This is a single
speech (committee meeting) resource
from the openparliament.ca API. If you’re new here, you might want to look at the documentation. If API and JSON are gibberish to you, you’re better off at our main site.
This is a single
speech (committee meeting) resource
from the openparliament.ca API. If you’re new here, you might want to look at the documentation. If API and JSON are gibberish to you, you’re better off at our main site.
{
"time": "2017-03-21 16:35:00",
"attribution": {
"en": "Professor Colin Bennett (Professor, Department of Political Science, University of Victoria, As an Individual)",
"fr": "M. Colin Bennett (professeur, Secteur des sciences politiques, University of Victoria, \u00e0 titre personnel)"
},
"content": {
"en": "<p data-HoCid=\"4816087\" data-originallang=\"en\"> Thank you, Mr. Chair.</p>\n<p data-HoCid=\"4816088\" data-originallang=\"en\">Thank you for the opportunity to appear before you again.</p>\n<p data-HoCid=\"4816089\" data-originallang=\"en\">I am a professor of political science at the University of Victoria, and I'm generally known for my comparative work on privacy governance in both the public and the private sectors.</p>\n<p data-HoCid=\"4816090\" data-originallang=\"en\">I understand that you would like to know a bit more about the European regulation and its impact on Canada, so that's what I want to principally talk about, and perhaps suggest how it should or should not influence our deliberations here about PIPEDA. Then I will suggest three areas where there are some glaring divergencies between what we do in Canada and what the Europeans are proposing.</p>\n<p data-HoCid=\"4816091\" data-originallang=\"en\">When the general data protection regulation comes into force across the entire EU in 2018, it will be the most comprehensive set of data protection requirements in the world, and it will, in large measure, set the standards for the protection of personal data in global electronic commerce and cloud computing. For countries like Canada, it contains important extraterritorial implications that we need to consider very carefully.</p>\n<p data-HoCid=\"4816092\" data-originallang=\"en\">Under the former directive, as you know, Canada was awarded an \u201cadequacy status\u201d, meaning that businesses could legally process personal data on European citizens without further contractual mechanisms. The EU did not consider Canada, as a jurisdiction, adequate, just those organizations that were subject to PIPEDA. Nevertheless, the adequacy status provided some significant practical benefits to Canadian companies. More importantly, it sent a symbolic message that Canada was a safe jurisdiction within which personal data could be processed. That issue, of course, assumes a more critical importance in the context of CETA, which will presumably increase trade and therefore the volume of consumer and employee data that flows across the Atlantic to Canada.</p>\n<p data-HoCid=\"4816093\" data-originallang=\"en\">To this date, only 11 jurisdictions have been awarded this adequacy status under the European directive, and Canada is by far the biggest economy within that number. For the United States, adequacy is granted only to those companies that have self-certified under the new EU-U.S. privacy shield arrangement. Under the general data protection regulation, the adequacy mechanism will continue and the countries that have been awarded that status will continue to enjoy its benefits for the time being. The EU Commission envisages a mechanism of periodic review at least every four years, so presumably we can expect an evaluation of the Canadian assessment by 2021, but there is no guarantee that the benefits of that status will continue. Furthermore, there are lots of other countries that are likely to want to get in line. The difference between 2001 and now is that now there are something like 100 countries around the world that have data protection legislation sort of on the European model.</p>\n<p data-HoCid=\"4816094\" data-originallang=\"en\">In October 2015, there was a decision by the European Court of Justice in the so-called Schrems case, which was about Facebook, that invalidated the former EU-U.S. safe harbor agreement and that has changed the politics of adequacy assessment in a number of ways. There are three points to note.