Journal des débats (Hansard) of the Committee on Labour and the Economy

(Dix heures)

La Présidente (Mme D'Amours) : Bonjour, tout le monde. Ayant constaté le quorum, je déclare la séance de la Commission de l'économie et du travail ouverte.

La commission est réunie afin de poursuivre l'étude détaillée du projet de loi n° 38, Loi modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du Gouvernement et d'autres dispositions... Dispositions, pardon, législatives.

Mme la secrétaire, y a-t-il des remplacements?

La Secrétaire : Oui, Mme la Présidente. Mme Tremblay (Hull) est remplacée par Mme Abou-Khalil (Fabre); et Mme Cadet (Bourassa-Sauvé) est remplacée par Mme Setlakwe (Mont-Royal—Outremont).

La Présidente (Mme D'Amours) : Merci. Lors de l'ajournement de nos travaux, jeudi dernier, nous venions d'adopter l'article 10. Nous en sommes donc à l'étude de l'article 11. M. le ministre, vous pouvez procéder à la lecture de cet article, s'il vous plaît.

M. Caire : Merci. Bonjour, Mme la Présidente. Bonjour, collègues. Merci, Mme la Présidente. Donc, l'article 11 se lit comme suit : L'article 19 de cette loi est modifié par l'ajout, à la fin, de l'alinéa suivant :

«Le ministre assure le leadership de la transformation numérique et de la sécurité de l'administration publique.».

Donc, l'article 19, on va rajouter un paragraphe. Déjà, l'article 19 établissait qu'on était chargé d'élaborer et de proposer au gouvernement des politiques, et là on vient spécifier que le leadership en matière de transformation numérique et de cybersécurité est assuré par le ministre.

La Présidente (Mme D'Amours) : Merci. Commentaires sur l'article 11?

Mme Setlakwe : Oui. Oui, merci, Mme la Présidente. Bonjour à vous tous.

Donc, je dirais que c'est un ajout de taille, là, c'est une disposition importante du projet de loi, et j'ai quelques questions, là, d'ordre général. Puis je ne veux pas revenir sur toutes les discussions qu'on a eues jeudi dernier. Juste peut-être commencer par nous expliquer ou nous confirmer si ce type de libellé-là, où un ministre prévoit, enchâsse dans une loi son leadership, ici on dit spécifiquement que le ministre assure le leadership de la transformation numérique et de la cybersécurité de l'administration publique, est-ce qu'on retrouve ce type de libellé ailleurs dans le corpus législatif?

M. Caire : Oui, au niveau du ministère de l'Économie et de l'Innovation, c'est essentiellement le même libellé que vous allez retrouver.

Mme Setlakwe : Est-ce que... Merci. Vous avez mentionné, la semaine dernière, ça a été mentionné durant le briefing technique, qu'il y avait ou que vous avez tiré certains constats depuis la création du ministère. Puis c'est normal, les choses évoluent. Il y a des dossiers qui ont été mis de l'avant, il y a eu le dossier SAAQclic, on pourra peut-être y revenir tout à l'heure. Mais, vous avez mentionné spécifiquement qu'il y a des fausses perceptions associées à la mission du ministre de la Cybersécurité et du Numérique, donc par rapport à votre mission. Donc, peut-être, la prochaine question serait...

Mme Setlakwe : ...pourquoi réagir à ce stade-ci? Pourquoi avoir... ne pas avoir prévu ce texte-là, ce libellé-là dès la constitution du ministère? Puis est-ce que c'est en réaction au dossier SAAQclic ou à un autre dossier?

M. Caire : Non, en fait, je vous dirais... Bien, c'est un ensemble de dossiers. Donc, ce qu'on constate, c'est qu'il y a beaucoup d'initiatives, puis, vous le savez, Mme la députée, on a parlé des 2538 projets. Puis je vous dirais que c'est aussi en lien avec le portefeuille de projets prioritaires où on voit qu'il y a un appétit pour une transformation numérique au sein du gouvernement. Il y a une volonté de faire la transformation numérique, mais cette volonté-là de le faire en cohérence avec une vision gouvernementale, ça, c'est moins présent. Les ministères et les organismes, puis je descendrais même au niveau de tous les organismes, sont beaucoup dans mon organisation, la transformation numérique de mon organisation. Et on a moins ce réflexe-là de dire : Oui, mais mon organisation, c'est une entité du gouvernement. Donc, la transformation numérique, elle doit être gouvernementale, et je dois participer, comme organisation gouvernementale, à cette transformation numérique là et pas juste la transformation numérique.

Donc, quand on a créé le ministère, il y avait cette volonté-là d'avoir cette cohésion-là. Mais on se rend compte maintenant, à presque deux ans d'existence, que cette disposition-là, elle doit marquer de façon plus formelle, plus enchâssée dans la loi, en fait.

Mme Setlakwe : Pour donc mettre de l'avant les projets...

M. Caire : Le réflexe soit des organismes, soit... Où est-ce que je suis, moi, dans cette vision-là gouvernementale et moins dans... tu sais, comment moi, j'assure ma transformation numérique, puis les autres, ils feront... c'est selon ce qu'ils ont besoin, là. Donc, d'avoir cette idée-là, de dire : Un instant, là, il faut que, tout le monde, on se fédère autour de l'idée que nous sommes le gouvernement du Québec et nous devons nous transformer numériquement. Puis, quand je vous disais, il y a un lien avec le portefeuille de projets prioritaires, bien, ça, ça veut dire peut-être qu'on va prioriser des projets puis d'autres devront être, disons, plus patients, mais que ça se fait au bénéfice de l'ensemble.

Mme Setlakwe : Donc, j'entends qu'il y avait du travail en silo.

M. Caire : Oui, oui, tout à fait. Absolument. C'est vrai en cybersécurité puis c'est vrai en transformation numérique aussi, beaucoup, beaucoup. On a fait une première grosse avancée avec la loi 95, mais adopter la loi, la mettre en application puis que les gens comprennent la portée de la loi, des fois, il y a des décalages. Puis là je pense qu'on est à l'étape de se dire : Bon. Bien, écoutez, ce n'est pas juste légal, là, c'est un concept. On a mis en place un ministère pour assurer la... aussi pour assurer la transformation numérique du gouvernement de façon plus cohérente. Et donc il est normal que ce ministère-là assure le leadership. Puis là maintenant on vient le marquer de façon plus formelle.

Mme Setlakwe : Mais est-ce que vous ajoutez des pouvoirs ou c'est simplement de rendre explicite ce qui était...

M. Caire : C'est de rendre explicite ce qui était implicite. 

Mme Setlakwe : O.K. Puis, dans le quotidien... Puis je ne veux pas reprendre la discussion qu'on a eue la semaine passée, là, vous avez vraiment bien expliqué la séquence, le plan de transformation numérique, ce qui émane des organismes, le portefeuille des projets prioritaires adoptés par le gouvernement après votre recommandation, la programmation qui en découle, etc. Mais, dans le quotidien de la vie du ministre du Numérique et de la Cybersécurité numérique, qu'est-ce que ça veut changer d'avoir ce texte-là?

M. Caire : Bien, ça va amener le réflexe, un peu ce que je vous disais la semaine dernière, ça va amener le réflexe dans les ministères et organismes d'abord de se sortir de mon organisation puis de se voir comme une entité du gouvernement du Québec. Donc, de dire : O.K. Ce plan-là, cette vision-là, cette transformation-là, on veut la faire gouvernementale, d'une part, et, d'autre part, d'avoir le réflexe de tourner les yeux vers le ministère. Bon. Parce que, dans le quotidien, ça veut dire : O.K. Quelles sont les orientations du gouvernement, par exemple, dans l'intégration de l'intelligence artificielle? C'est quoi, les grands axes sur lesquels on veut... on veut développer l'intelligence artificielle? Est-ce que le ministère de la Cybersécurité et du Numérique peut mettre à ma disposition des ressources qui vont m'aider dans... des ressources, des expertises qui vont m'aider dans cette transformation numérique là? Ce qui est le cas, hein, on a on a mis en place le Centre québécois d'excellence numérique puis on veut que cette entité-là puisse aussi aider puis amener de l'expertise...

M. Caire : ...à l'interne, dans la transformation. Donc, c'est vraiment d'avoir le réflexe, quand on pense transformation numérique, de penser au ministère de la Cybersécurité comme étant un acteur vers lequel on peut se tourner.

Mme Setlakwe : Je comprends, puis... Mais d'avoir prévu ailleurs, là, cette espèce de hiérarchie, parce qu'on a parlé de différents pouvoirs ou d'obligations légales, là, d'exécuter les projets prioritaires, ça, ce n'était pas suffisant?

M. Caire : Non, parce que, comme je vous disais, les projets prioritaires... puis un portefeuille de projets prioritaires, il va être quand même... on veut qu'il soit limité, parce que, l'idée, c'est justement de dire : il faut arrêter de s'en aller partout, mais, comme je vous disais, une fois que ces projets-là, prioritaires, sont exécutés, les organismes peuvent quand même disposer de ressources qui vont leur permettre d'exécuter leur propre plan. Mais ça aussi doit faire l'objet d'une cohésion puis d'une cohérence avec l'ensemble.

Puis Je vous donne un exemple. Si j'ai besoin de faire de la gestion immobilière, pour une raison X, bon, bien, est-ce que je suis la seule entité du gouvernement qui a besoin de faire de la gestion immobilière? Probablement pas. Alors, est-ce que le ministère de la Cybersécurité et du Numérique peut me dire est-ce qu'il y a, par exemple, déjà un tronc commun, une application qui serait transversale, qui pourrait me permettre de faire ça? Est-ce qu'on peut mutualiser ces ressources-là? Est-ce qu'il y a lieu de faire un projet à plusieurs ou est-ce qu'il y a déjà quelque chose? Alors, comprenez-vous? C'est d'avoir le réflexe de dire : même dans sa propre transformation numérique, tu sais, ce n'est pas juste de dire : Bien là, O.K., le projet prioritaire, c'est correct, c'est le gouvernement, puis on embarque là-dedans, mais le reste, là, ça m'appartient, c'est moi. On revient dans le moi. Puis c'est juste de briser ce réflexe-là puis se dire : Un instant, oui, vous avez des besoins, puis oui, vous êtes les mieux placés pour répondre à ces besoins-là, puis oui, vous devez être capables de vous transformer numériquement pour être plus performants, plus efficaces. Mais ça ne vous dédouane pas de regarder, par exemple, au niveau des orientations, au niveau des standards, au niveau de la mutualisation, au niveau des bonnes pratiques, comment on peut faire ça. Et ça, ça aussi, ça va s'inscrire dans une volonté gouvernementale d'agir de façon commune et conforme.

• (10 h 10) •

Mme Setlakwe : Merci. Évidemment, là, ce nouvel alinéa s'inscrit dans une loi qui existe déjà. Puis juste l'article suivant, dans la LGGRI, 19.1, on dit que «le ministre peut signifier aux organismes publics des attentes en matière de transformation numérique». Ça, honnêtement, je trouve que cette disposition-là, il me semble que ça vient un peu diluer ou ça vient... Ça ne vient pas créer de la confusion, selon vous? Vous venez de dire que, tu sais, en amont, là, il y a tout le processus à suivre, l'exécution des projets prioritaires, le leadership, là on... Tu sais, vous comprenez ce que je veux dire, là? Le nouveau texte s'inscrit entre le premier alinéa de 19 et l'article subséquent, 19.1. Après ça, on vient dire tout simplement «le ministre peut signifier aux organismes des attentes».

M. Caire : Oui.

Mme Setlakwe : Bien, il me semble que... comment vous l'expliquez, cette disposition-là? Comment ça se marie avec ce qu'on vient de discuter, avec cet ajout qu'on veut faire à 19?

M. Caire : Parce qu'au niveau des attentes en matière de transformation numérique on est plus dans la volonté d'exécuter. C'est-à-dire que, bon, comme comme je vous disais la semaine dernière, les ministères et organismes doivent élaborer des plans de transformation numérique, bon, bien, il faut s'assurer, à ce niveau-là, est-ce que le plan est suffisamment ambitieux, est-ce que le plan amène l'organisation dans une transformation numérique qui est vraiment... qui vise vraiment l'efficacité et le service aux citoyens, est-il privilégié par rapport à la commodité interne, est-ce que les priorités sont aux bonnes places, est-ce qu'on est vraiment...

Puis je vais vous donner un exemple. Sans mentionner d'organisme, Mme la députée, je vais vous donner, tu sais, un plan de transformation numérique où l'essentiel des projets visait la transformation numérique des processus à l'interne. Donc, au niveau du confort des employés de l'organisme, c'était excellent, par contre, tout le volet interface avec le citoyen, à notre avis, était... passait deuxième. Alors, quand on parle de signifier des attentes, c'est dire : Bien non, vous devez prioriser le citoyen, donc vos projets devraient viser à donner un service plus efficace...

M. Caire : ...au citoyen, puis après ça, vous... ou trouver un équilibre, par exemple. Donc, les attentes, on est plus à ce niveau-là.

Mme Setlakwe : O.K., je comprends. Donc, vous avez donné un exemple, dans le fond, au... au... au stade de l'élaboration des... du plan de transformation numérique?

M. Caire : Essentiellement.

Mme Setlakwe : Par exemple?

M. Caire : Oui. Oui.

Mme Setlakwe : Parce que ce n'est pas juste de dire: Laissons les organismes élaborer leur plan, je vais évaluer tout ça...

M. Caire : C'est ça.

Mme Setlakwe : ...je vais créer une priorité...

M. Caire : C'est qu'il faut quand même dire: Écoutez...

Mme Setlakwe : ...vous pouvez intervenir, oui?

M. Caire : Voilà. Vous avez tout à fait raison.

Mme Setlakwe : O.K. Je... Je me... Je me rapporte à des discussions qu'on a eues à... à l'étude des crédits. On a parlé de la maturité numérique des organismes publics. Il y a quatre catégories, là. Puis ça, c'est en vertu de l'outil qui s'appelle «Radar numérique»?

M. Caire : Oui.

Mme Setlakwe : C'est une mesure de la maturité numérique organisationnelle des organismes publics du gouvernement en fonction de, bon, 18 bonnes pratiques numériques gouvernementales. Donc, sans savoir exactement où les... où les ministères ou les organismes se situent, là, dans ces quatre catégories-là, novice, numérique, ouverte, productive, on sait quand même qu'ils ne sont pas tous au même niveau, là, il y aurait comme quatre niveaux. Comment est-ce que vous allez vous inscrire? Comment vous allez exercer votre leadership vis-à-vis ces différentes catégories-là, sachant que la maturité est variable?

