPal. Nous sommes la première marque de confiance en matière de commerce électronique et de commerce mobile dans le monde. Les gens font confiance à PayPal parce qu'ils savent que nous ne communiquons pas les informations financières des clients aux commerçants, aux détaillants ou aux vendeurs en ligne. Nos normes de sécurité rigoureuses garantissent que chaque partie d'une transaction est sûre et sécurisée.

À PayPal, nous croyons que nous avons la responsabilité d'aider à protéger nos utilisateurs contre les méfaits. La protection de la vie privée a toujours été l'une de nos principales préoccupations. Nos clients nous confient leurs données. Nous prenons cette confiance très au sérieux. Nous ne recueillons que les données nécessaires à l'exécution des services demandés par un client, à l'amélioration de l'expérience des produits et à la diffusion de publicité PayPal pertinente et à la prévention de la fraude. Nous ne vendons ni ne louons jamais d'information sur nos clients.

Il est communément admis par les organismes mondiaux d'application de la loi que la cybercriminalité et les méthodes de fraude en ligne sont maintenant plus courantes que les crimes commis dans le monde physique et hors ligne. Comme le Comité le sait certainement, au cours des cinq dernières années, la GRC à elle seule a observé une augmentation de près de 50 % des signalements de cybercriminalité par les Canadiens. Je félicite le Comité d'avoir pris des mesures énergiques et d'avoir appuyé la stratégie de sécurité nationale du Canada, en prévoyant des fonds importants pour investir dans la cybersécurité dans le cadre de votre engagement à l'égard de la sûreté et la sécurité. La création d'un cyberécosystème novateur et adaptatif est une étape cruciale pour être en mesure d'évaluer et de combattre rapidement les nouvelles menaces qui pèsent sur les infrastructures essentielles, le gouvernement, les entreprises et l'information numérique des particuliers.

En conclusion, j'aimerais souligner l'engagement de PayPal à l'égard de la cybersécurité et notre volonté de collaborer avec le gouvernement et l'industrie canadienne.

Merci encore de m'avoir invité à discuter de ces sujets très pertinents et de présenter la position ferme de PayPal en faveur de la protection des données et de la vie privée des consommateurs.

(1625)



Je serai heureux de répondre à vos questions.

Le vice-président (M. Matthew Dubé):

Super. Merci beaucoup, monsieur Johnson.

Nous allons passer aux questions. Nous allons commencer par Mme Sahota. Vous avez sept minutes.

Mme Ruby Sahota (Brampton-Nord, Lib.):

Merci, monsieur Johnson, d'être parmi nous aujourd'hui.

Y a-t-il des différences dans votre façon de fonctionner au Canada par rapport aux États-Unis, ou êtes-vous principalement basé aux États-Unis et c'est là que toute l'information se retrouve lorsque les Canadiens utilisent votre service?

M. Brian Johnson:

[Inaudible] les clients de PayPal sont stockés dans des centres de données américains et dans des centres d'hébergement de données localisés, de sorte que les données des clients canadiens sont également localisées dans les installations hébergées aux États-Unis.

Mme Ruby Sahota:

Pour plus de précision, il n'y a pas de différence dans la façon dont vous fonctionnez quand il s'agit de clients canadiens par rapport aux clients américains, n'est-ce pas?

M. Brian Johnson:

Outre la localisation pour la devise ou d'autres préférences localisées, les données et les informations sont stockées de la même manière que celles des clients basés aux États-Unis.

Mme Ruby Sahota:

Je suis très heureuse d'entendre cela, parce que je me disais qu'après deux décennies d'exploitation — plus longtemps que d'autres concurrents dans ce domaine — vous devez avoir beaucoup de données en mémoire. Il est bon d'entendre que vous ne vendez pas les données que vous avez reçues. Merci de nous avoir fourni cette information.

Toutefois, j'ai vu qu'il y a eu plusieurs articles sur PayPal au cours des derniers mois. L'un portait sur les pirates informatiques — je suppose qu'il s'agit de pirates éthiques — payés pour essayer de protéger la sécurité de votre système. Pourrais-je en savoir un peu plus à ce sujet, et comment cela fonctionne-t-il? Faites-vous cela depuis longtemps? Le paiement de pirates pour pirater votre système est-il une tendance récente? Quels avantages en tirez-vous?

M. Brian Johnson:

C'est une excellente question, madame Sahota.

Notre programme s'appelle Bug Bounty, et c'est une méthode acceptée à l'échelle de l'industrie qui consiste à utiliser des contractuels, essentiellement des chapeaux blancs dans le cadre d'un programme géré. Les chapeaux blancs sont contrôlés pour éviter qu'ils agissent de façon indésirable ou qu'ils attaquent des systèmes sans que la demande n'ait été faite et sans que les responsables ne soient mis au courant. Ces personnes sont considérées comme des chercheurs professionnels en sécurité dans toute l'industrie, et bon nombre d'entre eux sont spécialisés dans d'autres domaines et utilisent leur temps libre pour travailler à la pige ou à des emplois secondaires pour fournir ce qu'on appelle le piratage éthique de la chasse aux bogues. Cela nous aide à exposer des problèmes ou des vulnérabilités dans les systèmes qui ne sont pas détectés par des outils internes mais qui sont recensés grâce aux programmes de chasse aux bogues, qui, encore une fois, sont couramment utilisés par de nombreuses entreprises pour que la communauté des chercheurs en sécurité puisse collaborer avec nous sur ces vulnérabilités.