</p>\n<p data-HoCid=\"4816095\" data-originallang=\"en\">First, an existing adequacy determination does not absolve a European privacy protection authority from investigating a complaint against a company residing in another jurisdiction. Adequacy is not, and probably never was, a get-out-of-jail-free card. Canadian companies are as vulnerable as others to challenge in the EU.</p>\n<p data-HoCid=\"4816096\" data-originallang=\"en\">Second\u2014and more recently since the Snowden revelations\u2014the entire question of access to business data by security and intelligence services is now prominent in any adequacy determination. In 2013, the European Parliament's Committee on Civil Liberties, Justice and Home Affairs called for a review of Canada's privacy regime in light of our participation in the Five Eyes alliance, so this whole question is now part of the assessment process. Those concerns also need to be considered in light of the assurances by the American government in the EU-U.S. privacy shield that access to personal data by U.S. law enforcement and national security agencies will be subject to clear limitations, safeguards, and oversight mechanisms, although that will be reviewed and it is the subject of ongoing litigation in Europe at the moment.</p>\n<p data-HoCid=\"4816097\" data-originallang=\"en\"> Thirdly, the European court raised the bar for adequacy assessments to have what is called an \u201cessential equivalence\u201d. We do not have any clear signals yet on what that means. It's rather like revising for an exam without knowing what the grading standards are. What aspects of privacy protection are going to be considered essential? There are some new things in the general data protection regulation that did not appear in the directive and are not really prominent in PIPEDA either. Are they going to be part of the test that includes? My colleagues have talked about the right to be forgotten. There's a right to data portability in the regulation, which I could talk about. There is the right to object to decisions made on automated processing. There is privacy by design and privacy by default. Which are essential principles, and which are methods of enforcement and implementation?</p>\n<p data-HoCid=\"4816098\" data-originallang=\"en\">At the moment, the adequacy requirements in the regulation are quite vague. They have to be applied consistently, and I would suspect that the EU is not going to insist on legal reforms in other countries that either are unrealistic politically or that will obviously pose constitutional problems for some jurisdictions, especially the United States. In light of that, I think we should be reluctant to revise PIPEDA just because the Europeans want us to. In any case, there is unhelpful rhetoric about this regulation being kind of the gold standard for privacy protection around the world. It is a mix of different provisions, some of which have been imported from countries like Canada. We should modernize PIPEDA because it needs modernization, not because it will satisfy a vague and shifting set of standards imposed from Brussels. We should take note of what the Europeans have done and draw lessons. I suspect that serious efforts to update and amend PIPEDA will not go unnoticed on the other side of the Atlantic. On the other hand, I would suspect that leaving the law as it stands will send the wrong message. </p>\n<p data-HoCid=\"4816099\" data-originallang=\"en\">With that in mind, in conclusion, I'd just like to draw your attention to three broad areas, in which, I think, there are the most glaring divergencies between what we do in PIPEDA and what the European regulation says.