M. Caire : En fait, c'est une... c'est une excellente question qui nous ramène au point que vous venez de soulever sur les attentes, parce que, ça aussi, ça, ça peut faire partie des attentes qu'on va signifier au niveau de l'augmentation de la maturité numérique. Et comment on va le faire? Bien, premièrement, par la normalisation, la standardisation, puis ça, c'est important, parce que les... les... la maturité numérique doit se mesurer aussi en fonction de certains paramètres qui sont communs à l'ensemble des... des... des organismes. Donc, ça, c'est les... les premières choses, bon, et, comme vous le voyez, là, à ce niveau-là, le ministère a déjà des pouvoirs, et donc, par rapport à ces... ces normalisations-là, ces standards-là, on peut signifier aux... aux ministères et organismes dans nos attentes de dire: Bon, bien, on s'attend à ce que tu mettes l'emphase, par exemple, sur ta capacité opérationnelle en matière de transformation numérique.

Donc, c'est... ça... ça vient vraiment faire une espèce de cohésion sur l'ensemble, le plan de transformation numérique, la maturité numérique de l'entreprise, les attentes qu'on est capables de signifier. Puis le leadership, bien, c'est justement... En parallèle, comment on peut assumer le... le leadership, c'est en les aidant là-dedans. Donc, nous, il faut mettre... Parce que, vous remarquez, dans... dans le projet de loi, je pense qu'il y a un certain équilibre entre les pouvoirs qu'on a, mais les obligations qu'on se donne aussi, puis il faut que le ministère ait des obligations. Donc, nous, on veut être capables d'accompagner nos ministères et organismes dans l'acquisition de... de... de... d'expertises ou de capacités... de capacités opérationnelles. Donc, c'est pour ça qu'on va mettre en place des ressources qui vont permettre... excusez, qui vont permettre à ces... à ces ministères et organismes-là d'atteindre les standards puis d'atteindre le niveau de maturité numérique qui seront signifiés dans les attentes.

Mme Setlakwe : Est-ce que vous sentez une certaine résistance de certains... certains ministères, certains organismes à...

M. Caire : Non. Ce n'est pas de la...

Mme Setlakwe : ...à ouvrir leurs livres et à exposer leurs... leurs défis?

M. Caire : Non. Non, là-dessus, non. Non, là-dessus, non. Là où les... les... les organismes sont plus craintifs, c'est dans la... notre... notre capacité à nous d'harmoniser nos attentes par rapport à... à... à ce qu'eux doivent faire. Parce que c'est sûr que le ministère de la Cybersécurité et du Numérique, sa raison d'exister, c'est la transformation numérique, ce qui n'est pas le cas des organismes. Leur raison d'exister, c'est... c'est une prestation de services. Le numérique, c'est un outil puis c'est un support.

Alors, eux, dans leur conception des choses, c'est sûr que la priorité, c'est livrer le service pour lequel ils sont... ils sont en place, ils sont là, et souvent ils peuvent voir les exigences en matière de numérique comme un... un fardeau supplémentaire qui est mis sur leurs épaules. Ça, je le vois beaucoup. Puis c'est... c'est pour ça qu'il faut qu'on soit capables, nous, de les accompagner dans la gestion du changement, il faut qu'on soit capables de les accompagner dans le... l'augmentation de leurs capacités opérationnelles puis il faut qu'on soit capables de les accompagner aussi dans les... peut-être les lacunes d'expertise pour lesquelles ils n'ont pas un intérêt. Je veux dire, chaque organisme du gouvernement n'aura pas une cellule de...

M. Caire : ...d'expertise en intelligence artificielle. On comprend qu'il n'y aurait pas de volume pour ça, il n'y aurait pas d'intérêt. Donc, la mise en commun de ces ressources-là, puis l'accès à ces ressources-là, pour les différents ministères et organismes, ça, c'est... ça fait partie des craintes qui sont exprimées souvent puis auxquelles nous, on doit répondre. Donc, c'est de créer, je vous dirais, cet environnement de confiance là, qui va faire en sorte qu'ils vont bien comprendre pourquoi on leur demande de faire ça, quel est l'avantage, là, qu'est-ce qu'il y a là-dedans, pour les ministères et organismes, dans leur capacité opérationnelle, puis en quoi ça vient les aider à augmenter leur capacité à bien remplir leur mission.

Mme Setlakwe : Est-ce qu'il y en a qui viennent vous dire d'emblée, là : Moi, tu sais... On a vraiment le souhait, là, d'arriver dans l'ère moderne puis d'offrir des plateformes, tu sais, conviviales, à notre... à la population, aidez-nous? Est-ce qu'il y en a qui disent : Venez nous... On aimerait être priorisés?

M. Caire : Oui, oui, puis par où commencer, souvent.

Mme Setlakwe : Puis vous donnez des exemples ou...

• (10 h 20) •

M. Caire : Oui, bien, je veux dire, au ministère de l'Environnement, tu as un ministère qui a une belle volonté de transformation numérique. C'est une organisation qui travaille beaucoup sur sa maturité numérique. Je pense que l'Environnement voit l'importance puis la capacité de ça. Puis effectivement, ils sont en demande pour dire : Bon, bien, on a des projets, mais comment on peut les réaliser, par où commencer, comment on priorise tout ça? Ça fait que ça, on en a, on en a même surprenamment plus qu'on pourrait penser. Parce qu'il y a une volonté des organismes publics de se transformer numériquement. Il n'y a pas d'enjeu à savoir : non, moi, je veux continuer à travailler... (panne de son)... C'est surtout comment on le fait, par où on commence, puis comment on priorise ça. Puis, comme je vous disais, de ne pas voir ça comme un fardeau supplémentaire, dire : écoutez, là, moi j'ai déjà suffisamment à faire, là, il ne faut pas m'en rajouter sur les épaules, parce que, tu sais, les ressources ne sont pas infinies, ressources humaines, ressources financières, et puis, nous, bien, si on priorise ça, on ne fait pas autre chose, donc comment on peut concilier les deux. Puis ça, ça fait partie des choses pour lesquelles nous, on peut être en soutien.

Mme Setlakwe : Puis, encore une fois, on en a parlé la semaine dernière, mais il n'y a pas, au sein de votre ministère, il n'y a pas un enjeu de ressources humaines?

M. Caire : Non, non. Puis je vous dirais... puis je suis très fier de dire qu'on vient tout juste de recruter un spécialiste en intelligence artificielle qui a quitté le Mila, je pense que... une organisation que vous connaissez, qui a quitté le Mila pour venir travailler au ministère de la Cybersécurité et du Numérique. En fait, moi, j'ai un solde migratoire positif par rapport à l'entreprise privée. Donc en 2022, je n'ai pas les chiffres de 2023, mais j'ai 175 ressources de plus qui sont parties de l'entreprise privée pour venir travailler au ministère que j'ai de ressources qui sont parties du ministère pour aller travailler dans le privé. Donc, on a une belle capacité d'attraction, on a des beaux projets, on a des défis qui sont stimulants, qui sont intéressants. Puis, écoutez, là, sur les 1 900 ressources, un petit peu plus, qu'on a au ministère, bon, vous en avez 800 qui travaillent vraiment plus SAGIR, bon, les domaines administratifs en périphérie, mais ce qui nous laisse entre 1 100 et 1 200 ressources qui sont vraiment dédiées aux technologies de l'information, c'est important. Puis ça, c'est juste au ministère, parce que dans les ministères et organismes, il y a aussi des ressources qui travaillent en technologies de l'information.

Mme Setlakwe : Puis, est-ce que... Quand vous dites que, donc, vous avez un solde migratoire positif, il y en a plus qui sont venus vers le ministère, donc le public, que d'employés qui ont quitté vers le privé, mais qu'en est-il de la haute direction?

M. Caire : bien, je vous dirais que c'est des cycles qui sont normaux, là. Bon, vous l'avez vu récemment, bon, le sous-ministre a été changé, puis je vous dirais que c'est peut-être même un record, parce que, trois ans dans le poste de DPI, bien, c'est des... c'est un poste, puis là je parle particulièrement du DPI, c'est un poste qui est extrêmement exigeant, extrêmement exigeant. Je pense qu'on ne mesure pas à quel point le DPI du Québec est sursollicité. Il n'y a pas de jour, il n'y a pas de soir, il n'y a pas de fin de semaine, je veux dire, c'est... parce qu'avec la loi 95, bon, il est devenu, dans les faits, le chef gouvernemental de la sécurité et de...

Mme Setlakwe : ...pour ceux qui nous écoutent, c'est qui, le DPI?

M. Caire : Le dirigeant principal de l'information, qui se trouve à être le sous-ministre en titre du ministère de la Cybersécurité. Vous avez raison de le préciser, Mme la députée. Donc, il est le chef gouvernemental de la sécurité et de l'information, il est le chef de la transformation numérique, il est le gestionnaire de la donnée numérique gouvernementale, en plus d'être le dirigeant principal. Évidemment, ces trois fonctions là, il peut les déléguer à un sous-ministre adjoint qui va... mais la responsabilité demeure la sienne...

M. Caire : ...alors, c'est extrêmement, c'est extrêmement exigeant comme poste.

Mme Setlakwe : Là, on cherche...

M. Caire : Non, non, non.

Mme Setlakwe : ...on cherche quelqu'un.

M. Caire : Non, non.

Mme Setlakwe : Il n'y a pas d'enjeu.

M. Caire : Non, non, le poste est...

Mme Setlakwe : Il y a eu des changements, c'est ça?

M. Caire : Bien, le sous-ministre, mais on a accueilli M. Le Bouyonnec...

Mme Setlakwe : Ah oui! C'est ça.

M. Caire : ...qui est maintenant dans ces postes-là. Au niveau des sous- ministres adjoints, bien, c'est sûr que ça, c'était comme... c'est un nouveau ministère, donc il y avait un nouvel organigramme, on essayait de restructurer les choses. Mais le ministère, c'est la fusion de plusieurs entités, hein, on pensait à ITQ, on pense au Sous-secrétariat du dirigeant principal de l'information, d'autres entités qui étaient dans d'autres ministères qu'on a regroupés. Donc, on arrivait avec des cultures différentes. On arrivait avec une philosophie, une vision qui est différente, un rôle qui est différent.

Alors, c'est normal, puis je pense que, dans les premières années, il y a des gens qui sont d'accord avec ce qu'on fait. Il y a des gens qui ne sont pas d'accord avec ce qu'on fait. Donc, il y a des mouvements comme ça, ce n'est pas anormal, mais, somme toute, je pense qu'on s'en sort assez bien, puis nos postes sont comblés. Puis, comme je vous disais, madame la députée, je comprends que, quand on regarde l'organigramme, on dit : Il y a beaucoup de postes qui sont à pourvoir, mais, dans les faits, nos soeurs... nos soeurs, excusez, nos cibles d'heures rémunérées sont même dépassées, là. Alors, on est en discussion avec le Conseil du trésor à cet effet-là, mais même si je voulais embaucher, je ne peux pas.

Mme Setlakwe : On devrait tous faire un plaidoyer au ministère... au ministre des Finances, parce que les défis sont grands, ça prend du monde.

M. Caire : Croyez-moi, je plaide, je plaide, je plaide. Mais, en même temps, bon, le ministre des Finances a toutes sortes de réalités.

Mme Setlakwe : Il a des choix à faire.

M. Caire : Il a des choix à faire.

Mme Setlakwe : Donc, vous avez parlé de l'intelligence artificielle deux, trois reprises, et on sait que l'intelligence artificielle, bon, avance à vitesse grand V, puis ça va changer... ça change déjà notre monde et ce n'est pas terminé. Ça relève principalement du ministère de l'Économie et de l'Innovation, mais vous en avez parlé. Comment est-ce que vous, vous vous inscrivez, vous, votre ministère dans...

M. Caire : Bien, en fait, le ministère de l'Économie, son rôle, c'est de soutenir l'écosystème, les entreprises privées, les milieux de recherche, bon, les universités dans leur capacité à développer l'innovation, le savoir et le savoir-faire. Le ministère... mon ministère, nous, on va travailler en collaboration avec ces acteurs-là pour intégrer l'intelligence artificielle au sein du gouvernement. Donc, c'est... Puis on va le voir plus tard, la question que vous posez là, vous allez le voir plus tard, en fait, à l'article suivant où, effectivement, quand on parle de l'utilisation de technologie, notamment de l'intelligence artificielle, bien, c'est sûr que le ministère a un rôle à jouer. Le ministère doit être consulté. On doit pouvoir donner notre avis sur les orientations qui sont prises. Puis, à plus forte raison, lorsqu'on parle de projets de développement ou d'intégrer ces technologies-là dans les ministères et organismes, c'est évident que le ministère de la Cybersécurité et du Numérique a un rôle à jouer de, bon, normalisateur, standardiser, s'assurer, évidemment, qu'on répond aux questions éthiques.

D'ailleurs, on a déposé... j'ai déposé la première stratégie d'intégration de l'intelligence artificielle où il y avait quand même certaines prérogatives à respecter, quant au déploiement de cette technologie-là, parce que, bon, ça, amène, évidemment, un remodelage de certaines fonctions, donc des compétences supplémentaires. Il faut s'assurer que notre monde est accompagné là-dedans. Il y a des postes, on ne se le cachera pas, Mme la députée, qui sont appelés à disparaître, mais il faut être capable de travailler avec les ressources pour les amener ailleurs en requalification. Donc, on est très, très, très actif à ce niveau-là.

Mme Setlakwe : Mais on n'a pas légiféré spécifiquement sur ces enjeux-là.

M. Caire : On n'a pas encore légiféré spécifiquement sur ces enjeux-là. Actuellement, le Conseil de l'innovation a fait une grande consultation, un rapport est déposé. On a demandé à Me Nicolas Vermeys, que vous connaissez peut-être à l'Université de Montréal, qui est un des grands spécialistes en droit des technologies, avec un comité, de faire le point sur le cadre législatif québécois, parce que, malheureusement, on analyse la situation du Québec, mais avec le prisme du cadre législatif, par exemple, aux États-Unis, ou ailleurs au Canada, alors qu'au Québec, on a un cadre législatif, avec la loi 25, notamment, avec la Loi concernant le cadre juridique des technologies de l'information, qui a été adoptée il y a 20 ans, qui était très, très innovant à ce moment-là, on a un cadre législatif qui est déjà plus solide. Je ne vous dis pas qu'il ne faut pas qu'il soit modernisé, puis qu'il ne faut pas qu'il soit amené au XXIe siècle, mais déjà on a un cadre...