Mme Ruby Sahota:

Avez-vous des contrats avec ces pirates?

M. Brian Johnson:

Nous établissons des contrats avec un groupe qui s'appelle Hackerone, lequel offre un service de filtrage et, grâce à la divulgation responsable, les vulnérabilités nous sont signalées afin que nous puissions y remédier avant qu'elles ne soient rendues publiques, ainsi nous réglons les vulnérabilités qu'ils nous présentent.

Mme Ruby Sahota:

Advenant que quelqu'un viole le système ou la vie privée de quelqu'un, qui serait responsable? Est-ce que PayPal en assumerait la responsabilité?

M. Brian Johnson:

S'il y avait une brèche dans le système, cela dénoterait une activité non autorisée et serait traitée comme un accès malveillant et illégitime comme pour tout autre cas de piratage mal intentionné. Nous ne demandons pas aux chapeaux blancs qui font la chasse aux bogues de mener des attaques ou des violations de système, et dans le cadre de notre politique, ils n'ont pas le droit d'accéder aux données des clients ni de faire des manipulations ou d'apporter des changements à l'information. Ces chercheurs peuvent divulguer les vulnérabilités qu'ils détectent dans le système et nous en faire rapport grâce au programme de divulgation responsable.

Mme Ruby Sahota:

PayPal utilise également une application pour faciliter la tâche des clients, est-ce exact?

(1630)

M. Brian Johnson:

Une application pour des raisons de commodité? Nous avons en fait une application mobile.

Mme Ruby Sahota:

Une application mobile, oui c'est exact.

M. Brian Johnson:

Effectivement, nous offrons des applications mobiles.

Mme Ruby Sahota:

J'ai également vu des articles tout récemment, ce mois-ci, à propos de gens dont les comptes en banque avaient fait l'objet de fraudes allant jusqu'à 9 000 $, et cela s'est produit parce que les applications peuvent être piratées. Par conséquent, la vulnérabilité de l'application permet aux pirates d'accéder directement aux comptes de banque des clients.

Des compagnies de cartes de crédit nous ont dit que cette information n'est jamais divulguée directement. Les renseignements bancaires ne sont jamais directement divulgués aux compagnies de cartes de crédit, mais il semblerait que, dans ce cas-ci, l'information bancaire est communiquée directement à PayPal, de sorte que s'il y a une vulnérabilité dans le système, les pirates peuvent accéder à toute l'information.

Que faites-vous pour vous protéger contre ces violations?

M. Brian Johnson:

Les articles médiatiques ne sont pas toujours exacts. Pour être techniquement exact, l'accès à l'information des comptes PayPal ne peut se faire que par l'entremise d'un détenteur de compte autorisé ou lorsque les gens perdent leurs pièces d'identité ou leur appareil. Si un client perd ses pièces d'identité — disons qu'un maliciel se trouve sur leur ordinateur et que leurs identifiants de connexion sont volés ou perdus — l'accès à leur compte lors d'une tentative de piratage serait intercepté par notre plateforme antifraude ou notre système de détection des risques. Si une vulnérabilité quelconque ne permet pas de déceler la fraude, le seul accès dans le compte PayPal pourrait se faire par le solde PayPal, mais le pirate n'aurait pas directement accès à l'information bancaire du client. L'information bancaire est stockée dans nos systèmes et n'est pas rendue visible, même après avoir été entrée dans le système par le client.

Tout ce que le pirate pourrait faire, c'est d'essayer d'extraire des données en utilisant le système PayPal pour procéder à des transactions. Le pirate pourrait essayer de commettre des fraudes, mais il ne serait pas en mesure d'obtenir de l'information sur un compte de banque par l'entremise de cette plateforme.

Mme Ruby Sahota:

C'est intéressant. L'article conseille aux gens de vérifier régulièrement leurs comptes bancaires et d'examiner les transactions PayPal pour déceler celles qui n'auraient pas été autorisées.

Lorsque cela se produit, vers qui peut se tourner le client? Doit-il demander d'être remboursé auprès de sa banque? Ou bien est-il remboursé par PayPal?

M. Brian Johnson:

Nous offrons de la protection aux acheteurs de sorte que s'il y a des transactions malveillantes ou non voulues à partir du compte d'un consommateur, nous offrons une protection à l'acheteur en matière de responsabilité pour les transactions frauduleuses de manière à protéger le consommateur.

J'aimerais toutefois rappeler qu'un accès malveillant à un compte PayPal est tout à fait différent d'un accès malveillant dans un autre compte. Si une fraude en ligne a lieu, nous assumons la responsabilité pour l'acheteur, pour le consommateur, dans ce cas. La protection que nous offrons au vendeur comprend d'autres types de couvertures pour les marchands qui vendent en passant par nous. Le fait d'avoir accès au compte PayPal ne signifie pas que le pirate aura nécessairement accès directement au compte de banque. Les pirates n'ont pas accès aux identifiants ni à l'information du compte bancaire, ils ont uniquement accès aux liens que nous fournissons pour le compte de banque à titre d'instrument de financement pour le compte PayPal.