</p>\n<p data-HoCid=\"4816100\" data-originallang=\"en\">Firstly\u2014and I'm going to skip over this, because my colleagues have talked about it\u2014are the enforcement powers of the Privacy Commissioner. Under the general data protection regulation, data protection agents are empowered to levy some really significant administrative fines against companies\u2014up to 20 million euros or 4% of annual turnover. I would not suggest that we go that far. Fines do capture the intention like no other sanction does, but in general, having reflected on this, I think at the very least, the Privacy Commissioner should be given powers equivalent to those available to the B.C. Information and Privacy Commissioner under our private sector legislation.</p>\n<p data-HoCid=\"4816101\" data-originallang=\"en\">Secondly, we need to ensure that the Privacy Commissioner has all the tools in the privacy toolbox. At the moment, PIPEDA is written in a very reactive way. The statute is written as if the entirety of this work is devoted to complaints investigation and resolution. As David Fraser said, there are provisions in PIPEDA that have not really been actively used over the years. I believe that the most effective functions are more proactive and they involve a variety of other instruments. As personal consent becomes far more difficult to obtain in this era of big data analytics, I think organizations are going to have to rely on these other tools. The general data protection regulation and many other contemporary privacy protection laws recognize the importance of these other policy instruments in effective enforcement implementation and say that organizations must stand ready to demonstrate their compliance by using such mechanisms\u2014things like codes of practice, privacy seals, privacy standards, privacy impact assessments, and so on. The regulation tries to incentivize good privacy practices, and I believe that PIPEDA should try to do the same thing.</p>\n<p data-HoCid=\"4816102\" data-originallang=\"en\">So I would like to see a more explicit recognition in section 24 of PIPEDA that the commissioner may encourage these kinds of tools and, in some cases, require the adoption of those accountability mechanisms by Canadian companies and their trade associations. In particular, there is privacy by design and privacy by default. </p>\n<p data-HoCid=\"4816103\" data-originallang=\"en\">The general data protection regulation says that organizations, should, as far as possible, ensure that, by default, the only personal data processed are those necessary for each specific purpose of the processing. It goes on; it's complex. What it tries to do, therefore, is to ensure that privacy protection will become an integral part of the technological development and organizational structure of any new product and service, and to the extent that organizations do not do that, they are then subject to heightened sanctions if there are investigations. </p>",
"fr": "<p data-HoCid=\"4816087\" data-originallang=\"en\">Merci, monsieur le pr\u00e9sident.</p>\n<p data-HoCid=\"4816088\" data-originallang=\"en\">Merci de me donner l'occasion de compara\u00eetre \u00e0 nouveau devant vous.</p>\n<p data-HoCid=\"4816089\" data-originallang=\"en\">Je suis un professeur de sciences politiques \u00e0 l'Universit\u00e9 de Victoria, et je suis connu pour les travaux comparatifs que je fais sur la gouvernance en mati\u00e8re de protection de la vie priv\u00e9e dans les secteurs public et priv\u00e9.</p>\n<p data-HoCid=\"4816090\" data-originallang=\"en\">Je sais que vous aimeriez en savoir un peu plus sur la r\u00e9glementation europ\u00e9enne et sur son incidence sur le Canada, alors c'est ce que je veux surtout aborder. Je vais peut-\u00eatre aussi parler de la fa\u00e7on dont cette r\u00e9glementation devrait influer ou non sur nos d\u00e9lib\u00e9rations sur la LPRPDE. Je vais aussi mentionner trois secteurs o\u00f9 il y a des divergences flagrantes entre ce que nous faisons au Canada et ce que les Europ\u00e9ens proposent.</p>\n<p data-HoCid=\"4816091\" data-originallang=\"en\">Lorsque le r\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es entrera en vigueur dans l'ensemble des pays de l'Union europ\u00e9enne en 2018, ce sera les exigences en mati\u00e8re de protection des donn\u00e9es les plus exhaustives au monde qui, dans une grande mesure, \u00e9tabliront les normes relatives \u00e0 la protection des renseignements personnels dans l'univers mondial du commerce \u00e9lectronique et de l'informatique en nuage. Pour des pays comme le Canada, ce r\u00e8glement aura des r\u00e9percussions extraterritoriales qu'il faudra examiner attentivement.