M. Caire : ...législatif qui est plus solide que ce qu'on va voir ailleurs en Amérique du Nord. Donc potentiellement, oui, légiférer, mais il faut que la loi réponde... d'abord, s'ancre dans la réalité québécoise d'une part, et d'autre part, il faut que cette-loi là réponde aux besoins. Et, pour répondre aux besoins, bien, encore faut-il les identifier correctement.

Mme Setlakwe : Donc, l'analyse est en cours?

M. Caire : Oui.

Mme Setlakwe : Vous, vous avez participé, j'imagine, M. le ministre, à la consultation?

M. Caire : Oui. Puis je conduis moi-même une consultation, là, à travers l'écosystème, là, avec la cybersécurité, là. Par extension, on parle aussi, là, de l'ensemble des autres facteurs en transformation numérique, justement, parce qu'ultimement c'est moi qui aurai à porter les projets de loi, si tant est qu'il y en a.

Mme Setlakwe : Puis donc ce n'est pas un projet en soi, là, mais c'est... ce n'est pas un projet prioritaire en soi, mais c'est prioritaire?

• (10 h 30) •

M. Caire : Oui, oui. Bien, je vous dirais que oui. Parce que plus on travaille en amont, moins on laisse la situation s'en aller dans toutes les directions, donc c'est important. Puis même une fois qu'un cadre législatif est adopté, le temps que la société civile s'y adapte... La loi 25 a été adoptée en 2020, Mme la députée, vous vous en souviendrez, elle a été mise en pleine application à partir de septembre 2023, là, parce qu'on l'avait échelonnée sur trois ans, justement, pour que... puis il y a encore beaucoup, beaucoup, beaucoup d'entreprises ou d'organismes du secteur privé qui sont à se demander, mais comment ils vont être capables de faire face à ce nouveau cadre législatif là. Donc, la société civile s'adapte, mais pas... peut-être pas au même rythme qu'on pourrait le croire. Puis c'est important, donc, de... quand on adopte un cadre législatif, de le faire assez rapidement puis laisser le temps à la société de s'adapter à ce cadre législatif là, de bien le comprendre, de comprendre la portée des responsabilités, les obligations, les droits qui sont... qui font partie... Tout ça, ce n'est pas intuitif, là.

Mme Setlakwe : C'est intéressant, la discussion, parce que je pensais vraiment que... en tout cas, je voulais clarifier votre rôle dans cet énorme enjeu qui nous touche tous, là. Ça ne s'en va pas, on vit avec. J'ai... On reçoit, nous, vous savez, là, les députés, vous en recevez, vous aussi, mais on reçoit toutes sortes de questions de citoyens, puis il y en a qui s'intéressent vraiment de façon détaillée au projet de loi qu'on étudie. On en est bien heureux, là. Mais il y a un résident ou un... je ne sais pas si c'est un de mes résidents, peu importe, qui était consterné de remarquer qu'aucune mention d'intelligence artificielle n'était faite dans le projet de loi qu'on étudie : «Alors que l'intelligence artificielle, et plus particulièrement son encadrement, occupe de plus en plus de place dans notre société, comme on discute, il est désolant de constater qu'en 2023 nous n'avons pas d'article de loi ou de règlement désignant au minimum qui est responsable et imputable...»

Des voix : ...

M. Caire : Écoutez...

Mme Setlakwe : «...des systèmes, c'est ça, des systèmes en intelligence artificielle déployés par nos services publics.»

M. Caire : Oui, j'ai lu la même... le même commentaire. Puis, ce que je dirais aux citoyens... Bien, je reviendrai un peu d'abord sur la réponse que je viens de vous faire. Le cadre législatif québécois n'est pas le cadre législatif du reste de l'Amérique du Nord. Donc, il y a déjà des dispositions qui sont prises avec la loi 25 sur la protection des renseignements personnels, sur les processus décisionnels automatisés. La loi 25 en parle déjà. Donc, il y a cet aspect-là de la loi. Il y a la loi concernant le cadre juridique des technologies de l'information, qui est plus la loi qu'on va privilégier pour l'encadrement de ce qui est technologie.

Le pourquoi de cette loi, pourquoi on ne retrouvera pas, dans la loi no 38, mention de l'intelligence artificielle, bien, c'est parce qu'on vient modifier les grands paramètres du ministère de la Cybersécurité et de ses prérogatives. Mais oui, éventuellement, cette question-là, on devra trouver des réponses et des solutions, mais ça se fera ultérieurement, dans un autre projet de loi, si tant est, comme je vous dis, là, qu'il y a nécessité de légiférer, là.

Mme Setlakwe : Mais, le véritable leadership, c'est vous ou c'est le ministre de l'Économie?

M. Caire : Bien, c'est moi qui vais porter la loi. La loi concernant le cadre juridique des technologies de l'information, c'est une loi dont je suis responsable, comme je suis responsable de la Loi sur la gestion et la gouvernance en ressources informationnelles, là. C'est les deux grandes lois dont je suis responsable. Donc, c'est moi qui vais porter ce... Mais, évidemment, on travaille en collaboration avec mon collègue du... ministre de l'Économie, parce que, lui, de par son rôle de développeur de notre économie, c'est sûr qu'il y a un impact important dans cet écosystème-là, donc on travaille en collaboration.

Mme Setlakwe : Pensez-vous que, jusqu'à maintenant, on y résiste, là, dans les services publics, ou on a intégré la technologie?

M. Caire : Ah non, il n'y a pas de résistance. Il y a surtout un questionnement sur...

M. Caire : ...qu'est ce qu'on fait avec ça, là, parce qu'on entend toutes sortes de choses puis, bon, on voit... GPT. Mais comment l'intelligence artificielle peut vraiment venir nous aider dans l'organisation du travail, la prestation de services, la diminution des erreurs, l'augmentation de notre capacité de traitement, donc de diminuer les temps de traitement. On est à travailler là-dessus. On est à mettre en place un centre d'expertise en automatisation et en intégration de l'intelligence artificielle au ministère pour aider les ministères et organismes, justement, à bien saisir ce que l'intelligence artificielle, pour l'instant, peut faire, parce que vous l'avez dit, là, c'est en évolution.

Ce que l'intelligence artificielle fait aujourd'hui, ce n'est probablement rien par rapport à ce qu'elle va faire demain. Donc, nous, c'est un processus continu de mise à niveau de la connaissance. Puis ça nous amène aussi vers les ministères et organismes à dire : Bien, tu sais, on va se donner des projets, on va travailler, on va intégrer ça, mais on va le faire de façon ordonnée, dans le respect de la stratégie d'intégration d'intelligence artificielle qu'on a déposée, parce qu'il faut se donner un cadre éthique, un cadre légal. Il faut aussi mesurer les impacts de ça sur nos employés et accompagner nos employés là-dedans, là, dans la gestion du changement, accompagner les décideurs aussi, là, parce que je parle des employés, mais tous ceux qui ont la gestion de l'État, entre les mains, doivent être accompagnés pour bien comprendre ce que ça veut dire l'intégration de l'intelligence artificielle puis comment ça peut les aider, mais quelles sont les limites à ne pas dépasser.

Mme Setlakwe : Est ce qu'il y a des organismes, des ministères qui viennent de l'avant et vous disent : Accompagnez-nous, là... Oui.

M. Caire : Oui, on a plusieurs projets, notamment, avec la justice, là, pour avoir un greffe où on utilise l'intelligence artificielle, un moteur de recherche juridique. Il y a plusieurs projets, un agent conversationnel aussi dans un autre organisme pour... bien, donneesquebec.ca, agent conversationnel, pour être capable d'avoir accès à de la donnée ouverte. Mais comme c'est de la donnée non structurée, quelquefois, les recherches peuvent être ardues, donc dire, bon, on va intégrer un agent conversationnel pour lequel on va juste poser la question comme on le fait, puis lui va faire cette recherche-là à travers cette donnée-là non structurée, puis ramener les réponses. Donc, oui, il y a plusieurs beaux projets en intelligence artificielle.

Mme Setlakwe : Mais c'est énorme, là, plus on en parle, plus je trouve ça gros. Puis est-ce qu'il y a un risque... Les projets prioritaires, dont on a parlé, en éducation, en santé, il y en aura d'autres, on va attendre que vous les mettiez de l'avant, vous les adoptiez puis vous divulguiez publiquement, là, quels sont les projets prioritaires. Mais est-ce qu'il y a un risque, finalement, la gestion ou l'encadrement de l'intelligence artificielle devienne... tu sais, qu'on n'ait pas le choix de, finalement, mettre nos efforts là-dessus? Quel est l'échéancier que vous avez en tête, là? On a parlé de la consultation, de la... Qu'est-ce qui a été déposé récemment? La politique.

M. Caire : En fait, c'est le rapport du Conseil d'innovation et le rapport du Comité sur l'analyse de notre cadre législatif. C'est les deux rapports qui ont été déposés. Puis, pour répondre à votre question...

Mme Setlakwe : À quel moment déjà, ça a été déposé, ça?

M. Caire : Le Conseil de l'innovation a déposé, au mois d'octobre, si ma mémoire est bonne, je ne voudrais pas vous induire en erreur, mais il me semble, c'est au mois d'octobre. Puis le Comité sur l'analyse du cadre législatif, c'est, il y a deux semaines qu'on a eu la présentation.

Puis, pour répondre à votre question, je vous dirais : Non,  il n'y a pas de danger parce que l'intégration de l'intelligence artificielle, dans les faits, n'est pas un projet en soi. L'intégration de l'intelligence artificielle va se faire...

Mme Setlakwe : Non, je sais, mais...

M. Caire : ...à l'intérieur d'un projet, c'est ces projets-là qu'on va prioriser. Donc, ce qui est important, c'est, oui, puis je vous suis totalement là-dessus, s'assurer que le portefeuille de projets prioritaires est vraiment priorisé. Mais, à l'intérieur de ces projets-là, la composante d'intelligence artificielle, s'il y en a, va devoir faire l'objet d'une expertise puis de démontrer la plus-value de ces projets-là. Mais l'intelligence artificielle n'est pas un projet en soi, l'intelligence artificielle va faire partie des projets et c'est ces projets-là qu'on va prioriser.

Mme Setlakwe : O.K. Puis on s'entend qu'il va falloir ajuster le cadre législatif, ça, vous l'avez mentionné...

M. Caire : ...

Mme Setlakwe : ...oui, il n'y a pas d'échéancier par rapport à ça encore.

M. Caire : Je vous dirais qu'on vise le printemps prochain.

Mme Setlakwe : O.K. donc, si on revient à l'article 19 modifié, qui sera fort probablement modifié, quand vous dites que vous assurez... quand la loi dit que «le ministre assure le leadership de la transformation numérique et de la cybersécurité...

Mme Setlakwe : ...l'administration publique, suite à notre échange, moi, j'entends que ça inclut l'intelligence artificielle.

M. Caire : Oui, oui, ça inclut l'intelligence artificielle. D'ailleurs, c'est la raison pour laquelle c'est mon ministère, c'est moi qui ai déposé la stratégie d'intégration de l'intelligence artificielle, qui est... comme elle est approuvée par le gouvernement, ça devient une politique gouvernementale, mais c'est l'initiative du MCN.

Mme Setlakwe : Puis on ne devrait pas le prévoir spécifiquement ici, là?

M. Caire : Non. Non, parce que le ministère est responsable de la cohésion, de la standardisation, donc les pouvoirs qu'on a sont sur la transformation numérique. L'intelligence artificielle, c'est une composante de la transformation numérique.

Mme Setlakwe : O.K. Me Bacon semblait avoir quelque chose à ajouter. Non? O.K. Merci. Donc, c'est intéressant, on a... les prochains mois vont être très occupés. Il y a toutes sortes d'enjeux d'éthique, là, qui se posent, là, qui... pas juste d'éthique, de...

• (10 h 40) •

M. Caire : Mais encore là, je vous dirais, au Québec, on n'est pas si mal. Puis je ne dis pas qu'il n'y a rien à faire, là, comprenez-moi bien, là. C'est un domaine qui va très vite, c'est un domaine qui nous amène de plus en plus loin. Mais, tu sais, on a quand même la déclaration de Montréal, qui était une belle innovation en matière d'éthique. Au niveau de la stratégie d'intégration de l'intelligence artificielle, on a des éléments éthiques qui sont prescrits par la stratégie, qui doivent quand même être respectés par les ministères et organismes. Donc, comme je vous dis, loin de moi l'idée de vous dire qu'il n'y a plus rien à faire, mais on n'est pas non plus... tu sais, entre il n'y a plus rien à faire puis c'est le désert total, je pense qu'on se situe quand même relativement bien.

Mme Setlakwe : Est-ce que les employés ont signé... Est-ce qu'il existe comme une espèce de code de conduite que les... ou de bonnes pratiques que les employés signent ou dont ils prennent connaissance? Non?

M. Caire : Non, ce n'est pas... Mais tout le monde, compte tenu que la stratégie est un document à portée gouvernementale, tout le monde est tenu de la respecter.

Mme Setlakwe : O.K. O.K. juste pour... là, finalement, on... Je trouve ça superintéressant, la discussion qu'on a sur l'intelligence artificielle. Mais pour revenir, donc, à la transformation numérique, qui inclut le... ou en tout cas dont l'intelligence artificielle est une composante, donc on revient sur l'idée d'introduire ce libellé, que «le ministre assure le leadership de la transformation numérique et de la cybersécurité de l'Administration publique. Vous avez dit que dans les faits, dans le fond, ce leadership-là existait déjà, mais comme c'est nouveau, les organismes, il faut leur donner un signal clair?

M. Caire : C'est ça.

Mme Setlakwe : O.K. Ce texte-là, en soi, ne vous donne pas plus de pouvoirs. Les pouvoirs, vous les aviez?

M. Caire : Oui.

Mme Setlakwe : Mais ailleurs, dans le texte de loi, je pense qu'on a clairement ajouté des pouvoirs au ministre. Oui?

M. Caire : Oui, oui.

Mme Setlakwe : Il y a des outils?