Mme Ruby Sahota:

Très bien.

Je me suis servie de PayPal il y a de nombreuses années, mais j'ai arrêté de m'en servir après un moment, car je recevais continuellement des courriels frauduleux m'avisant de certaines transactions qui auraient été faites. J'ai une dernière observation; ces courriels peuvent prêter à confusion pour l'utilisateur. C'est pour cette raison que j'ai cessé d'utiliser le service, parce que je trouvais que je recevais trop de courriels frauduleux soi-disant en provenance de PayPayl.

Le vice-président (M. Matthew Dubé):

Malheureusement, nous allons devoir nous arrêter là.[Français]

Nous cédons la parole à M. Paul-Hus pour sept minutes.

M. Pierre Paul-Hus:

Merci, monsieur le président.

Voici ma première question.

Monsieur Johnson, vous avez mentionné que PayPal était une organisation qui existait depuis 1998. Vous êtes donc présents depuis les débuts d'Internet.

On sait que les problèmes de cybersécurité sont venus avec l'évolution d'Internet. L'entreprise PayPal est-elle en mesure de suivre cette évolution et de s'ajuster afin de contrer les menaces? [Traduction]

M. Brian Johnson:

Un grand nombre de nos employés qui s'occupent de la sécurité de l'information sont membres d'alliances sectorielles qui travaillent sur le renforcement de la sécurité Internet. Nous procédons à de nombreux investissements et nous en sommes à l'étape de la recherche et du développement. Le hameçonnage et l'anti-hameçonnage sont d'autres domaines de travail également, comme l'a dit Mme Sahota. Certains de nos plus importants investissements se font dans le domaine de la sécurité des courriels, la sécurité d'Internet et la sécurité des fureteurs.

(1635)

[Français]

M. Pierre Paul-Hus:

Vous avez également mentionné que les gens faisaient confiance à PayPal.

Quels moyens prenez-vous pour faire en sorte que les gens qui font affaire avec PayPal lui fassent pleinement confiance? [Traduction]

M. Brian Johnson:

Comme je l'ai dit, nos programmes de protection du consommateur incluent une protection contre toute fraude impliquant un compte client. Nous investissons aussi énormément dans des initiatives de cybersécurité et nos plateformes antifraude et de détection des risques. Nous avons des indicateurs de premier plan dans l'industrie qui montrent que notre taux de fraude est très faible, c'est-à-dire que nous offrons une bonne protection et évitons un grand nombre de fraudes, et notre indice de protection des marchands et des consommateurs utilisant notre plateforme est très élevé, ce dont nous sommes très fiers. [Français]

M. Pierre Paul-Hus:

Excellent.

Parmi les témoins que nous avons rencontrés lors de notre étude, il y a eu les représentants de différentes banques, dont la Banque Toronto-Dominion. L'un de ses représentants nous a dit que la banque subissait des cyberattaques provenant de différents pays.

Êtes-vous en mesure de nommer les pays qui attaquent le système de PayPal? [Traduction]

M. Brian Johnson:

Je ne suis pas en mesure de divulguer d'information sur les pays étrangers — vous avez parlé de nations-États —, mais les attaques par des particuliers en ligne contre des sites Web sont très fréquentes. Ces fraudeurs ne sont pas concentrés dans une région géographique particulière. Bien entendu, une forte proportion des cyberattaques sont difficiles à attribuer à un pays en particulier, puisque l'origine de ces cyberattaques est difficile à retracer. En effet, un grand nombre de pays participant à l'infrastructure permettent qu'elle soit piratée. Par exemple, le pirate peut se trouver dans un pays, mais utiliser les services Internet d'un autre pays pour mener son attaque. Les criminels exploitent une économie à multiples niveaux, et diverses parties y sont impliquées dans diverses régions. [Français]

M. Pierre Paul-Hus:

Je comprends la nuance entre le pays d'origine d'un individu et le pays à partir duquel provient une attaque, mais ma question visait plus l'État que l'individu. Est-ce que PayPal subit des attaques provenant d'États? [Traduction]

M. Brian Johnson:

Pas particulièrement. Nous ne connaissons pas de concentration de pays qui nous attaquent comme entreprise uniquement. [Français]

M. Pierre Paul-Hus:

D'accord, c'est parfait.

Votre entreprise se trouve aux États-Unis et elle fait affaire dans plusieurs pays qui ont chacun une réglementation différente. Puisque nous étudions la perspective canadienne, est-ce que la réglementation ou les lois canadiennes ont une incidence sur les activités de PayPal? Est-ce que nos lois sont trop ou pas assez restrictives en matière de protection de la vie privée, par exemple? [Traduction]

M. Brian Johnson:

C'est une excellente question. Les effets sur la protection des données et la protection des renseignements personnels de ce que le Canada propose et qu'il a défini comme cadre constituent un excellent soutien pour l'industrie et les entreprises du monde entier.