</p>\n<p data-HoCid=\"4816092\" data-originallang=\"en\">En vertu de la ligne directrice ant\u00e9rieure, comme vous le savez, le Canada a \u00e9t\u00e9 jug\u00e9 conforme aux normes europ\u00e9ennes, c'est-\u00e0-dire que les entreprises pouvaient traiter l\u00e9galement les donn\u00e9es personnelles des citoyens europ\u00e9ens sans m\u00e9canismes contractuels. L'Union europ\u00e9enne n'estimait pas que le Canada se conformait \u00e0 ses normes et consid\u00e9rait seulement les organismes assujettis \u00e0 la LPRPDE comme ayant le caract\u00e8re ad\u00e9quat. N\u00e9anmoins, le caract\u00e8re ad\u00e9quat offrait des avantages pratiques importants aux entreprises canadiennes. Plus important encore, il transmettait le message symbolique selon lequel le Canada \u00e9tait un pays s\u00e9curitaire o\u00f9 les donn\u00e9es personnelles pouvaient \u00eatre trait\u00e9es. Cette question rev\u00eat bien entendu une plus grande importance dans le cadre de l'AECG, qui accro\u00eetra probablement les \u00e9changes commerciaux et les quantit\u00e9s de donn\u00e9es personnelles des consommateurs et des employ\u00e9s qui sont transmises au Canada.</p>\n<p data-HoCid=\"4816093\" data-originallang=\"en\">Jusqu'\u00e0 pr\u00e9sent, seulement 11 pays ont \u00e9t\u00e9 jug\u00e9s comme \u00e9tant conformes aux normes europ\u00e9ennes, et le Canada est de loin l'\u00e9conomie la plus importante parmi eux. Pour les \u00c9tats-Unis, le caract\u00e8re ad\u00e9quat est accord\u00e9 seulement aux entreprises qui se sont autocertifi\u00e9es en vertu du nouveau bouclier de protection entre l'Union europ\u00e9enne et les \u00c9tats-Unis. Conform\u00e9ment au r\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es, le caract\u00e8re ad\u00e9quat sera maintenu, et les pays qui auront re\u00e7u ce statut continueront de tirer parti des avantages qu'il offre. La Commission europ\u00e9enne envisage d'adopter un m\u00e9canisme d'examens p\u00e9riodiques tous les quatre ans. Nous pouvons donc nous attendre \u00e0 ce qu'une \u00e9valuation canadienne soit men\u00e9e d'ici 2021, mais il n'y a aucune garantie que ce statut continuera d'offrir ces avantages. De plus, il y a de nombreux autres pays qui veulent probablement obtenir le statut. La diff\u00e9rence entre la situation en 2001 et maintenant, c'est qu'il y a pr\u00e8s d'une centaine de pays dans le monde qui ont des lois sur la protection des donn\u00e9es qui s'apparentent au mod\u00e8le europ\u00e9en.</p>\n<p data-HoCid=\"4816094\" data-originallang=\"en\">En octobre 2015, la Cour europ\u00e9enne de justice a rendu une d\u00e9cision dans l'affaire Schrems portant sur Facebook, qui a invalid\u00e9 l'accord Safe Harbor entre l'Union europ\u00e9enne et les \u00c9tats-Unis et qui a chang\u00e9 les politiques sur l'\u00e9valuation du caract\u00e8re ad\u00e9quat de bien des fa\u00e7ons. Il y a trois points \u00e0 souligner.</p>\n<p data-HoCid=\"4816095\" data-originallang=\"en\">Premi\u00e8rement, une d\u00e9cision existante relative au caract\u00e8re ad\u00e9quat ne soustrait pas une autorit\u00e9 europ\u00e9enne de protection des renseignements personnels \u00e0 la responsabilit\u00e9 de mener une enqu\u00eate sur une plainte d\u00e9pos\u00e9e contre une entreprise situ\u00e9e dans un autre pays. Le caract\u00e8re ad\u00e9quat n'est pas, et n'a probablement jamais \u00e9t\u00e9, une \u00e9chappatoire. Les entreprises canadiennes sont aussi vuln\u00e9rables que d'autres de faire l'objet de poursuites dans l'Union europ\u00e9enne.