M. Caire : Oui.

Mme Setlakwe : Sans revenir sur toute la saga SAAQclic, c'est quand même un dossier qui a été problématique pour les Québécois, puis le déploiement, on s'entend, SAAQclic, avec SAG, je ne veux pas revenir sur la discussion qu'on a eue jeudi, mais ce que j'ai retenu de ce que vous avez... de notre échange, vous avez été très clair dans le fait que pour vous, le principal problème en était un de communication. Parce qu'on a lancé SAAQclic et la première étape, qui était l'authentification de la personne qui voulait accéder à la nouvelle plateforme. Mais donc, sachant ça, parce qu'on est encore, je pense... puis c'est important de tirer les leçons, là, de ce dossier problématique qui a été qualifié de fiasco, est-ce que ce nouveau texte là, qu'on étudie ce matin, aurait changé quelque chose?

M. Caire : Non. Non parce que ce n'est pas une question de définir le leadership du ministre. Comme je vous expliquais, quand on parle d'une société d'État, c'est, je vous dirais, dans le cas du service d'authentification gouvernementale... Bon, quand vous regardez l'audit de PricewaterhouseCoopers, il nous disait : vous auriez peut-être dû faire le lancement à l'automne, mais à l'automne, on ne pouvait pas, on était en projet pilote avec le MFA. Parce qu'il faut comprendre que la SAAQ n'est pas le premier client du service d'authentification gouvernementale, c'est le MFA, mais c'est une petite application que le MFA mettait à la disposition des éducatrices pour lesquelles c'était le service d'authentification gouvernementale qui était la façon d'y accéder. Et donc on parle de quelques dizaines de personnes qui avaient cet accès-là, puis, nous, ça nous donnait un premier point de référence sur le bon fonctionnement du système. SAAQ était notre premier gros client. Et donc, quand ils ont fait cette annonce-là, on a pensé que...

M. Caire : ...compte tenu... vous comprendrez que, bon, le lancement de l'application du MFA s'est fait dans une grande discrétion, puis c'est normal, compte tenu du peu de clientèle que ça touchait, là. Le SAAQ était le premier gros client, donc on a pensé que, de faire une communication commune était une bonne idée. Mais ce n'était absolument pas une bonne idée, là, je veux dire, ça faisait juste semer de la confusion. Puis vous l'avez dit vous-même puis vous avez raison, pour les gens, le SAG puis SAAQclic, c'est la même chose, alors que ça n'a rien à voir. Puis là où c'est pénalisant, c'est que ça ne permettait pas non plus de bien expliquer le processus par lequel on passe pour créer le compte d'identité. Puis expliquer ce processus-là était important parce que c'est de donner confiance au système, puis c'est de bien expliquer la démarche, puis qu'est-ce qu'on a mis en place pour accompagner le citoyen, puis, bon. Ça fait que, sans revenir sur toute la saga, comme vous l'avez dit, ça, effectivement, ce n'était pas la bonne façon de procéder.

Mme Setlakwe : Donc mais vous aviez le leadership, vous auriez pu dire : non, non, ce n'est pas la façon de faire?

M. Caire : Oui, oui, absolument, c'est avec l'accord, avec la bénédiction du MCN que ça s'est fait, avec l'accord du Secrétariat aux communications gouvernementales et avec les autorités de la SAAQ, là, qui voulaient... qui étaient très heureux d'annoncer le nouveau système. Oui, oui, tout à fait. Il n'y a pas de... ce n'est pas une question que je n'avais pas le leadership. C'est une question qu'on a fait une mauvaise évaluation de l'impact de ça sur la compréhension de ce qu'on était en train de faire, autant du côté de la SAAQ que nous, du côté du ministère.

Mme Setlakwe : Puis là vous ne jugez pas bon de faire... Parce que je comprends, là, que SAG a sa propre mission et va continuer d'exister bien au-delà de... pas «au-delà», mais, ça SAAQclic aussi. Mais SAG va servir à plusieurs fins?

M. Caire : En fait, SAG va servir...

Mme Setlakwe : C'est la porte d'entrée?

M. Caire : De tous les... à terme, à terme, parce qu'il y a une question d'arrimage, mais à terme, ça va être la porte d'entrée de toutes les prestations électroniques de services du gouvernement du Québec, minimalement. Puis je ne vous cache pas, Mme la députée, qu'on est en discussion avec les autorités municipales, avec le gouvernement fédéral, qui évalue, puis là, je ne veux pas présumer de la décision qui sera prise parce qu'ils sont totalement autonomes des décisions qu'ils prendront, mais qui pourraient éventuellement utiliser le service d'authentification gouvernementale du gouvernement du Québec. Donc, on est largement au-delà de SAAQclic. Mais SAAQclic était notre premier gros client, parce qu'on parle de plusieurs millions d'utilisateurs, là, donc, ça, c'était intéressant comme... de lancer ce système-là en même temps.

Mme Setlakwe : O.K. Donc, il n'y a pas lieu de... Si... Puis là, la prochaine étape serait avec Revenu Québec, je pense?

M. Caire : On a des projets avec le ministère de la Santé. Là, je ne peux pas en dire plus pour l'instant parce que je ne veux pas non plus présumer des décisions qui seront prises au niveau du ministère de la Santé. L'Agence du revenu, très certainement parce que le SAG va remplacer clicSEQUR, donc, éventuellement, oui, mais je vous dirais à peu près tout ce qu'il y a de prestations électroniques de services au gouvernement du Québec, là. Puis on a un calendrier assez ambitieux, là, au printemps 2024, là, pour aller greffer de plus en plus de services au SAG.

Mme Setlakwe : Est-ce qu'on peut suspendre une petite minute?

M. Caire : Oui.

La Présidente (Mme D'Amours) : Oui.

Mme Setlakwe : Parce que je pense qu'on arrive à la fin, là, des questions, mais juste question de... Merci.

La Présidente (Mme D'Amours) : Je vais suspendre les travaux quelques instants.

(Suspension de la séance à 10 h 47)

(Reprise à 10 h 54)

La Présidente (Mme D'Amours) : Nous reprenons nos travaux. Nous en étions en discussion avec l'article 11, Mme la députée.

Mme Setlakwe : Merci, Mme la Présidente, de m'avoir accordé cette brève suspension. Donc, j'aurais peut-être une dernière question ou un dernier sujet à aborder avec le ministre par rapport à cet article important, là, qui est l'article 11, qui, on le rappelle, introduit la notion de leadership de façon explicite. J'essaie de voir comment s'inscrit le leadership du ministre dans un dossier qui a fait l'objet des médias récemment, là, en fait, dans les derniers mois, la protection des renseignements personnels en santé, les dossiers médicaux des Québécois. Il y avait eu un reportage de la presse au printemps, qui avait fait... qui avait dressé un portrait... en fait, ils avaient même dit que c'était difficile de dresser un portrait tellement il y avait peu de mesures de protection en place, il y avait peu de journalisation, énormément de bris de confidentialité, mais donc dans certains cas, impossibilité d'en dresser un inventaire. On reste sur notre appétit avec... suite à ce dossier-là. Nous, on avait demandé à l'opposition officielle que le gouvernement se penche là-dessus par voie... On avait demandé un mandat d'initiative, bon, ça n'a pas été fait.

Là, plusieurs mois plus tard, la Vérificatrice générale, pour la première fois, tire des constats, c'est la première fois qu'elle avait audité deux CISSS et des établissements ou le ministère, et qui vient nous dire finalement que, vraiment, il y a une non-protection des renseignements personnels en santé. Il y a des accès non autorisés, il y a des employés qui quittent, qui ont encore accès, des post-it avec des mots de passe non, tu sais, non robustes. En tout cas, on pourrait... je pourrais élaborer longuement sur les constats de la Vérificatrice générale, je ne le ferai pas, on en a parlé un peu la semaine dernière. Je pense qu'on s'entend tous, là, qu'il y a quelque chose à faire pour améliorer la protection de nos renseignements de santé. Éventuellement, on va avoir, j'espère, un bon système en place, le DSN, le dossier santé numérique, mais ce n'est pas pour demain matin. Et donc on est face à cet enjeu qui est franchement épeurant, là, pour les Québécois qui se disent : Mais qui surveille, qui s'assure que mon dossier n'est pas accessible à n'importe qui pour des raisons non légitimes? On veut que ce soit les bonnes personnes qui y aient accès pour des fins d'efficacité.

Donc là, je me ramène ici au projet de loi, on vient dire, vous avez.... On vous assure le leadership, mais, dans le fond, vous dites : Je l'avais déjà, mais là on va le dire clairement, comme ça, tout le monde va avoir cette vision... pas cette vision-là, mais tout le monde va devoir ramer dans la même direction, on va savoir que c'est le ministère qui est en charge, qui assure le leadership de la transformation numérique. Là, on a parlé tout à l'heure de la maturité numérique des organismes. Et, quand on établit la maturité numérique des organismes, c'est en fonction de 18 bonnes pratiques numériques gouvernementales, dont une qui est la neuvième, «assurer la sécurité de l'information et la protection des renseignements personnels». C'est dit clairement, là, que les organismes... Puis d'ailleurs, on le sait, qu'ils ont une obligation, et même le ministère a une obligation, dans sa loi constitutive, d'établir des exigences de sécurité de l'information.

Donc, ma question, c'est : Comment on a pu échapper, échapper ça? Comment se fait-il...

Mme Setlakwe : ...que vous n'avez pas établi les exigences. Comment se fait-il qu'on laisse des ministères et organismes qui détiennent des renseignements personnels et confidentiels, comment est-ce qu'on... comment se fait-il qu'on les laisse naviguer comme ça, à l'aveugle, ou ne pas mettre les mesures en place, ne pas classifier l'information, etc.?

M. Caire : Oui. Bien, en fait, ça revient un peu à la discussion qu'on a eue la semaine dernière, où la trop grande prolifération des endroits où on va collecter et entreposer de la donnée, ça amène un besoin très large en ressources. Ces ressources-là n'ont pas toute la formation, n'ont pas toute l'expertise pour assurer un environnement cybersécuritaire sécuritaire, point, parce que ce n'est pas juste des problèmes de cybersécurité, là je veux dire, il y a carrément des employés qui ont accès aux dossiers papier ou qui ont accès à des informations sur les dossiers papiers auxquelles ils ne devraient pas avoir accès, et donc pour moi, le... puis je ne vous dis pas que c'est le seul, là, mais le...

Mme Setlakwe : ...

• (11 heures) •

M. Caire : Oui. Oui, oui. Si vous voyez l'ensemble du... souvent, il y a encore beaucoup trop de dossiers papier, dossiers électroniques, mais beaucoup trop de dossiers papier aussi, donc il y a une question de numérisation. Mais donc la loi sur laquelle vous et moi on a collaboré d'ailleurs, la loi 5, avec le Centre national de dépôt de renseignements de santé et de services sociaux, va faire en sorte, puis c'est un peu aussi la discussion qu'on a eue à l'article 10, donc, de réduire le nombre de sources de données, de s'assurer que ces sources de données là sont administrées par des gens qui ont toutes les expertises nécessaires à le faire correctement. Ça, c'est la façon dont on va être capables de régler le problème.

Maintenant, comment on a pu laisser faire ça? Bien, je vous dirais, tu sais, on traîne un bagage, là, je veux dire, on arrive de quelque part, puis malheureusement, je vous dirais que la protection des renseignements personnels n'a peut-être pas eu toute la considération nécessaire. Maintenant, avec l'adoption de la loi 25, dont les derniers articles ont été mis en vigueur à partir de septembre de cette année, c'est sûr que ça aussi, ça amène des obligations légales supplémentaires, là. Donc, c'est un ensemble de mesures qu'on met en place qui vont corriger cette situation-là, qu'on connaît. Mais entre... Comme c'est un peu ce que je vous disais tantôt, entre le moment où on met en place la mesure, où on l'adopte, puis le moment où elle est pleinement efficace, malheureusement, il y a un temps nécessaire d'adaptation. Puis malheureusement, ces situations-là...

Soit dit en passant, il y a des situations, si je ne me trompe pas, là, qui ont été soulevées par la Vérificatrice générale qui datent de 2021, là, tout n'est pas... 2021, 2022, il me semble. Donc, ça, c'est l'autre affaire aussi. C'est que, entre le moment où la Vérificatrice générale fait son rapport puis le moment où elle... son audit, pardon, puis le moment où elle dépose le rapport, il y a un laps de temps qui s'écoule, là. Donc, c'est un petit peu décalé dans le temps, là. Puis, ceci étant dit, je n'insulterai pas votre intelligence, Mme la députée, en vous disant que cette situation-là, maintenant, n'existe plus, là. Ça, ça existe encore, malheureusement, puis on essaie de mettre en place les mesures le plus rapidement possible pour contrer ça. La gestion des accès, écoutez, la gestion des accès, ce n'est pas la première fois, là, que la Vérificatrice générale dénonce le fait... ce qu'elle a dénoncé, mais dans d'autres secteurs, parce que ce n'est malheureusement pas exclusif à la santé, là, il y a d'autres situations qui ont été décriées par la Vérificatrice générale, il y a plusieurs années, où, effectivement, la gestion des accès des employés qui ont quitté ou qui ont changé de ministère ou qui gardaient les accès, ça a toujours été problématique. Mais ce qui est absolument fondamental, c'est de réduire le nombre de sources de données, c'est d'augmenter les expertises pour gérer ces sources de données là à tous les niveaux, autant les accès que les protections numériques que, bon. Puis on va... là on va être capables de mettre en place un cadre administratif qui va éliminer ce genre de situation là.

Mme Setlakwe : O.K. je comprends, là, qu'à terme la mise en application de la loi cinq devrait nous amener dans la bonne direction?

M. Caire : Oui.

Mme Setlakwe : Mais ce n'est pas pour demain. C'est... je ne pense même pas que c'est pour 2024.

M. Caire : Oh! Il faut.

Mme Setlakwe : Il faut...

Mme Setlakwe : ...que ce soit pour... O.K.

M. Caire : Ah, il faut, il faut.

Mme Setlakwe : Oui? Le Dossier santé numérique va être en place pour...

M. Caire : Mais ça, si je peux me permettre, le Dossier santé numérique, c'est un projet. L'application de la loi cinq, c'est... peut se faire indépendamment du Dossier santé numérique, là. Ce n'est pas...

Mme Setlakwe : La loi 5 mettait en place les obligations.