Pour répondre à la première partie de votre question au sujet de nos activités à l'échelle mondiale, nous avons du personnel dans bon nombre de régions qui ont resserré la réglementation. Nous sommes présents dans de nombreux pays, y compris en Europe, où nous avons du personnel de soutien pour le Règlement général sur la protection des données, et dans la région de Singapour, où nous avons du personnel de soutien pour nos activités dans la région Asie-Pacifique. Nous disposons de personnel et d'un soutien local pour chacune de ces régions, ainsi que dans d'autres régions du monde pour ce qui concerne la réglementation locale. Nous avons une main-d'œuvre mondiale, nous avons des effectifs partout dans le monde qui encouragent la participation avec les législateurs et les organismes de réglementation locaux. Nous travaillons en étroite collaboration avec les examinateurs et les organismes de réglementation lorsqu'il existe des lois sur la protection des données et la protection des renseignements personnels, afin de nous assurer non seulement de les appliquer et de nous y adapter, mais aussi de bien nous conformer aux règlements qui évoluent et de guider leurs applications pratiques dans un contexte qui convient à une économie mondiale. [Français]

M. Pierre Paul-Hus:

Selon vous, est-ce qu'il y a des éléments que le Canada devrait améliorer? Vous avez dit que notre pays avait des lois fortes, mais avez-vous quand même des recommandations à nous faire sur le plan législatif?

(1640)

[Traduction]

M. Brian Johnson:

Soit dit en passant, à propos de l'annonce de la nouvelle charte numérique, PayPal tient à féliciter le ministre Bains et le gouvernement du Canada d'avoir pris les devants dans ce dossier important qu'est la protection des données. Nous croyons que cette responsabilité nous aide à protéger les utilisateurs contre les menaces ou préjudices et à soutenir les lois sur la protection de la vie privée. C'est un bon premier pas. Cela repose sur certains principes. Je crois que le 10e principe, ou tout du moins le dernier, était celui de la reddition de comptes et de l'application de la loi. Il serait utile d'avoir plus de détails à ce sujet.

Le Canada a bénéficié du fait de ne pas avoir été le premier pays à adopter une loi sur la protection des renseignements personnels et il a pu ainsi apprendre des autres régions et organismes de réglementation et voir qu'il existe un juste équilibre en matière de protection des renseignements personnels. Mais en ce qui concerne précisément la protection des renseignements numériques et les règlements que vous encouragez les entreprises à adopter, il faudra établir un équilibre délicat entre le cadre que vous avez élaboré et les principes directeurs qui aideront à orienter la bonne conduite et un bon régime de reddition de comptes. De plus, il faut travailler avec l'industrie et des partenaires privés pour pouvoir élaborer des lois solides que vous pourrez appuyer dans les années à venir. [Français]

Le vice-président (M. Matthew Dubé):

Merci beaucoup.

Nous passons maintenant la parole à M. Picard pour sept minutes.

M. Michel Picard (Montarville, Lib.):

Monsieur le président, normalement, vous auriez vous aussi droit à un temps de parole de sept minutes.

Dans les circonstances, je propose d'allouer sept minutes au président pour qu'il puisse poser ses questions au nom de son parti.

Le vice-président (M. Matthew Dubé):

Vous êtes très généreux, merci. [Traduction]

M. Michel Picard:

Je ne le ferai plus.

Monsieur, j'aimerais examiner vos activités du point de vue du blanchiment d'argent. Lorsque j'achète des crédits ou que je mets de l'argent dans mon compte, ma première question naïve est: où va mon argent?

M. Brian Johnson:

Où va votre argent dans le système de soldes PayPal?

M. Michel Picard:

Oui.

M. Brian Johnson:

Les soldes PayPal sont garantis par un certain nombre de banques américaines, de sorte que nous permettons le dépôt et le placement en toute sécurité, ainsi que le dépôt de l'argent dans le compte. Le premier élément concernait l'utilisation des crédits. Est-ce que c'était un commentaire d'appui, ou quelle était votre idée avant que je vous réponde?

M. Michel Picard:

Lorsque j'achète un certain nombre de crédits... et que je mets de l'argent dans mon compte pour d'autres achats, mon argent se retrouve dans une banque qui garantit votre transaction. Admettons que j'ai 100 $ dans n'importe quelle devise, ou cela pourrait être simplement des dollars, et que je veuille acheter quelque chose. Retracez-vous l'origine de la transaction pour voir d'où elle vient, s'il s'agit d'une carte de crédit, d'un compte bancaire ou d'une autre chose de ce genre?

M. Brian Johnson:

Oui, je suis désolé. Je comprends maintenant votre question, monsieur Picard.

Oui. L'origine de l'argent... Du point de vue de la lutte contre le blanchiment d'argent, nous avons un service de lutte contre le blanchiment d'argent et nous avons beaucoup investi dans la détection de ce genre d'activité. Nous prenons cela très au sérieux et retraçons tout le circuit que suit l'argent, depuis son origine, sa source de financement ainsi que la méthode de dépôt originale, et nous appuyons les efforts des forces de l'ordre dans la lutte contre toute opération de blanchiment d'argent ou de fraude qui serait détectée ou déclarée sur la plateforme.