</p>\n<p data-HoCid=\"4816096\" data-originallang=\"en\">Deuxi\u00e8mement \u2014 et plus r\u00e9cemment depuis les r\u00e9v\u00e9lations de Snowden \u2014, toute la question de l'acc\u00e8s aux donn\u00e9es des entreprises par les services de s\u00e9curit\u00e9 et du renseignement est maintenant tr\u00e8s importante pour d\u00e9terminer le caract\u00e8re ad\u00e9quat d'une entit\u00e9. En 2013, la Commission des libert\u00e9s civiles, de la justice et des affaires int\u00e9rieures du Parlement europ\u00e9en a r\u00e9clam\u00e9 la tenue d'un examen du r\u00e9gime de protection des renseignements personnels du Canada, \u00e0 la lumi\u00e8re de notre participation au Groupe des cinq. Cette question fait donc maintenant partie du processus d'\u00e9valuation. Ces pr\u00e9occupations doivent \u00e9galement \u00eatre examin\u00e9es \u00e0 la lumi\u00e8re des garanties fournies par le gouvernement am\u00e9ricain dans le cadre du bouclier de protection entre l'Union europ\u00e9enne et les \u00c9tats-Unis selon lesquelles l'acc\u00e8s aux donn\u00e9es personnelles par les organismes am\u00e9ricains d'application de la loi et de s\u00e9curit\u00e9 nationale sera assujetti \u00e0 des restrictions et \u00e0 des mesures de protection et de surveillance, m\u00eame si elles seront pass\u00e9es en revue et font l'objet d'un litige en Europe actuellement.</p>\n<p data-HoCid=\"4816097\" data-originallang=\"en\">Troisi\u00e8mement, la Cour europ\u00e9enne a relev\u00e9 la barre pour les \u00e9valuations du caract\u00e8re ad\u00e9quat pour avoir ce que l'on appelle l'\u00ab \u00e9quivalence essentielle \u00bb. Nous n'avons pas d'indications claires quant \u00e0 savoir ce que cela signifie. C'est un peu comme r\u00e9viser pour un examen sans conna\u00eetre les normes de notation. Quels aspects de la protection des renseignements personnels seront consid\u00e9r\u00e9s comme \u00e9tant essentiels? Il y a de nouveaux \u00e9l\u00e9ments dans le r\u00e8glement sur la protection des renseignements personnels qui ne figuraient pas dans la directive et qui ne sont pas tr\u00e8s importants dans la LPRPDE non plus. Feront-ils partie du crit\u00e8re? Mes coll\u00e8gues ont discut\u00e9 du droit \u00e0 l'oubli. Il y a un droit relatif \u00e0 la portabilit\u00e9 des donn\u00e9es pr\u00e9vu dans le r\u00e8glement, ce dont je pourrais parler. Il y a le droit de contester des d\u00e9cisions prises concernant le traitement automatis\u00e9. Il y a la protection de la vie priv\u00e9e d\u00e8s la conception et la protection par d\u00e9faut. Quels sont les principes essentiels et quelles sont les m\u00e9thodes d'application de la loi et de mise en oeuvre?</p>\n<p data-HoCid=\"4816098\" data-originallang=\"en\">Pour l'instant, les exigences relatives au caract\u00e8re ad\u00e9quat pr\u00e9vues dans le r\u00e8glement sont tr\u00e8s vagues. Elles doivent \u00eatre appliqu\u00e9es avec coh\u00e9rence, et je pr\u00e9sume que l'Union europ\u00e9enne n'insistera pas pour que d'autres pays, surtout les \u00c9tats-Unis, proc\u00e8dent \u00e0 des r\u00e9formes juridiques qui sont irr\u00e9alistes sur le plan politique ou qui pr\u00e9senteront des probl\u00e8mes constitutionnels. Ainsi donc, je pense que nous devrions h\u00e9siter \u00e0 r\u00e9viser la LPRPDE pour la simple raison que les Europ\u00e9ens veulent que nous le fassions. Quoi qu'il en soit, il y a des propos inutiles qui sont tenus selon lesquels ce r\u00e8glement est un mod\u00e8le d'excellence en mati\u00e8re de protection des renseignements personnels dans le monde. C'est une combinaison de diff\u00e9rentes dispositions, dont certaines ont \u00e9t\u00e9 import\u00e9es de pays comme le Canada. Nous devrions moderniser la LPRPDE car elle a besoin d'\u00eatre mise \u00e0 jour, et non pas parce qu'elle respecte un ensemble de normes vagues et changeantes impos\u00e9es par Bruxelles. Nous devrions prendre note que les Europ\u00e9ens ont tir\u00e9 des le\u00e7ons. Je crois que des efforts importants pour mettre \u00e0 jour et modifier la LPRPDE ne passeront pas inaper\u00e7us de l'autre c\u00f4t\u00e9 de l'Atlantique. En revanche, j'estime que le fait de laisser la loi dans sa forme actuelle enverrait le mauvais message.</p>\n<p data-HoCid=\"4816099\" data-originallang=\"en\">Pour terminer, j'aimerais attirer votre attention sur trois grands secteurs o\u00f9, \u00e0 mon avis, il y a les divergences les plus flagrantes entre ce que fait la LPRPDE et ce que le r\u00e8glement europ\u00e9en pr\u00e9voit.