M. Caire : La loi 5 vient... puis ces discussions-là que nous avons eues vous et moi d'ailleurs, la loi cinq vient changer le cadre législatif et la façon dont on va gérer les données de santé. Comme la loi 95 l'a fait pour l'ensemble du gouvernement, dans un régime général, la loi 5 fait... vient faire un regroupement des régimes particuliers, des sept ou huit régimes particuliers qui existaient, là, vous vous en souvenez sans doute, pour avoir un seul régime pour les données de santé. Mais oui, c'est sûr que ça va changer, parce que, justement, c'est cette pluralité-là, de bases de données ou de centres d'information ou de collections de données, qui se retrouve un peu partout dans le réseau de la santé. Ça va être terminé, là, on va être capables d'amener ça au niveau du réseau de la santé, géré par le Réseau de la santé. Puis là, bien, les différents organismes de la santé vont accéder à cette même banque là, mais à travers la gestion des permissions et la gestion des accès. C'est ça.

Mme Setlakwe : Je pense qu'on dit la même chose. À terme, quand le système va être fonctionnel puis que... Là, il y a deux projets pilotes dans deux CISSS... deux CIUSSS, j'oublie tout le temps.

M. Caire : Oui. Je veux faire une distinction qui est très importante, Mme la députée. Le Dossier santé numérique, c'est l'applicatif. Ça, ça va s'asseoir sur la gestion des données. Donc, la loi cinq, c'est les fondations, c'est comment on va gérer la donnée au niveau de la santé, indépendamment de la couche applicative qui va nous permettre d'y avoir accès. Ça, c'est le DSN. Mais la fondation, puis c'est la même chose sur la loi 95 avec les sources de données, ça, c'est la fondation, c'est comment on gère les données, où sont les données, qui y a accès, qui va les gérer, qui va les protéger, qui est responsable de ça. Ça, c'est ce qu'on a fait, vous et moi, au printemps avec la Loi 5 pour la santé. C'est ce qu'on a fait en 2021 avec les collègues, avec la loi 95. Puis ça, ça se met en place. Puis là, puis c'est pour ça qu'on a eu cette discussion-là à l'article 10, parce que, tu sais, on veut déployer les sources de données, et tout ça, puis, bon, il faut accélérer ce processus-là, la loi 5 va le faire au niveau de la santé. Donc, on pourrait, indépendamment de toute autre considération applicative, aller de l'avant avec ça puis avoir une façon de gérer nos données puis de continuer à travailler avec les systèmes qui sont existants. Ça serait un peu plus compliqué, là, parce qu'il y a une multiplicité de systèmes, puis ça rendrait la chose complexe. Mais l'interfaçage qui nous permet d'accéder à la donnée, ça, c'est le DSN, mais la donnée et sa gestion, c'est un autre projet. Puis ça...

Mme Setlakwe : Je pense qu'on dit la même chose.

M. Caire : Ça se peut.

Mme Setlakwe : Je pense qu'on dit la même chose. Je me souviens très bien que, oui, oui, il y a les obligations de transmettre, de ne pas garder la donnée pour soi, donc les organismes entre eux ont l'obligation de transmettre la donnée, la transmettre pour des fins de recherche. En tout cas, on ne reviendra pas sur le... On ne viendra pas là-dessus, mais à terme, on devrait améliorer. Mais là on est dans une situation problématique avec les dossiers de santé. Juste pour rectifier, là, vous avez dit que cet... en tout cas, vous avez parlé de dossiers papier. Vous savez que le rapport de la VG touche les dossiers numériques et non pas les dossiers papier?

M. Caire : Oui, je sais, mais...

Mme Setlakwe : O.K. Oui. Puis la période couverte par ses travaux, c'était du 1er avril 2016 au 31 mars 2023.

M. Caire : Mais, ce que je voulais vous dire, Mme la députée, je comprends ce que vous me dites sur le rapport de la VG, mais... Et le problème... Il y avait aussi ces problèmes-là avec les dossiers papier.

Une voix : ...

Mme Setlakwe : O.K. Ma collègue a raison, les travaux ont porté surtout sur la période de janvier 2021 à mars 2023. Mais c'est... Tout porte à croire, là, que ça ne s'est pas amélioré entre... à moins que vous me dites que ça s'est amélioré entre mars 2023 de... et novembre 2023?

M. Caire : C'est une bonne question. Honnêtement, je ne me risquerais pas à une réponse, là. Je...

Mme Setlakwe : Vous ne savez pas si ça s'est amélioré depuis?

M. Caire : Bien, écoutez, le rapport de 2023, j'imagine que depuis ce temps-là... Je ne sais pas quelles mesures seront prises et auront été prises au niveau des CISSS et des CIUSSS, mais ce que moi, je vous dis, c'est qu'avec l'adoption de la loi 5, là on va changer la façon de gérer les données et la façon d'accéder aux données. Et la façon d'administrer la donnée va changer d'une façon très importante.

Mme Setlakwe : Non, non. Tout à fait. Mais là...

M. Caire : ...il faut aller vers ça.

1set Mais aujourd'hui, là, face à cette problématique-là, moi, je regarde les textes de loi, là, puis on est en train de parler du texte de loi qui va être modifié, il me semble que ça relève de vous, M. le ministre, là, de voir à ce que l'information soit protégée, de voir à établir des exigences. Je suis en train de lire la loi constitutive du MCN : «Le ministre assume les responsabilités suivantes, à l'article 3, huitième paragraphe, établir les exigences, en matière de sécurité de l'information, applicables aux organismes publics et ordonner à ces derniers, lorsque requis, de mettre en œuvre ces exigences afin d'assurer la protection de leurs actifs informationnels et des informations qu'ils supportent.»

M. Caire : Tout à fait. Et il y a des standards qui sont établis, il y a les 15 mesures minimums qui ont été établies, pour lesquelles les ministères et organismes doivent les mettre en application. Il y a le projet de consolidation des centres de traitement. Comme je vous le disais, on passe de 577, on veut ramener ça à quatre. Mais, Mme la députée, une fois qu'on a dit ça, une fois qu'on a fait ça, puis une fois qu'on est en chantier pour le faire, entre le moment où on prend la mesure puis le moment où la mesure est pleinement mise en application, il y a une démarche qui s'effectue. Puis c'est la même chose pour la loi 5.

Du moment où on l'a adoptée... Bon, la loi est adoptée, les règlements qui découlent... qui doivent en découler sont pris ou vont être pris. Après ça, on va mettre en place le centre de dépôt. Mais il y a une façon de faire puis il y a un parcours.  L'idée n'est pas de dire : Je vais rendre meilleure la situation actuelle, l'idée, c'est de dire : La situation actuelle, elle ne nous amène pas vers ce qu'on souhaite avoir comme protection de nos renseignements personnels. Dans la situation actuelle, ce que je dis depuis le début, à 577, centres de traitement de l'information, gérez ça puis amenez ça à un niveau de sécurité qui est acceptable. C'est impensable.

• (11 h 10) •

Mme Setlakwe : Je comprends, mais, dans votre leadership, dans l'intérim, qu'est-ce qui s'est fait?

M. Caire : Bien, c'est ce que je suis en train de vous expliquer, ce qui se fait, c'est qu'on dit aux ministères et organismes : Vous amenez... Vous fermez les centres de traitement. Vous amenez ça vers les centres de traitement, les quatre centres de traitement. Dépendamment de la classification des données, vous amenez ça soit dans le nuage gouvernemental, soit vous allez en nuage public. Alors, il y a une catégorisation de la donnée qui s'est faite parce que ça, ça ne s'est jamais fait.

Vous savez, Mme la députée, il s'est fait énormément de choses, mais on partait de loin, là. On n'avait pas d'idée... On n'avait pas d'inventaire de nos données, on n'avait pas d'idée. Il y a des banques de données qu'on avait au gouvernement du Québec, puis là je vous parle, quand je suis arrivé, on ne se souvenait même plus qu'on avait ces banques de données là. Donc là, on partait de là. Alors, qu'est-ce qu'on fait? Bien, on fait des inventaires, on fait la catégorisation, on met en place le nuage gouvernemental. On met en place le courtier en infonuagique qui va permettre aux ministères et organismes d'aller chercher un fournisseur en infonuagique plus rapidement. C'est un système qui fonctionne bien puis qui nous est envié dans bien d'autres provinces, parce que, justement, ça permet une agilité. Mais il faut quand même prendre le temps de le faire, il faut quand même prendre le temps de mettre ça en place.

Donc, oui, il est possible que la Vérificatrice générale ait constaté des lacunes, puis c'est ce qu'elle fait dans son rapport, mais on est en voie de corriger ça. Donc, qu'est-ce qu'on fait puis qu'est-ce qu'on assume comme leadership? Bien, on dit : Vous allez, on va mettre fin à ces pratiques-là, parce que ces pratiques-là ne nous amènent pas à une gestion optimale et cybersécuritaire de nos données. Il faut changer les façons de faire.

Mme Setlakwe : Il me semble, en tout cas, il me semble que, dans l'intérim, dans l'exercice d'un leadership adéquat, il aurait fallu serrer la vis puis il n'est pas trop tard pour le faire.

M. Caire : Mais serrer la vis...

Mme Setlakwe : Assurer qu'il y ait des mesures, assurer que les mots de passe soient changés, assurer qu'il n'y ait pas de post-it sur les ordinateurs...

M. Caire : Mais il y a des mesures... Oui, mais...

Mme Setlakwe : ...assurer que des employés qui ont quitté n'aient plus accès.

M. Caire : Il y a des mesures qui sont prises, Mme la députée, il y a des mesures qui sont prises, il y en a. Et, à partir du moment où les mesures sont prises, bien, il appartient aux gestionnaires de les faire respecter.

La Présidente (Mme D'Amours) : C'est maintenant terminé pour la députée de Mont-Royal-Outremont, pour son temps de 20 minutes. Est-ce que j'ai d'autres interventions concernant l'article 11? Si je n'ai pas d'autre intervention, l'article 11 est-il adopté?

Des voix : ...

La Présidente (Mme D'Amours) : Adopté sur division. L'article 12, M. le ministre...

M. Caire : ...alors, il se lit comme suit, Mme la Présidente : L'article deux de la Loi sur le ministère de la Cybersécurité du Numérique (chapitre M-17.1.1) est modifié par l'insertion, après l'alinéa, du suivant :

«Le ministre doit assurer la cohérence et l'harmonisation des actions gouvernementales dans les domaines de la cybersécurité et du numérique et, à cette fin, être associé à l'élaboration des mesures ainsi qu'aux décisions ministérielles dans ces domaines et donner son avis lorsqu'il le juge opportun.»

Donc, l'idée, ça revient à la discussion qu'on avait eue, qui est dans la lignée du leadership, c'est de s'assurer que, si d'autres organisations ont des initiatives ou ont des projets en matière de cybersécurité et de numérique, bien, de s'assurer qu'il y a cette cohérence-là au niveau du gouvernement, donc, cette vision-là de cybersécurité et de cohérence au niveau gouvernemental, et c'est ce que l'article vient préciser.

La Présidente (Mme D'Amours) : Y a-t-il des interventions sur l'article 12?

Mme Setlakwe : Oui, s'il vous plaît, Mme la Présidente. Donc, ici, on a changé de loi, là, on n'est plus dans la LGGRI.

M. Caire : C'est la Loi sur le ministère, oui.

Mme Setlakwe : Qu'on est en train de changer. Donc, je ne comprendrai pas, encore une fois, pourquoi on le fait à ce stade-ci. Je pense que vous avez déjà répondu, là, que la situation a évolué, puis que vous avez remarqué un travail en silo. Donc, honnêtement, sur le fond, je comprends que vous vouliez préciser ce rôle-là «d'assurer la cohérence et l'harmonisation des actions gouvernementales dans les domaines de la cybersécurité, du numérique», ça va, «et, à cette fin, est associé à l'élaboration des mesures».

«Le ministre doit être associé à l'élaboration», il me semble que c'est un certain détour. Est-ce qu'on peut m'expliquer le libellé, pourquoi vous n'êtes pas donc... Pourquoi ce n'est pas simplement que «le ministre doit élaborer des mesures». Vous devez être associé à l'élaboration des mesures ainsi qu'aux décisions ministérielles dans ces domaines.

M. Caire : Bien, c'est parce qu'il peut arriver qu'un ministère ou un organisme, à l'intérieur de sa mission, de ses prérogatives, bon, va avoir un projet ou va mettre en place des mesures. Donc, pour s'assurer que ces mesures-là sont en cohérence avec ce qui se fait, on doit y être associé. Donc, ce que ça peut vouloir dire, par exemple, c'est de déposer un mémoire conjoint au Conseil des ministres. Vous pariez du ministère de l'Économie tout à l'heure, bon, bien, le ministère de l'Économie peut mettre en place des programmes, peut mettre en place des mesures spécifiques pour favoriser l'élaboration de la cybersécurité, donc pour s'assurer d'une cohérence. Ce que ça vient dire, c'est qu'il faut que le ministère de la Cybersécurité soit partie prenante de cette décision-là pour assurer l'harmonie, assurer la cohérence, la cohésion.

Mme Setlakwe : Je comprends. C'est la suite du premier énoncé, là, parce que c'est «à cette fin, être associé à l'élaboration des mesures ainsi qu'aux décisions ministérielles», parce que ça se fait conjointement avec les ministères concernés.

M. Caire : C'est ça, oui. En fait, c'est une façon de dire au ministère : Si vous avez des mesures, des programmes qui concernent la transformation numérique et/ou la cybersécurité, vous devez vous référer au ministère de la Cybersécurité et du Numérique pour s'assurer que ce que vous faites est en conformité, est en harmonie avec les politiques gouvernementales.

Mme Setlakwe : Mais il n'y a pas d'obligation ici, là, il n'y a pas d'obligation des autres ministères. Tout ce qu'on dit, c'est un peu flou, là : «Le ministre doit être associé à l'élaboration des mesures.»

M. Caire : Bien oui, c'est ça.

Mme Setlakwe : ...

M. Caire : C'est «doit». Oui, il y une obligation, c'est,,,

Mme Setlakwe : Oui, mais là, vous avez dit, en tout cas, vous avez dit : «Les ministères concernés doivent élaborer des mesures puis doivent être...

M. Caire : Je n'ai pas dit qu'ils devaient élaborer des mesures. Ce que je dis, c'est que, dans le cas où un ministère ou un organisme prend des mesures qui touchent la cybersécurité ou le numérique, il doit s'assurer, au niveau du ministère de la Cybersécurité et du Numérique, que ce qu'il fait est en conformité avec ce que nous, on fait. Donc, c'est dans ce sens-là où on dit : Quiconque doit y être associé, ce qui veut dire, dans le fond, que le ministère ne perd pas sa capacité à agir parce qu'il...