M. Michel Picard:

Vous appuyez les efforts déployés pendant l'enquête, mais lorsque vous obtenez l'argent de quelque carte de crédit que ce soit, à votre niveau, je suppose que vous acceptez la transaction tant qu'il y a suffisamment d'argent à la source. Cela signifie que si j'ai, par exemple, une carte de crédit prépayée, et que je veux mettre de l'argent dans mon solde, j'utilise ma carte de crédit, vous vérifiez le solde, l'argent est là, vous le prenez, et il n'y a plus d'enquête, peu importe son origine. Que cette origine soit criminelle ou non, vous ne pouvez pas le vérifier.

M. Brian Johnson:

Nous validons effectivement la source de données ou la source de l'argent à son origine, et dans certaines circonstances, les cartes prépayées ont des limites quant au montant d'argent que nous autorisons à déposer, au montant d'argent qui peut être retiré dans une période de temps donné ou encore au montant qui peut être dépensé sur certains sites Web. Les plateformes antifraude et de détection des risques sont assorties de règles très granulaires qui détectent certains instruments financiers utilisés en fonction du niveau de risque. S'il existe une méthode de lutte contre le blanchiment d'argent ou une méthode de blanchiment d'argent que nous avons inscrite dans nos modèles de fraude pour ce cas d'utilisation, comme le prépayé, par exemple, nous imposons des limites et certains critères pour limiter les pertes et minimiser les risques dans ce cas-là.

(1645)

M. Michel Picard:

Avez-vous une analyse de modèles pour les types de transactions?

M. Brian Johnson:

Oui. Nous effectuons des analyses comportementales et nous disposons de certaines méthodes d'intelligence artificielle qui sont intégrées à nos plateformes de détection des risques. Il s'agit d'un modèle d'apprentissage et de comparaison de comportement et des habitudes de paiement à l'échelle de la plateforme.

M. Michel Picard:

Habituellement, lorsque j'ai de l'argent dans mon compte, je ne peux pas retirer de l'argent tel quel. Je dois acheter quelque chose. Est-ce le cas, ou y a-t-il des exceptions qui me permettent de retirer de l'argent de mon solde?

M. Brian Johnson:

Nous offrons des méthodes de retrait d'argent dans certaines régions du monde, selon l'endroit d'où vient l'argent, bien entendu. Il peut être retiré de différentes façons. Nous avons un partenariat, par exemple, avec Walmart qui permet le retrait d'argent comptant. Avec Walgreens et les détaillants locaux, nous avons établi des partenariats qui permettent le dépôt et le retrait d'espèces en monnaie locale. Grâce à notre intégration à la plateforme Zoom, nous permettons également le transfert international de fonds ou le transfert transfrontalier de différentes transactions et le retrait d'argent chez les détaillants, et ce, de différentes façons. L'argent peut également être déposé ou retiré en espèces au moyen de certaines méthodes.

M. Michel Picard:

Quel est le montant maximal d'argent qui peut être déposé dans mon solde en une seule transaction?

M. Brian Johnson:

Je crois que cela dépend des règles de risque. Ce n'est pas mon domaine d'expertise, donc je ne connais pas tous les détails, mais il y a des limites selon l'ancienneté du compte, et d'autres limites, à savoir si votre compte a été vérifié avec identification et si nous avons vérifié l'historique du titulaire du compte. Il existe d'autres méthodes qui nous permettent d'augmenter cette limite. Nous nous fondons sur les indicateurs de savoir et de connaissance du client qui nous permettent d'établir un lien de confiance avec le titulaire de compte.

M. Michel Picard:

Avez-vous l'obligation de déclarer au CANAFE au Canada s'il y a des transactions ou des dépôts de plus de 10 000 $?

M. Brian Johnson:

Je n'en suis pas certain. Je ne travaille pas dans le domaine de la fraude ou de la lutte contre le blanchiment d'argent, mais je sais que nous faisons rapport concernant certains critères par l'intermédiaire du FinCEN et d'autres réseaux aux États-Unis, des réseaux que je connais. Toutefois, je ne connais pas notre façon de signaler les fraudes au Canada. Je peux certainement me renseigner à ce sujet.

M. Michel Picard:

Si je mets de l'argent dans mon propre compte pour que je puisse moi-même retirer mon argent, vous ne pouvez pas savoir si je suis la même personne qui effectue les deux transactions... Si, par exemple, je prends une carte prépayée, ou que mon argent est dans un compte de banque, toujours à la même banque, et que cette banque est soupçonnée, puisque c'est le cas pour certaines banques.

M. Brian Johnson:

D'accord.

M. Michel Picard:

Je mets de l'argent sur mon compte PayPal. Deux ou trois jours plus tard, je retire mon argent. La seule chose que vous devez savoir pour effectuer cette transaction est si le compte a été ouvert avec le bon nom d'utilisateur et le bon mot de passe, idem pour le retrait d'argent. Il n'y a donc rien qui vous permette de vérifier si c'est la même personne qui effectue les deux transactions. Mon collègue et moi pourrions utiliser le même compte.