</p>\n<p data-HoCid=\"4816100\" data-originallang=\"en\">Premi\u00e8rement \u2014 et je ne vais pas aborder ce point parce mes coll\u00e8gues en ont parl\u00e9 \u2014, il y a les pouvoirs d'application de la loi du commissaire \u00e0 la protection de la vie priv\u00e9e. En vertu du r\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es, les agents de protection des donn\u00e9es ont le pouvoir d'imposer des amendes administratives tr\u00e8s importantes aux entreprises \u2014 pouvant s'\u00e9lever jusqu'\u00e0 20 millions d'euros ou 4 % de leur chiffre d'affaires annuel. \u00c0 mon avis, nous ne devrions pas \u00eatre aussi s\u00e9v\u00e8res. Les amendes rendent l'intention de la loi comme aucune autre sanction, mais de fa\u00e7on g\u00e9n\u00e9rale, et j'ai r\u00e9fl\u00e9chi \u00e0 la question, je pense que le commissaire \u00e0 la protection de la vie priv\u00e9e devrait \u00e0 tout le moins avoir les m\u00eames pouvoirs que ceux dont dispose le commissaire \u00e0 l'information et \u00e0 la protection de la vie priv\u00e9e de la Colombie-Britannique en vertu de notre loi applicable au secteur priv\u00e9.</p>\n<p data-HoCid=\"4816101\" data-originallang=\"en\">Deuxi\u00e8mement, nous devons nous assurer que le commissaire \u00e0 la protection de la vie priv\u00e9e dispose de tous les outils disponibles en mati\u00e8re de protection des renseignements personnels. \u00c0 l'heure actuelle, la LPRPDE est r\u00e9dig\u00e9e d'une fa\u00e7on tr\u00e8s r\u00e9active. La loi est r\u00e9dig\u00e9e comme si l'int\u00e9gralit\u00e9 de ces travaux sont consacr\u00e9s aux enqu\u00eates sur les plaintes et au r\u00e8glement des plaintes. Comme David Fraser l'a dit, il y a des dispositions dans la LPRPDE qui n'ont pas \u00e9t\u00e9 utilis\u00e9es activement au fil des ans. Je crois que les fonctions les plus efficaces sont plus proactives et comprennent une vari\u00e9t\u00e9 d'autres instruments. \u00c0 mesure que le consentement personnel devient beaucoup plus difficile \u00e0 obtenir dans cette \u00e8re d'analyse des m\u00e9gadonn\u00e9es, je pense que les organismes devront se fier \u00e0 ces autres outils. Le r\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es et d'autres lois modernes sur la protection des renseignements personnels reconnaissent l'importance de ces autres instruments strat\u00e9giques dans l'application de la loi et la mise en oeuvre efficaces. Ils stipulent que les organismes doivent se tenir pr\u00eats \u00e0 d\u00e9montrer qu'ils respectent ces mesures l\u00e9gislatives en utilisant des m\u00e9canismes comme des codes de pratique, des sceaux de protection, des normes et des \u00e9valuations des facteurs relatifs \u00e0 la vie priv\u00e9e. Le r\u00e8glement essaie d'encourager de bonnes pratiques de protection de la vie priv\u00e9e, et je crois que la LPRPDE devrait essayer de faire la m\u00eame chose.</p>\n<p data-HoCid=\"4816102\" data-originallang=\"en\">J'aimerais donc qu'il soit express\u00e9ment reconnu \u00e0 l'article 24 de la LPRPDE que le commissaire peut encourager l'utilisation de ce type d'outils et, dans certains cas, oblige l'adoption de ces m\u00e9canismes de reddition de comptes par les entreprises canadiennes et leurs associations commerciales. Plus particuli\u00e8rement, il y a la protection de la vie priv\u00e9e d\u00e8s la conception et la protection par d\u00e9faut.</p>\n<p data-HoCid=\"4816103\" data-originallang=\"en\">Le r\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es pr\u00e9voit que les organismes devraient, dans la mesure du possible, s'assurer que les donn\u00e9es personnelles qui sont trait\u00e9es sont seulement celles qui doivent absolument l'\u00eatre. C'est complexe. Le r\u00e8glement veille \u00e0 ce que la protection des renseignements personnels fasse partie int\u00e9grante du d\u00e9veloppement technologique et de la structure organisationnelle de tout nouveau produit et service. Lorsque les organismes ne respectent pas cette exigence, ils sont passibles de sanctions s\u00e9v\u00e8res si des enqu\u00eates sont men\u00e9es.</p>"
},
"url": "/committees/ethics/42-1/52/professor-colin-bennett-1/",
"politician_url": null,
"politician_membership_url": null,
"procedural": false,
"source_id": "9436566",
"document_url": "/committees/ethics/42-1/52/",
"related": {
"document_speeches_url": "/speeches/?document=%2Fcommittees%2Fethics%2F42-1%2F52%2F"
}
}