M. Caire : ...de numérique, tu sais, ce n'est pas... on ne met pas les ministères et organismes en tutelle, c'est... donc ils ont quand même une capacité d'agir dans ce qui relève de leur prérogative. Puis ce n'est pas parce que ça touche la cybersécurité et le numérique qu'ils n'ont plus le droit d'avoir des initiatives ou d'avoir des programmes ou des projets, ils peuvent, c'est juste de s'assurer que, quand c'est le cas, bien, on... vous vous associez le ministère de la Cybersécurité et du Numérique, à ses initiatives, à ses programmes, à ses projets, pour assurer la cohérence, pour assurer l'harmonie. Et moi, de ce côté-là, je peux aussi, si je le juge à propos, dire à un collègue qui a un programme x, y en cybersécurité, admettons, à dire : Bien, écoute, moi, je pense que, pour telle et telle raison, tu devrais plutôt aller dans cette direction-là. Donc, j'ai aussi la possibilité.... j'aurai aussi la possibilité de donner mon avis dans les programmes qui seront élaborés par les collègues, si je pense que c'est important de le faire.

Mme Setlakwe : Ça, ce bout-là, le dernier bout, ça... je comprends, oui, donner votre avis lorsque vous le jugez opportun.

M. Caire : C'est ça.

Mme Setlakwe : Donc, vous n'avez pas l'obligation de le faire, vous le faites au besoin. Ça, il n'y a pas d'enjeu. Moi, c'est vraiment le bout du milieu.

M. Caire : Oui, parce que ce n'est pas...

Mme Setlakwe : Allez-y. Je m'excuse.

M. Caire : Non, mais je veux dire, ça ne veut pas dire qu'il serait toujours pertinent de le faire. Donc c'est pour ça que c'est «s'il le juge à propos»... «opportun», pardon.

• (11 h 20) •

M. Caire : En tout cas, moi, je serais curieuse d'entendre Me Bacon, là, sur le deuxième énoncé, «le ministre doit être associé à l'élaboration». Mais donc, pourquoi il n'y a pas une obligation d'être consulté ou d'émettre des recommandations ou de participer à l'élaboration?

M. Caire : Bien, il y en a une. Bien, il y a une obligation, parce que, quand on dit «le ministre doit», c'est une... Vous dites : le ministre doit...

Mme Setlakwe : oui, mais de quelle façon...

La Présidente (Mme D'Amours) : Je veux juste vous interrompre quelques instants. C'est que je vous laisse aller, ça va bien, c'est une belle discussion, qui est très, très respectueuse. Sauf qu'il faut que vous pensiez qu'il y a des gens qui vous suivent puis qui écrivent les verbatim que vous parlez. Ça fait que, si vous vous interpeler pendant qu'il y a une réponse ou qu'il y a une question, s'il vous plaît, juste attendre, pour la technique, ça va être un petit peu plus facile, s'il vous plaît.

Mme Setlakwe : Vous avez raison.

M. Caire : Oui.

La Présidente (Mme D'Amours) : Donc, M. le ministre.

M. Caire : Bon. En fait, l'article dit «le ministre doit assurer la cohérence et l'harmonisation des actions gouvernementales dans le domaine de la cybersécurité et du numérique et, à cette fin, être associé à l'élaboration des mesures ainsi qu'aux décisions ministérielles dans ces domaines.» Donc, ce n'est pas une option, c'est une obligation. Donc, elle est là, l'obligation.

Mme Setlakwe : Là, je comprends que le «doit» s'applique aux deux, il n'y a pas d'enjeu, là. Mais c'est «doit être associé», moi, c'est juste ça que je trouvais qui n'était pas clair. Mais si c'est clair pour vous que vous devez être impliqué dans la rédaction, dans la réflexion entourant l'élaboration des mesures, si les légistes considèrent que c'est assez clair. Parce que, pour moi, «être associé». Je ne sais pas, il me semble, ce n'est pas un terme légal, être associé à quelque chose. Vous y participez, vous...

M. Caire : Sur la légalité, je vais laisser... en fait, sur l'aspect légistique, je vais laisser Maître Bacon vous vous répondre. Mais l'intention du législateur, c'est de faire en sorte que, oui, le ministre de la Cybersécurité et du Numérique doit être partie prenante lorsqu'il y a une décision ou un programme ou une intention en matière de cybersécurité et de numérique, le ministère de la Cybersécurité et du Numérique doit être associé à cette démarche-là. Ça, c'est sûr que c'est l'intention du législateur. Maintenant, sur la question légistique, je vais laisser, Me Bacon.

La Présidente (Mme D'Amours) : J'ai besoin du consentement pour que Me Bacon puisse prendre la parole. Consentement?

Des voix : Consentement.

La Présidente (Mme D'Amours) : Donc, Maître Bacon, veuillez dire votre titre et puis répondre à la question, s'il vous plaît.

Mme Bacon (Nathalie) : Oui, bonjour, Mme la Présidente. Nathalie Bacon, légiste au ministère de la Cybersécurité et du Numérique.

Effectivement, lorsqu'on a rédigé cet article-là, on a été également un peu surpris par le mot «associé». Vous faites bien de poser la question. C'est... On avait des précédents législatifs d'une part à la Loi sur le ministère de l'Économie et de l'innovation et aussi à la loi sur le ministère des Affaires municipales. Autrement dit, il y a une espèce de vocabulaire qui est utilisé entre ministres, et le mot «doit être associé», donc il le doit, ce n'est pas une option, donc on ne peut pas passer par-dessus le ministre de la Cybersécurité et du Numérique, on doit l'associer. Mais ces mots-là ont une forme de flexibilité, c'est-à-dire que le ministre n'est pas obligé de tenir le crayon, mais il peut participer...

Mme Bacon (Nathalie) : ...travaux, selon ce qu'on lui demandera ou selon ce que lui verra avec son expertise, du début à la fin de la mesure ministérielle. Donc, normalement, le sens que ça prend dans l'appareil gouvernemental, j'imagine que c'est des choses que vous savez, là, pour le cheminement des mémoires au Conseil des ministres en vue d'une décision gouvernementale, notamment dans le cadre de la prise d'un programme pour des... mettons, le versement de subventions, alors ce sera le mémoire conjoint avec le ministre responsable et le ministre de la Cybersécurité.

Mme Setlakwe : Merci beaucoup, Me Bacon. Non, non, ça me... vous m'instruisez, là, j'en apprends, là. Je ne savais pas exactement qu'est-ce que ça voulait dire. Je comprends que c'est une expression qui existe dans d'autres lois. Puis, en fait, on n'est pas en train d'établir une forme de hiérarchie, là. On s'entend qu'ils doivent travailler ensemble, conjointement?

Mme Bacon (Nathalie) : Mme la Présidente, exactement, c'est une façon de respecter la... nos collègues, là, ministres, là, la hiérarchie ministérielle.

Mme Setlakwe : C'est ça. O.K. Je comprends. Alors que, dans d'autres libellés, on aurait pu dire ou en tout cas élaborer une forme de droit de veto ou de dire : On doit être consultés, on doit l'approuver. Je comprends. Moi, l'explication me satisfait. Merci.

La Présidente (Mme D'Amours) : D'autres interventions?

Mme Setlakwe : Non.

La Présidente (Mme D'Amours) : L'article 12 est-il adopté?

Des voix : Adopté.

La Présidente (Mme D'Amours) : Merci. L'article 13. M. le ministre, s'il vous plaît.

M. Caire : Oui, Mme la Présidente. Article 13. L'article quatre de cette loi est modifié :

1° par l'insertion, dans le troisième alinéa et après «étendue», de «les conditions d'utilisation, incluant, en ce qui a trait aux responsabilités du ministre et des utilisateurs»;

2° par l'ajout, à la fin, de l'alinéa suivant :

«Le ministre peut fournir à un organisme public tout autre service en ressources informationnelles en vue de répondre à un besoin particulier d'un tel organisme lorsque ce dernier lui en formule la demande.».

Donc, Mme la Présidente, bon, là, on est dans la capacité de donner des services, rajouter des services. C'est un petit peu la discussion qu'on avait tout à l'heure, avec la députée, sur... On a des responsabilités, on a aussi des obligations, puis on veut être capables d'aider nos ministères et organismes dans leur transformation numérique et dans leur maturité numérique.

La Présidente (Mme D'Amours) : Merci. Des interventions pour l'article 13?

Mme Setlakwe : Oui, s'il vous plaît. Bien, j'aurais aimé ça que le ministre lise le commentaire. Juste, permettez-moi de le lire. Donc, qu'est-ce qu'on est en train de faire à un et deux? Puis j'aimerais ça avoir des exemples précis, là. On a dû... vous avez dû sentir, donc, qu'il y avait des... ou peut-être qu'il y a des... c'est justement suite à des cas vécus, des cas d'espèce que vous avez senti le besoin d'ajouter ce libellé-là?

Une voix : ...

M. Caire : Oui. Je peux... Moi, je peux vous le lire, le commentaire, si vous voulez. Le paragraphe un de l'article 13 du projet de loi prévoit que le ministre peut fixer des conditions d'utilisation pour les services qu'il rend aux organismes publics en infrastructure technologique et en système de soutien commun dans l'objectif de clarifier le partage des responsabilités entre le ministre et les organismes publics. Le paragraphe deux de l'article 13 du projet de loi prévoit la responsabilité pour le ministre de fournir un service en ressources informationnelles en vue de répondre aux besoins particuliers d'un organisme. Bon.

Puis sur le besoin particulier, c'est parce qu'actuellement on peut fournir des services d'infrastructure, on peut fournir des services communs, mais si un ministère, par exemple, avait un besoin particulier, puis on parlait d'intelligence artificielle tantôt, je ne peux pas fournir le service, là, selon la façon dont le ministère a été conçu. On est vraiment sur les... En fait, c'est un petit peu la philosophie du CSPQ qu'on a importée, là. Tout ce qui est en service partagé, services communs, services d'infrastructure ont donné ça. Mais, si on veut aller dans des services plus particuliers, pour un ministère, pour un organisme, ça, bien, on ne pouvait pas le faire, ce n'était pas dans la loi constitutive du ministère. Donc là, on vient d'ajouter cette possibilité-là pour le ministère d'aller vraiment dans du service plus personnalisé.

Puis pour les conditions d'utilisation puis les responsabilités, bien, on s'en va... aussi au niveau des services de télécommunications, au niveau des services en infonuagique, comme je vous disais, là, tout à l'heure, bien, il y a le nuage gouvernemental, il y a la possibilité d'aller vers le nuage public, donc, dans quelles conditions on va vous amener au nuage gouvernemental, dans quelles conditions vous allez utiliser le service public. Même chose au niveau des télécommunications, on a le déploiement de tout le réseau de télécommunications et des services internet aussi, avec le RITM, là, qu'on est en train de...

M. Caire : ...avec le réseau gouvernemental des télécommunications. Donc là, c'est qu'est-ce que nous, on offre comme services, qu'est-ce que vous, vous avez l'obligation de faire, selon quelles conditions vous pouvez utiliser ces services-là. On vient rajouter cette possibilité-là.

Mme Setlakwe : Est-ce que vous avez eu des commentaires comme quoi c'était trop contraignant?

M. Caire : Non. Non, non, mais je pense qu'avec, je vous dirais, la fusion des différents organismes puis la constitution du ministère, c'est des précisions qui sont importantes, mais, je vous dirais, ce n'est pas nécessairement parce qu'on a eu des situations conflictuelles.

Puis, pour ce qui est des services particuliers, bien, c'est un petit peu ce que je disais tout à l'heure, là, oui, le mandat du ministère était vraiment dans le service commun, service d'infrastructure, mais on n'avait pas cette dimension-là, d'avoir un service plus particulier, donc dans un service pour un organisme ou un ministère, d'aller vers... Puis je vous dirais que moi, je souhaite qu'on puisse avoir ce volet-là, comment je dirais, de consultation interne, donc de faire en sorte qu'à l'interne on a cette expertise-là puis on la met en commun. Mais là on va vraiment plus au niveau du particulier, donc ça ajoute, je dirais, une corde à l'arc du ministère.

• (11 h 30) •

Mme Setlakwe : Puis qu'est-ce que vous avez donné comme exemple déjà en termes de... au niveau de l'intelligence artificielle ou autre?

M. Caire : Oui, c'est ça le centre québécois d'excellence numérique va développer des cellules d'expertise en intelligence artificielle, en automatisation, sur l'Internet des objets, en quantique. On a vraiment un beau bouquet d'expertises qui se développe. Puis ce qu'on dit aux ministères et organismes : Bien là, on n'est plus dans le service commun, on n'est plus dans le service d'infrastructure, on est... là on commence à être plus dans la consultation. Puis on voudrait être capables de faire ça avec nos ministères, d'être capables de dire : Bon, bien, Écoutez, on a ces services-là, puis vous pouvez les utiliser. Mais là on va s'adresser à un ministère en particulier dans un projet particulier, donc c'est là-dessus que, comme je vous disais, qu'on rajoute une corde à notre arc.

La Présidente (Mme D'Amours) : D'autres commentaires?

Mme Setlakwe : Oui.

La Présidente (Mme D'Amours) : Pardon.

Mme Setlakwe : Juste peut-être une dernière question. Mais ça, évidemment, c'est un pouvoir, ce n'est pas une obligation. «De fournir tout autre service en ressources informationnelles en vue de répondre à un besoin particulier d'un tel organisme lorsque ce dernier lui en formule la demande». O.K., donc ce n'est pas... Non, non, c'est ça, ce n'est pas contraignant, mais vous...

M. Caire : Non, c'est vraiment la possibilité de le faire.

Mme Setlakwe : Mais il faut que la demande soit faite, c'est ça qui est écrit, là, il faut que ça soit suite à une demande?

M. Caire : Oui, oui.

Mme Setlakwe : O.K.

M. Caire : Oui. C'est pour ça que je vous dis c'est pour ça que... C'est parce que dans la conception qu'on avait du Centre québécois d'excellence numérique, on se disait : Ça pourrait devenir, à petite échelle, sur des domaines précis, peut-être plus une espèce de boîte de consultation pour nos ministères et organismes dans des champs d'expertise qui sont précis.

Mme Setlakwe : Merci.

La Présidente (Mme D'Amours) : Merci. L'article 13 est-il adopté?

Des voix : Adopté.

La Présidente (Mme D'Amours) : L'article 14. M. le ministre, s'il vous plaît.

M. Caire : ...l'article 14. Cette loi est modifiée par l'insertion, après l'article cinq, du suivant :

«5.1. Le ministre fournit aux organismes publics les services de certification incluant les services de répertoire y afférents ainsi que des services de signature électronique que le Gouvernement détermine.