M. Brian Johnson:

Nous vérifions la télémétrie de l'appareil. Nous recueillons des renseignements sur l'appareil, l'ordinateur que vous utilisez. Nous appuyons sur la géolocalisation et sur d'autres modèles de détection des fraudes pour tenter de vérifier l'authenticité de l'utilisation du compte. Le titulaire du compte, bien sûr, doit avoir le justificatif d'identité nécessaire pour effectuer ce paiement ou cette transaction.

M. Michel Picard:

Il ne me reste pas beaucoup de temps de parole. J'ai une question portant sur la nature des attaques que vous ciblez.

Quel progrès avez-vous remarqué au fil du temps quant à la complexité de ces attaques? Pouvez-vous nous en parler?

M. Brian Johnson:

De manière générale, l'empreinte des cyberattaques est devenue beaucoup plus complexe et à la fine pointe de la technologie. Les cybercriminels représentent une économie à part entière et ont superposé leurs outils, leurs données et leurs méthodes d'attaque de façon très sophistiquée, et dans bien des cas, très coordonnée.

Les criminels créent des outils, puis ils les utilisent ou en louent l'accès. Les attaques par déni de services distribués, ou attaques DDOS, sont devenues plus importantes et avancées au fil du temps. Le paysage cybernétique des menaces et les tendances émergentes dans ce domaine sont certainement devenus plus complexes et se sont considérablement élargis au cours des dernières années.

M. Michel Picard:

Merci.

Le vice-président (M. Matthew Dubé):

Chers collègues, comme vous pouvez le constater, les cloches sonnent. Nous avons besoin du consentement unanime du Comité pour poursuivre la séance. Le cas échéant, nous devons également nous entendre sur la durée du reste de la séance. Nous pourrons prendre cette décision à la lumière du nombre de questions qu'il vous reste à poser à notre témoin.

Monsieur Graham.

M. David de Burgh Graham:

Je propose de rester jusqu'à ce que les cloches sonnent trois fois d'affilée. On aurait alors cinq minutes pour monter à l'étage.

Le vice-président (M. Matthew Dubé):

Vous proposez donc de prolonger la séance encore 20 minutes?

M. David de Burgh Graham:

Oui, encore 22 minutes.

Un député: Cela nous donnera suffisamment de temps?

M. David de Burgh Graham: Cela nous donnera cinq minutes pour monter deux étages dans le même édifice.

Le vice-président (M. Matthew Dubé):

Tout le monde est d'accord pour deux tours de questions de cinq minutes pour chacun des partis présents? Cela vous convient?

Des députés: Oui.

Un député: Voulez-vous [Inaudible], monsieur le président?

Le président: Cela me convient, merci de votre générosité.

Monsieur Eglinski, vous disposez de cinq minutes.

(1650)

M. Jim Eglinski (Yellowhead, PCC):

J'aimerais d'abord remercier le témoin de sa présence.

Monsieur Johnson, j'aimerais poursuivre dans la même veine d'idée que M. Picard.

Vous nous disiez plus tôt dans votre témoignage que l'argent déposé dans le compte PayPal va aux États-Unis. Est-ce vrai pour tous les pays où vous effectuez des transactions?

M. Brian Johnson:

Je n'en suis pas certain, monsieur Eglinski.

Je vais devoir vérifier auprès de notre équipe de production où l'argent est déposé dans des sources finales selon l'endroit.

M. Jim Eglinski:

Concentrons-nous sur les clients canadiens.

Est-ce que tous les fonds à partir desquels nous faisons des transactions avec vous vont aux États-Unis, ou est-ce qu'une partie de ces fonds se trouve ici, au Canada?

M. Brian Johnson:

Désolé. Je ne suis pas certain des produits qui permettent de stocker des données et renferment des soldes de comptes, ce qui m'empêche de répondre clairement à cette question.

M. Jim Eglinski:

D'accord.

Existe-t-il un organisme de réglementation aux États-Unis qui exige que vous signaliez les intrusions dans votre programme? Comme vous l'avez indiqué tout à l'heure à M. Picard, vous avez un programme qui se déclenchera si une transaction est effectuée et qu'une deuxième transaction donne lieu à un retrait d'un emplacement différent.

S'agit-il d'une exigence pour vous? Signalez-vous ces situations à certaines agences de sécurité aux États-Unis ou au Canada?

M. Brian Johnson:

Nous avons un certain nombre d'obligations de notification imposées par des organismes de réglementation dans le monde. Encore une fois, ils sont gérés à l'échelon régional au niveau des États, aux États-Unis, et au niveau régional par chacun des organismes de réglementation.

Nous sommes régis par la Commission de surveillance du secteur financier en Europe, qui administre notre permis bancaire européen, et la MAS, ou administration monétaire de Singapour. Nous sommes aussi régis dans un certain nombre d'autres pays où nous exploitons des permis pour des services de remise de fonds et de paiements que nous effectuons aux États-Unis et au Canada.

Les obligations de notification varient selon les situations, mais nous informons les organismes de réglementation des cas d'atteinte à la protection des données pour lesquels le seuil de notification a été franchi, ou de toute opération de blanchiment d'argent ou de fraude que nous pouvons détecter sur la plateforme. Ces cas sont signalés par l'entremise des organismes de réglementation comme on l'exige.

M. Jim Eglinski:

Êtes-vous membre de l'Échange canadien de menaces cybernétiques?

M. Brian Johnson:

Non, monsieur, ce n'est pas le cas. Nous avons discuté avec ce groupe et notre équipe du renseignement sur les menaces l'a déjà rencontré, mais nous n'en sommes pas membres pour le moment.

M. Jim Eglinski:

Y a-t-il une raison à cela?

M. Brian Johnson:

Je crois qu'il y avait d'autres canaux qui remplaçaient cela — des plateformes d'échanges de menaces qui ne sont pas expressément régionales. L'Échange canadien de menaces cybernétiques suit en fait certaines des sources d'information sur les menaces dont nous sommes déjà membres. Je crois qu'ils échangent déjà des données sur les menaces par l'entremise d'un certain nombre de plateformes. Nous ne nous y opposons pas, mais, comme nous en avons discuté avec eux, il n'était tout simplement pas nécessaire d'avoir une seule et unique plateforme d'échange de données.

M. Jim Eglinski:

D'accord, merci.

Je suis membre de PayPal depuis environ 2000, je crois, et je l'ai utilisé assez souvent au cours des dernières années.

M. Brian Johnson:

Merci de faire affaire avec nous.

M. Jim Eglinski:

Quelle quantité de mes renseignements personnels ou de ceux d'autres utilisateurs transite par votre service? Où ces renseignements sont-ils stockés? Sont-ils tous stockés aux États-Unis ou dans d'autres pays?

M. Brian Johnson:

Tout est stocké aux États-Unis. Les renseignements personnels sont tous chiffrés. Nous disposons de technologies de chiffrement de très haut niveau à tous les échelons de notre infrastructure technologique. Nous ne communiquons aucun renseignement personnel permettant d'identifier une personne. Encore une fois, nous ne vendons ni ne louons ces données à qui que ce soit à des fins de marketing ou à toute autre fin. Ils sont stockés et demeurent dans les systèmes de PayPal aux États-Unis, dans nos centres d'information.

M. Jim Eglinski:

Avez-vous été piratés?

M. Brian Johnson:

Avons-nous été piratés? Pour répondre directement, nous n'avons pas fait l'objet d'intrusion. Si vous faites référence à une intrusion relative à une situation de PayPal devant être signalée à un client, non. Comme vous le savez peut-être, d'autres sociétés que nous avons acquises au fil des ans ont signalé des incidents cybernétiques. Nous avons mis à jour certaines vulnérabilités, qui pourraient être considérées comme « piratage » dans certains produits servant d'interface, mais rien n'a entraîné d'atteinte massive ou de perte de données suffisamment grave pour qu'elle justifie d'être signalée.

M. Jim Eglinski:

Vous avez indiqué que toutes les données sont stockées aux États-Unis. Sont-elles stockées dans un seul centre ou avez-vous quelque chose comme un système de sauvegarde?

(1655)

M. Brian Johnson:

Nous effectuons plusieurs sauvegardes, en effet. Nous sommes géographiquement répartis sur des zones de centres de données à haute disponibilité, afin de maintenir notre résilience et nos capacités de reprise après sinistre sur l'ensemble de la plateforme.

M. Jim Eglinski:

D'accord. Merci. [Français]

Le vice-président (M. Matthew Dubé):

Merci, monsieur Eglinski.

Nous passons maintenant la parole à M. Graham pour les cinq dernières minutes. [Traduction]

M. David de Burgh Graham:

J'ai une question à vous poser sur une note un peu plus légère.

Savez-vous qu'au bas de l'écran, on peut lire l'inscription: « SCF Superman »?

M. Brian Johnson:

Oui, en effet. C'est le nom de ma salle de conférence.

Des voix: Oh, oh!

M. David de Burgh Graham:

D'accord. Je me posais la question parce qu'il s'agit d'une séance télévisée et que tout le monde peut le voir.

M. Brian Johnson:

Oui. C'est une blague, donc pas de problème.

M. David de Burgh Graham:

Vous avez indiqué que vous ne faisiez pas le commerce de données. N'y a-t-il donc aucune interaction de quelques données que ce soit, à part les données relatives aux transactions, entre PayPal et d'autres sociétés, pour quelques motifs que ce soit? Cela est-il correct?

M. Brian Johnson:

Nous ne vendons ni ne louons de données. Nous employons certaines méthodes de détection de la fraude et autres. Il y a certainement des intégrations avec les commerçants quand nous avons besoin de certains types de données. Nous ne vendons ni ne louons les données de nos clients. L'empreinte des données-clients n'est pas transmise à des tiers à des fins de marketing, sauf si nos clients l'ont acceptée sur la plateforme PayPal.

M. David de Burgh Graham:

Outre les données de l'historique de transactions, quelles données PayPal collecte-t-elle auprès de ses propres clients à des fins de marketing?

M. Brian Johnson:

Désolé, monsieur Graham, je ne suis pas dans le service marketing et ne suis donc pas certain des éléments de données qu'utilise ce service. Une fois encore, nous ne louons ni ne vendons ces données à l'extérieur de la plateforme. Je ne suis pas certain de ce que nous utilisons à l'intérieur de la plateforme d'un point de vue marketing. Voulez-vous savoir s'ils obtiennent d'autres données, en d'autres termes, ou si d'autres données sont collectées auprès des clients de PayPal?