«Un décret pris en vertu du premier alinéa détermine les services visés par les conditions et modalités de leur fourniture ainsi que les cas et les conditions selon lesquels un organisme public est tenu de recourir pour répondre à ses besoins. Il peut autoriser le ministre à déléguer certaines fonctions relatives aux services à un organisme public pour permettre sa mise en œuvre. Il peut également prévoir le transfert au ministre d'actif informationnel d'un organisme public ainsi que toutes les obligations qui en résultent.

«Lorsqu'un décret est pris en vertu du premier alinéa... Lorsqu'un décret pris en vertu du premier alinéa concerne des services de certification et de répertoire, il doit contenir l'énoncé de politique prévu à l'article 52 de la Loi concernant le cadre juridique des technologies de l'information, chapitre C-1.1.».

En fait, je vous dirais que ça, ça vient compléter un vestige de l'étape où il n'y avait pas de ministère de la Cybersécurité, donc tous les services de certification, de répertoire, tout ça était au ministère de la Justice. Quand on a créé le ministère, la responsabilité est devenue la responsabilité du ministère de la Cybersécurité, mais tout le volet opérationnel est resté au ministère de la Justice. Or, aujourd'hui, je vous dirais que, bon, on a développé l'expertise en cybersécurité, et tout ça, donc, on se dit, à terme, ça serait...

M. Caire : ...important de rapatrier cette fonction-là au ministère de la Cybersécurité dans l'opérationnel, mais on... on... on veut le faire graduellement, là, d'où le libérer de le faire par décret et/ou d'avoir la possibilité de continuer à... à impartir ça au ministère, parce qu'il faut y aller quand même par étapes, c'est... c'est... c'est des services qui sont quand même assez importants, assez gros, assez névralgiques, là. Donc, c'est important de... de... de le faire selon une certaine séquence, là, pour ne pas être... être en rupture de services non plus.

Mme Setlakwe : Donc, il y a un plan de transition?

M. Caire : Oui, tout à fait.

Mme Setlakwe : Ça peut prendre combien d'années?

M. Caire : C'est une bonne question. Je vous dirais que ce n'est pas... il n'y a pas urgence de... Bon. Premièrement, il y a... il y a... il y a quand même certaines mises à niveau à faire initialement sur nos... là, toute notre infrastructure avec les publics, dans un premier temps, donc en collaboration avec le ministère de la Justice. Après ça, bien, le rapatriement, je vous dirais peut-être... bien là, je m'avance pas mal, mais d'ici la fin du mandat, là.

La Présidente (Mme D'Amours) : D'autres commentaires, Mme la députée?

Mme Setlakwe : Oui. Est-ce... Merci. Est-ce qu'il y a d'autres pouvoirs comme ça qui demeurent entre les mains du ministère de la Justice dans le cadre de votre mission?

M. Caire : Non. Non. Ça, c'était vraiment... Bien, parce que le ministère de la Justice, si vous pensez à la Loi concernant le cadre juridique des technologies de l'information, le... le... tout le volet sur la preuve, la preuve numérique, ça relève du ministère de la Justice. Mais, tu sais, on est vraiment dans la gestion de la preuve puis... Donc, ça, qui est vraiment une mission de cybersécurité, je vous dirais que c'était... c'était le dernier volet.

Mme Setlakwe : Est-ce que, ça, ça évolue rapidement? J'imagine que oui, tu sais. Est-ce que... Oui, une fois que c'est mis sur pied, il y a déjà toujours des nouvelles versions?

M. Caire : Oui, oui, oui, vraiment. Oui, puis, tu sais, c'est... c'est une expertise qui est quand même particulière, là. Toutes les infrastructures avec le public, là, c'est... Bien, nous, on développe ce volet-là.

Mme Setlakwe : Puis ça, vous l'avez à l'interne, l'expertise, ou vous dépendez aussi de l'externe?

M. Caire : Non, on a ça à l'interne.

Mme Setlakwe : Donc, là, on a comme... Est-ce que c'est le même libellé qui existait dans la loi... la loi sur... en tout cas, du ministère de la... 

M. Caire : Non. Bien là, ça, c'est un libellé qui vise la transition.

Mme Setlakwe : Oui, les services de certification. Ah! mais c'est «incluant». Ça fait que... Parce que, si ça évolue, il y a place à...

M. Caire : Oui, oui, tout à fait.

Mme Setlakwe : Ce n'est pas exhaustif comme liste. O.K.

M. Caire : Non, non.

La Présidente (Mme D'Amours) : Je vous rappelle d'attendre que les personnes aient terminé leur intervention avant de commenter, s'il vous plaît, pour le bien de nos gens qui nous suivent, qui suivent nos travaux, s'il vous plaît. Merci, M. le ministre. Mme la députée.

Mme Setlakwe : Ainsi donc, le libellé est suffisamment large que vous ne serez... vous n'aurez pas besoin de...

M. Caire : Non.

Mme Setlakwe : ...de modifier la loi dans... dans quelques mois?

M. Caire : Non, parce qu'on va pouvoir travailler par arrêtés ministériels.

Mme Setlakwe : Ça, ici, il n'y a pas eu de... c'est ça, il n'y a pas d'enjeu ici, là, il n'y a pas personne qui vous a dit: Non, on veut...

M. Caire : Non. Non, je pense que tout le monde comprend que ça... ça... c'est logique.

Mme Setlakwe : O.K.

La Présidente (Mme D'Amours) : D'autres commentaires?

Mme Setlakwe : Oui, ce ne sera pas long, Mme la Présidente. Puis dans quels cas est-ce que vous déléguez certaines des fonctions? Ça, ça existe déjà aussi? Parce que vous dites: vous vous occupez de rendre les services, il y a un décret qui est émis, ça détermine les services, les conditions et les modalités de leur fourniture ainsi que les cas et les conditions selon lesquels un organisme public est tenu d'y recourir pour répondre à ses besoins. Et vous, vous contrôlez vraiment tout ça?

M. Caire : C'est ça.

Mme Setlakwe : Vous pouvez autoriser... Le décret peut autoriser le ministre à déléguer certaines fonctions relatives aux services à un organisme public. Par exemple?

M. Caire : Si... si... si d'aventure, dans la transition, on... on se disait: Bon, bien, il y a peut-être pertinence de laisser une partie de... de... de... des opérations au ministère de la Justice ou... à ce moment-là, on a la... pardon, on a la possibilité de le faire.

Mme Setlakwe : O.K. Mais il n'y a pas d'enjeu en ce moment, là, avec... de... de... de retard ou de... de... de... d'un mandat de cet autre ministère qui n'est pas... qui n'est pas exécuté, là, tu sais?

M. Caire : Non. Non, c'est vraiment parce que, nous, on développe cette expertise-là, puis, dans la logique de la mise en place du réseau gouvernemental de cyberdéfense, il y a une volonté de rapatrier les expertises plus pointues au ministère puis de... de... de... d'assurer le... le... la mise à niveau de ça... bien, le maintien à jour, je devrais dire, plutôt que la mise à niveau. 

Mme Setlakwe : O.K. Merci. Puis comment se fait-il qu'on décrit très bien ce que le...

Mme Setlakwe : ...le décret doit prévoir, prévoyait aussi que le décret peut permettre, «peut prévoir le transfert au ministre d'actif informationnel d'un organisme public ainsi que de toutes les obligations qui en résultent.» Puis à la fin... Oui, allez-y.

M. Caire : Parce qu'il y a des ressources qui travaillent là-dessus au ministère de la Justice, donc on pourrait...

Mme Setlakwe : Exact, on rapatrie.

M. Caire : C'est ça.

Mme Setlakwe : Dernier alinéa, «lorsqu'un décret pris en vertu du premier alinéa concerne des services de certification et de répertoire, il doit contenir l'énoncé de politique prévu à l'article 52 de la Loi concernant le cadre juridique des technologies de l'information», donc pourquoi on a fait cette distinction-là? Puis qu'est-ce que ça vient dire, exactement, cet énoncé de politique?

Des voix : ...

M. Caire : Je vais vous lire l'article en question, Mme la députée.

Une voix : ...

M. Caire : Alors, «l'article 52 du cadre prévoit l'énoncé de politique d'un prestataire de service de certification ou de répertoire, indique au moins», là vous avez neuf éléments qui doivent être prescrits dans ces politiques-là. Donc, c'est de dire : on va respecter le décret que nous allons prendre, dans le rapatriement, va respecter les différentes obligations qui sont prévues à cet article-là.

• (11 h 40) •

Mme Setlakwe : Merci.

La Présidente (Mme D'Amours) : ...question. Donc, l'article 14 est-il adopté?

Des voix : Adopté.

La Présidente (Mme D'Amours) : L'article 15. M. le ministre, s'il vous plaît.

M. Caire : Oui. Alors, Mme la Présidente, l'article 15. L'article sept de cette loi est modifié par le remplacement de «l'article quatre et» par «aux articles 4 et 5.1 ainsi que».

Ça, c'est de la concordance, là, parce qu'il y a le nouvel article 5.1, qu'on vient d'adopter à l'article 14.

Le Président (M. Tremblay) : Parfait. Des commentaires?

Mme Setlakwe : Oui, ça ne sera pas long, merci.

Le Président (M. Tremblay) : Oui.

Mme Setlakwe : C'est de la concordance pour ajouter 5.1, qu'on vient d'ajouter, en effet. Non, je n'ai pas de question, M. le Président.

Le Président (M. Tremblay) : Parfait. L'article 15 est adopté?

Des voix : Adopté.

Le Président (M. Tremblay) : M. le ministre, à l'article 16, s'il vous plaît.

M. Caire : M. le Président, l'article 16 se lit comme suit : cette loi est modifiée par l'insertion, après l'article 10, du suivant :

«10.1. Le Gouvernement peut autoriser la mise en œuvre par le ministre d'un projet pilote visant à étudier, à expérimenter ou à innover dans le domaine de la cybersécurité ou dans celui du numérique ou à définir des normes applicables en un tel domaine.

«Un projet pilote peut viser les organismes publics ou les entreprises du gouvernement au sens de la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement, chapitre G-1.03, toute autre entreprise ou les citoyens dans le respect des dispositions législatives applicables, notamment en matière de protection des renseignements personnels et de la vie privée. Le Gouvernement détermine les normes et les obligations applicables dans le cadre d'un projet pilote. Il détermine également le mécanisme de surveillance et de reddition de comptes applicable dans le cadre d'un projet pilote. Un projet pilote est établi pour une durée maximale de trois ans, que le gouvernement peut prolonger d'au plus un an. Le gouvernement peut en tout temps modifier un projet pilote pour y mettre fin. Les résultats du projet pilote doivent être publiés sur le site internet du ministère de la Cybersécurité et du Numérique au plus tard un an après la fin du projet pilote.».

Puis c'est un peu ce qu'on indiquait, Mme la députée, qu'on veut être capables de... bon, on n'a pas de pouvoir réglementaire, donc on veut être capables, par projets pilotes, de tester des hypothèses. Compte tenu du mandat régalien du ministère en matière de cybersécurité, là, on veut aller dans... tester des hypothèses, être capables de voir comment on peut appliquer ce mandat-là à la société civile, les entreprises privées, etc. Comme je vous disais, pour donner un exemple plus précis, si on allait vers une obligation de divulgation, bien, qu'est-ce que ça voudrait dire, qu'est-ce que ça aurait comme impact, quel serait l'encadrement pour assurer la pérennité de l'entreprise, le secret industriel, etc. Donc... Puis là, bien, ça, c'est un exemple, mais il y en, il y a quand même pas mal d'autres exemples, là, pour lesquels on pourrait vouloir tester, là, la capacité de mettre en place des normes, des standards, etc.

La Présidente (Mme D'Amours) : Des commentaires, Mme la députée?

Mme Setlakwe : Oui. Bien, ça, je pense que c'est un autre article clé, là, dans votre projet de loi?

M. Caire : Tout à fait. Oui, il va être très, très, très utile, parce que, comme je...

M. Caire : ...je disais, le ministère de la Cybersécurité et du Numérique, c'est une formule qui est très innovante par rapport à ce qui se fait. Il y a beaucoup d'agences qui existent, mais il n'y a pas de ministère. Puis, en plus, le ministère, ce qui est une première au Canada, a une mission régalienne sur son territoire. Donc, ça, oui, c'est important pour nous, pour être capables. Comme je disais, là, d'avancer dans la mise en place de notre mandat, mais de le faire avec... comment je dirais ça, avec une certaine marge de manœuvre pour essayer des choses. Il faut se donner la capacité d'essayer des choses puis de dire : Oups! Non, on va corriger le tir parce que ça ne s'en va pas dans la bonne direction ou on n'atteint pas l'objectif ou... Puis on veut être capables aussi de collaborer avec la société civile, là, dans la mise en place de ça. Parce que, si on n'a pas cette collaboration-là, ces partenariats-là, à travers les projets pilotes, on va avoir de la difficulté à fédérer les... la société civile.

Mme Setlakwe : Est-ce que vous avez, donc, des exemples? Parce que c'est vraiment très large. Puis je ne dis pas que ça n'a pas sa raison d'être, pas du tout. Puis vous touchez ici, donc, plus au domaine privé ou pas forcément?

M. Caire : bien, je dirais oui.

Mme Setlakwe : Oui, surtout?

M. Caire : Je dirais oui, je dirais oui. Domaine privé, comme je vous, des exemples, bien, la divulgation obligatoire, la définition de ce que c'est, un secteur stratégique, qu'est-ce que c'est, un secteur stratégique en matière de cybersécurité, qu'est-ce qui est stratégique, qu'est-ce qui est... Alors, on... Je pense que c'est important de pouvoir tester des hypothèses.

Mme Setlakwe : Donc, disons... Merci. Disons que le projet de loi est adopté, là, assez rapidement, qu'est-ce que... ça va être quoi, votre mission, à court terme? Ce seraient quoi, vos projets pilotes, à court terme? Ça serait dans quels secteurs que vous interviendriez?