M. David de Burgh Graham:

J'essaie juste d'aller au fond des choses. M. Picard et moi venons tout juste de terminer trois jours de travaux du grand comité sur la protection de la vie privée, et nous avons discuté des avatars créés par les entreprises et de ce genre de choses, alors c'est évidemment frais en mémoire et j'essaie de comprendre le niveau d'information que PayPal a sur ses utilisateurs. Est-ce exact de dire: cette personne a envoyé un certain montant d'argent, et c'est tout ce que nous savons à son sujet, ou y a-t-il beaucoup plus d'information conservée par PayPal sur ses utilisateurs?

M. Brian Johnson:

Certes, d'un point de vue financier, et en ce qui concerne certaines des questions précédentes relatives à la détection du blanchiment d'argent et à la prévention de la fraude, nous devons recueillir davantage de données sur les détails des transactions, l'utilisation de la plateforme et les informations relatives aux dispositifs électroniques, afin de nous conformer aux exigences des forces de l'ordre et des régulateurs locaux qui nous obligent à colliger certains renseignements au sujet des clients.

Du point de vue de la connaissance du client, l'historique des transactions et l'utilisation de certains ordinateurs et appareils des clients sont des éléments d'information que nous utilisons pour détecter la fraude. Encore une fois, ils ne sont pas utilisés à des fins de marketing. Nous ne vous commercialiserions pas parce que vous vous êtes connecté avec un certain type d'appareil, si, par exemple, nous utilisons ces renseignements pour prévenir la fraude. Encore une fois, à ma connaissance, l'équipe de marketing n'aurait pas accès à ce genre de renseignement, elle ne pourrait s'en servir en dehors de cette fonction.

M. David de Burgh Graham:

Il y a quelques années, beaucoup d'encre a coulé au sujet d'un recours collectif contre PayPal pour avoir accepté des dons à des organismes de bienfaisance qui n'étaient pas membres de PayPal, qui a finalement été soumis à un arbitrage exécutoire. Par hasard, connaissez-vous l'état d'avancement de cette poursuite?

M. Brian Johnson:

Non. Je me souviens d'avoir lu à ce sujet, mais je ne me souviens pas de l'état d'avancement de cette poursuite.

M. David de Burgh Graham:

Vous ne pouvez donc pas nous dire pourquoi PayPal accepte des dons de clients qui ne sont pas les siens.

M. Brian Johnson:

En effet, moi, mon domaine, c'est la cybersécurité.

Si j'ai bien compris, cependant, il s'agissait d'une situation comme celle d'un organisme de charité dont la légitimité est remise en question. Je ne me souviens pas si c'était bien là la question, parce que cela ne relève pas de moi.

M. David de Burgh Graham:

Dans le temps qu'il me reste, pouvez-vous nous donner un aperçu de l'évolution de la cybersécurité à PayPal?

Vous y êtes depuis 1998, et la situation a énormément changé depuis. Y a-t-il eu des moments clés que vous pouvez nous décrire?

M. Brian Johnson:

Certainement.

PayPal faisait partie d'eBay jusqu'à il y a cinq ans. Pendant cette période, il y avait eu des cyberincidents à eBay. Dans le cadre de notre programme, nous avons tiré des enseignements de ces expériences. Nous sommes devenus un chef de file mondial des plateformes de paiements numériques.

Nous avons beaucoup investi pour bien connaître nos partenaires du secteur, et pour collaborer avec les gouvernements, le public et les organismes d'application de la loi pour bien comprendre l'environnement de chacune des régions où nous sommes présents. Nous avons aussi investi dans nos plateformes antifraude pour mieux comprendre les criminels qui tentent de frauder nos clients. Et, bien sûr, nous continuons de protéger les données des consommateurs avec nos pratiques exemplaires et notre programme de protection des acheteurs qui protège les consommateurs dans toutes les situations.

M. David de Burgh Graham:

Merci beaucoup d'avoir témoigné. Bien d'autres entreprises de votre secteur ont refusé de le faire. Je vous sais gré d'avoir pris le temps de venir discuter de ces questions avec nous.

(1700)

M. Brian Johnson:

Merci de nous avoir invités.

Le vice-président (M. Matthew Dubé):

Merci, et je fais écho à cette observation.

Monsieur Johnson, merci beaucoup, non seulement de nous avoir accordé votre temps, mais d'avoir été patient puisque nous avons commencé en retard.[Français]

Chers collègues, merci beaucoup.

Étant donné l'heure et le fait que nous devons aller voter, il ne sert à rien de revenir plus tard. Je vais donc vous remercier de votre indulgence à mon égard pendant le remplacement temporaire de M. McKay et j'ajoute que notre réunion est ajournée.

La séance est levée.

Hansard Hansard

Posted at 15:44 on May 29, 2019

This entry has been archived. Comments can no longer be posted.

2019-05-29 ETHI 155 | committee hansard secu | 2019-05-30 INDU 165

(RSS) Website generating code and content © 2001-2020 David Graham <david@davidgraham.ca>, unless otherwise noted. All rights reserved. Comments are © their respective authors.