M. Caire : Bien, en fait, je vous dirais, les premiers projets seraient potentiellement justement d'être capables de voir comment on peut étendre notre réseau de cyberdéfense sans nécessairement intégrer au réseau de cyberdéfense la société civile, intégrer dans le sens où il y a une hiérarchie qui s'installe. Comme le réseau gouvernemental de cyberdéfense, c'est une organisation hiérarchique, le ministère est au centre de ça, puis il y a des indications d'application, des ordres qui sont donnés au Centre opérationnel de cyberdéfense, qui sont déployés dans les ministères, puis c'est vraiment comme ça que ça a été construit. Puis, même dans la hiérarchie des ministères, il y a des organismes à tous les niveaux qui sont chargés d'assurer la cyberdéfense de ces... C'est très hiérarchique. Je ne pense pas qu'on puisse étendre ça à la société civile, ce pouvoir-là, hiérarchique, mais par contre, on peut peut-être étendre le réseau gouvernemental de cyberdéfense en mettant en place certaines pratiques, notamment la divulgation d'incidents. Mais, pour ça, je pense qu'il faut qu'on soit capables de le faire plus à travers des projets pilotes, parce que, comme je disais, on n'a pas de pouvoir réglementaire. Donc, moi, je ne vais pas prendre un règlement puis en vertu duquel telle ou telle ou telle entreprise va être obligée de faire telle ou telle chose, tu sais. On va le faire à travers des... comme je disais, des projets pilotes, où là, on va tester des hypothèses. On va dire : Bon, bien, voici comment on... puis je pense qu'on devrait opérer. Est-ce qu'on met en place les... est-ce qu'on développe les 18 mesures partout sur le territoire, si oui, c'est quoi l'impact, puis, bon, c'est tout ça, comment ça coûte, est-ce que les petites entreprises ont la capacité de faire ça, qu'est-ce que ça prendrait comme soutien pour y arriver. Donc, avec un projet pilote dans des secteurs ciblés, bien, on est capables de tester ces hypothèses-là.

Mme Setlakwe : Je comprends. Là, vous ne nous dites pas dans quels secteurs vous souhaitez intervenir de façon prioritaire.

M. Caire : Je dis... Bien, je dirais, il faut définir quels sont les secteurs stratégiques. Moi, en tout respect, je ne suis pas sûr que le gouvernement du Québec... Tu sais, le dépanneur, qui est très certainement un commerce qu'on adore tous, mais, tu sais, une cyberattaque, c'est plate, mais bon, ça ne vient pas d'impacter le Québec. Par contre, les secteurs de l'énergie, ah, là on est ailleurs. Donc, s'il y avait... puis là, je ne pense pas à Hydro-Québec, parce que je pense qu'on a eu cette discussion-là au début de la conversation, mais il y a des entreprises privées qui travaillent dans le domaine de l'énergie, bien, ça, peut-être que l'impact est autre. Au niveau de notre économie, il y a des entreprises, des institutions qui sont plus...

M. Caire : ...névralgiques, dont l'impact va être beaucoup plus grand s'il y avait une cyberattaque. Donc, ça... Alors, il faut les identifier puis il faut voir comment on interagit avec eux autres. C'est pour ça que les projets pilotes, vous avez raison, ça, c'est un point, un pan très important du projet de loi pour la suite des choses.

Mme Setlakwe : Donc, vous souhaitez intervenir en priorité dans des... en tout cas, ce n'est pas une déclaration formelle que vous faites ce matin, là, mais une des priorités, ce serait des entreprises privées dans secteur de l'énergie? Ça pourrait être l'éolien.

M. Caire : Des entreprises privées dans des secteurs stratégiques, mais, oui, dans des secteurs qui sont stratégiques pour l'économie québécoise. Oui. Oui, parce que c'est... On le voit, là, quand on sort du domaine public, évidemment, mais, le domaine public, on est déjà dans le réseau gouvernemental de cyberdéfense. Mais quand on va dans l'entreprise privée, il y a des secteurs qui sont névralgiques pour l'économie, le secteur bancaire, entre autres, bon, on parle de l'énergie, c'est un autre secteur qui est important. Bien, on peut paralyser l'économie d'une société à travers des cyberattaques concertées, donc comment on peut travailler avec ces secteurs-là pour assurer une plus grande cybersécurité de nos secteurs stratégiques.

Mme Setlakwe : D'autres exemples?

M. Caire : Non, je pense que ça donne une bonne idée, là, de l'intention.

Mme Setlakwe : Est-ce que vous pensez qu'il y a suffisamment de sensibilisation de la population?

• (11 h 50) •

M. Caire : Oui, dans les secteurs stratégiques, oui, mais c'est la cohésion qu'il faut gagner. Donc, moi, je dis toujours : le silo est l'ami du cyberattaquant. Alors, c'est cette cohésion-là qu'on veut aller chercher. Mais les secteurs névralgiques sont... ont probablement à un bon niveau de conscience du risque. Mais, si on travaille en cohésion, en cohérence, on est plus efficaces.

Mme Setlakwe : Merci. La CAI avait... On a parlé de la CAI, la semaine dernière, là, la Commission d'accès à l'information, qui a soumis... en fait, qui est une des seules entités à avoir soumis un mémoire. Il y en a eu très peu. On n'a pas eu beaucoup de... beaucoup d'échanges durant les consultations, il y a beaucoup de groupes qui se sont désistés. Mais la CAI est venue, bon, nous parler des articles 10 et 19. Ça, on en a parlé. En fait, le... toute la question des règles de gouvernance, ça, ça va, on en a parlé abondamment. Mais au niveau de l'article 16, ils ont des enjeux, là. Ils disent que «l'article 16 va permettre au gouvernement d'autoriser la mise en œuvre d'un projet pilote, bon, ça, ça va, qui vise à étudier, expérimenter, innover dans le domaine de la cybersécurité ou du numérique, ou à définir des normes applicables.» Est-ce que vous avez considéré leurs préoccupations? Là, j'y arrive, là, dans... ils avaient...

M. Caire : Bien, en fait, oui. Je vous dirais que, si vous regardez le deuxième alinéa, l'idée était effectivement de... Parce qu'en fait la CAI dit : Vous devriez faire comme on le fait dans le projet de loi n° 14, mais on n'est pas... Ce n'est pas le même champ d'intervention. La loi 14, on vise des projets en ressources informationnelles qui sont d'intérêt gouvernemental, alors que là, on vise des projets pilotes qui vont nous permettre d'aller plus vers le normatif ou la définition de règles, de normes. On n'est pas dans la mise en place d'une application en technologies de l'information, où là, on va chercher dans les banques d'information du gouvernement des données, des informations.

Maintenant, le projet pilote... Puis on a rajouté le deuxième alinéa pour dire : Écoutez, c'est sûr que ce projet pilote là va se faire dans le respect des dispositions législatives applicables, on penser à la loi 25 notamment, mais on n'est pas dans des projets à ressources informationnelles, on est dans des projets qui visent à établir des normes, des façons de faire, des standards.

Mme Setlakwe : Puis vous dites que ça doit respecter... dans le respect des dispositions législatives applicables?

M. Caire : Oui, oui. Bien oui, il faut. Bien, le gouvernement peut établir aussi des normes applicables aux projets pilotes, donc...

M. Caire : ...dépendamment, on se donne aussi la souplesse de dire : Bien, dépendamment du projet pilote, il y a peut-être certaines normes supplémentaires qui devront être mises en place, puis là, on a la possibilité de le faire avec le deuxième alinéa. Mais c'est fonction du projet pilote. Tu sais, de façon générale, on va respecter les lois, puis de façon particulière, on pourra rajouter des normes et des obligations.

Mme Setlakwe : «La commission suggère d'ajouter à l'article 16 que le Gouvernement doit édicter des règles particulières dans le cadre d'un projet pilote lorsqu'il existe un degré élevé d'attente... d'atteinte raisonnable en matière de vie privée sauf si une disposition d'une loi ou d'un règlement prévoit déjà une protection adéquate. Une telle précision pourrait bonifier l'article 16.»

M. Caire : Bien, en tout respect, je ne suis pas d'accord avec la CAI, parce que, faire une évaluation des facteurs relatifs de la vie privée, c'est un travail qui est quand même très important. Et de le faire systématiquement sans savoir c'est quoi, le projet pilote, ça vise quoi, tu sais, c'est comme de dire : dans tous les projets pilotes, sans savoir ce que vous allez faire, sans savoir les hypothèses que vous allez tester, vous devriez faire une évaluation des facteurs relatifs à la vie privée. Mais il y a des projets pilotes, Mme la députée, qui n'auront aucun impact sur la vie privée, là. On s'entend, là, on parle d'une capacité normative. Alors, ce n'est pas... on ne parle pas de... comme je dis, là, d'un projet en ressources informationnelles, qui accède à des données, qui va traiter de la donnée, qui, dans certains cas, va en générer. On n'est pas là du tout, là. Donc, moi, je pense que le deuxième alinéa fait bien le travail. Compte tenu de la raison pour laquelle l'article 16 est édicté, je pense que ça fait le travail.

Mme Setlakwe : Oui, ça le fait, c'est sûr. Ça le fait de façon moins stricte, je dirais. Ce qu'eux disent, à la CAI, ce n'est pas de faire cette évaluation-là dans tous les cas, c'est de dire «que le gouvernement doit édicter des règles particulières dans le cadre d'un projet pilote lorsqu'il existe un degré élevé». Est-ce que ça, c'est une notion connue, un degré élevé d'attente? Non, je pense qu'ils se sont trompés. C'est «d'atteinte raisonnable en matière de vie privée»? C'est «atteinte».

M. Caire : Bien, c'est pour ça que je vous parle d'évaluation des facteurs relatifs à la vie privée. C'est parce que, ce que ça sous-entend, c'est qu'il faudrait systématiquement faire cette évaluation-là pour valider est-ce qu'il y a un degré... au degré d'atteinte à la vie privée. Mais ça, on le sait, si on fait l'évaluation puis selon ce qui... la formulation qui est utilisée par la CAI. Puis, oui, on va le retrouver dans la loi 95, on va le retrouver dans la loi 25, notamment, là. Mais ça, c'est, oui, quand il y a des projets en ressources informationnelles, mais on n'est pas dans des projets en ressources informationnelles.

Mme Setlakwe : O.K. Troisième alinéa, c'est la durée. Pourquoi vous avez choisi trois ans?

M. Caire : Parce qu'en général je vous dirais que ça nous... après trois ans, là, tu sais, si on n'a pas une bonne idée des hypothèses qu'on veut tester... Tu sais, normalement, ça risque d'être moins que ça, là, les projets puis la durée des projets pilotes. Mais en trois ans, on est capables, je pense, de collecter une bonne information, des cas qui vont être très parlants. Puis on se rajoute aussi la possibilité de l'étirer d'un an, là, dans les faits, donc ça peut aller jusqu'à quatre ans. Mais on parle quand même de projets pilotes sur du normatif en cybersécurité, là. L'idée générale, c'est... Je vous dirais que c'est d'aller même peut-être un petit peu plus vite que ça, là.

Mme Setlakwe : Mais ça ne dit pas que c'est... vous, vous semblez dire : ça vise du normatif, mais ça... à la lecture de cet article-là, ça me semble très large. Non?

M. Caire : Oui. Bien, c'est parce que, si vous regardez, bon, «expérimenter ou innover dans le domaine de la cybersécurité ou dans celui du numérique ou à définir des normes applicables à un tel domaine», donc, oui, on est vraiment dans l'idée de pouvoir établir un cadre normatif.

Mme Setlakwe : O.K. Donc, trois ans plus un an?

M. Caire : Oui.

Mme Setlakwe : Puis après, on vient dire «le gouvernement peut en tout temps modifier un projet pilote».

M. Caire : Oui.

Mme Setlakwe : Ça, là, c'est assez large, là. Modifier, ça veut dire, dans le fond, vous...

M. Caire : Oui, mais en même temps, c'est de se donner la capacité de dire : Aïe! On ne s'en va pas pantoute dans la bonne direction, là. Ça fait que là, on fait quoi, on continue pendant trois ans pour en arriver à la conclusion qu'on... tu sais, qu'on ne va pas dans la bonne direction? Bien, c'est d'avoir cette agilité-là, qui est nécessaire dans un domaine où on innove. Puis quand on innove, il faut avoir de l'agilité, là.

Mme Setlakwe : Puis quelles sont vos obligations de rendre compte des...

M. Caire : ...17, puis là, c'est le...

Mme Setlakwe : De... de... de... Oui.

M. Caire : Oui, c'est le dernier...

Mme Setlakwe : C'est le dernier, hein?

M. Caire : Oui. ...projets pilotes doivent être publiés sur le site Internet du ministère de la Cybersécurité et du Numérique au plus tard un an après la fin du projet pilote.

Mme Setlakwe : Mais là, c'est très long. Moi, je trouve ça très long, là. Ça peut durer quatre ans, ça peut être modifié, puis là, si c'est modifié... Mais on... on reste à l'intérieur du terme initial ou non?

M. Caire : Oui. Oui, mais... Bien... Oui, mais, en même temps, c'est... l'idée, c'est de se dire: Bon, bien, on se donne plus de temps selon la loi. Mais, comme je vous dis, dans les faits, un projet pilote qui aura duré quatre ans, effectivement, je suis d'accord avec vous, c'est long, mais là, on va probablement être dans quelque chose à un autre niveau.

Donc, c'est de se donner de la marge de manœuvre, parce que, tu sais, la loi, bon, elle est adoptée, puis, si on se rend compte qu'on ne s'est pas donné assez de marge de manœuvre, il faut revenir en mesures législatives, on est peut-être mieux de s'en donner un peu plus puis d'en avoir besoin d'un peu moins.

Mme Setlakwe : Merci. Puis quelle est la... Ah! juste... Je serais curieuse de...

M. Caire : Bien, Me... Me Bacon disait: C'est... c'est des durées qui sont standards.

Mme Setlakwe : O.K. C'est quoi, vos comparables?

La Présidente (Mme D'Amours) : Me Bacon.

Mme Bacon (Nathalie) : Mme la Présidente, les comparables, il y en a plusieurs, là: vous avez le Code de la sécurité routière; vous avez la Loi encadrant le cannabis; vous avez la Loi sur les contrats des organismes publics; la Loi mettant fin à la recherche d'hydrocarbures, le chapitre R-1.01; après ça, le chapitre I-13.3, Loi sur les infrastructures... l'instruction publique; le chapitre P-29, Loi sur les produits alimentaires; et le chapitre H-1.01, Loi sur l'hébergement touristique. On ne devrait pas en avoir oublié.

La Présidente (Mme D'Amours) : Merci. C'est tout le temps que nous avions. Donc, je vous remercie pour votre collaboration.

Compte tenu de l'heure, la commission ajourne ses travaux sine die. Merci, tout le monde.

(Fin de la séance à 12 heures)