Journal des débats (Hansard) of the Committee on Institutions
Version préliminaire
42nd Legislature, 1st Session
(November 27, 2018 au October 13, 2021)
Cette version du Journal des débats est une version préliminaire : elle peut donc contenir des erreurs. La version définitive du Journal, en texte continu avec table des matières, est publiée dans un délai moyen de 2 ans suivant la date de la séance.
Pour en savoir plus sur le Journal des débats et ses différentes versions
Thursday, September 24, 2020
-
Vol. 45 N° 95
Special consultations and public hearings on Bill 64, An Act to modernize legislative provisions as regards the protection of personal information
Aller directement au contenu du Journal des débats
12 h (version non révisée)
(Douze heures douze minutes)
Le Président (M.
Bachand) :À l'ordre, s'il vous plaît! À
l'ordre, s'il vous plaît, s'il vous plaît! Merci. Ayant constaté le quorum, je
déclare la séance de la Commission des institutions ouverte. Je vous souhaite
bien sûr la bienvenue et, comme vous le savez, je vous demande d'éteindre la
sonnerie de votre appareil électronique.
La commission est réunie afin de
poursuivre les auditions publiques dans le cadre des consultations particulières
sur le projet de loi n° 64, Loi modernisant des dispositions
législatives en…
Le Président (M.
Bachand) : ... s'il vous plaît! S'il vous plaît! Merci. Ayant
constaté le quorum, je déclare la séance de la Commission des institutions
ouverte. Je vous souhaite, bien sûr, la bienvenue et, comme vous le savez, je
vous demande d'éteindre la sonnerie de votre appareil électronique.
La commission est réunie afin de
poursuivre les auditions publiques dans le cadre des consultations particulières
sur le projet de loi n° 64, Loi modernisant des dispositions
législatives en matière de protection des renseignements personnels.
Avant de débuter, Mme la secrétaire, y
a-t-il des remplacements?
La Secrétaire
: Oui, M.
le Président. M. Fontecilla (Laurier-Dorion) sera remplacé par M. Nadeau-Dubois
(Gouin).
Le Président (M.
Bachand) :Merci beaucoup. Est-ce qu'il y
a des droits de vote par procuration?
La Secrétaire
: Oui. M. Lévesque
(Chapleau) a un droit de vote pour les députés suivants : M. Lafrenière
(Vachon), Mme Lecours (Les Plaines), M. Lamothe (Ungava); M. Tanguay
(LaFontaine) a un droit de vote pour M. Birnbaum (D'Arcy-McGee).
Le Président (M.
Bachand) :Merci beaucoup.
Ce midi, nous allons recevoir les
représentants du Conseil du patronat du Québec. Alors, bienvenue. Je vous
rappelle que vous disposez de 10 minutes de présentation et, par après, nous
aurons un échange avec les membres de la commission.
Donc, je vous invite à débuter, d'abord en
vous présentant et après ça, de procéder à votre exposé. Merci.
M. Blackburn (Karl) : Alors,
merci. Je m'appelle Karl Blackburn, je suis président en chef de la direction
du Conseil du patronat. Je suis accompagné de Me Caroilne Gagnon, qui est vice-présidente,
Travail et Affaires juridiques au Conseil du patronat.
D'abord, M. le ministre, mesdames
messieurs les députés, merci de permettre au Conseil du patronat du Québec de
venir exprimer son point de vue de cette réforme importante. Le Conseil du
patronat du Québec, c'est 50 ans de cohésion et de dialogue. Le CPQ incarne la
voix des employeurs du Québec et représente les intérêts de plus de 70 000
employeurs de toutes tailles et de toutes les régions, et ceux du secteur privé
ou parapublic, et cela directement ou par l'intermédiaire de 70 associations
sectorielles ...
D'emblée, nous savions la volonté du gouvernement
et son leadership, à l'effet de moderniser l'encadrement qui doit assurer la
protection de renseignements personnels. Nous vivons désormais dans une ère
numérique. Si les transformations ont été graduelles sur plusieurs décennies, l'évaluation...
l'évolution, pardon, a été fulgurante au cours des dernières années. Les modes
de collecte, d'utilisation et de conservation des données, on a vu décupler
leur capacité et leur accessibilité.
Jamais dans l'histoire les rapports entre
citoyens n'ont été transformés aussi rapidement et à aussi grande échelle. Les
gouvernements, les entreprises, les institutions et les individus ont tous été
rapprochés et interconnectés sur pratiquement toutes les facettes de leurs
activités. Avant la pandémie... Avec la pandémie, pardon, l'apport du numérique
dans l'économie et dans nos rapports sociaux a été accentué encore davantage et
de manière exponentielle.
Les échanges commerciaux évoluent également
dans un environnement numérique de plus en plus complexe, obligeant les
gouvernements à mettre leurs efforts en commun afin d'harmoniser et de
renforcer leurs mesures d'encadrement. Car il faut éviter de placer nos
entreprises et nos institutions en situation d'isolement par rapport à leurs
voisins. Dès lors qu'un projet de loi affecte la transmission transfrontalière
de données, un arrimage s'impose pour harmoniser le tout avec les autres...
M. Blackburn (Karl) : ...et de
renforcer leurs mesures d'encadrement. Car il faut éviter de placer nos entreprises
et nos institutions en situation d'isolement par rapport à leurs voisins. Dès
lors qu'un projet de loi affecte la transmission transfrontalière de données,
un arrimage s'impose pour harmoniser le tout avec les autres provinces, le
fédéral et nos partenaires commerciaux. Nous comprenons à quel point ce défi
d'arrimage est grand, mais nous sommes confiants que le gouvernement, à terme,
ne commettra pas l'erreur de faire cavalier seul dans un univers interconnecté.
C'est donc avec cet oeil que nous avons
analysé ce projet de loi qui modernise la protection des renseignements
personnels dans le secteur privé. Le mémoire que vous avez en main propose
trois angles d'approche : l'importance de la coordination avec les autres
juridictions au Canada et les autres partenaires économiques; l'atteinte des objectifs
et les coûts d'implantation pour les entreprises; et les exigences issues des dispositions
particulières du projet de loi n° 64 et les enjeux
des entreprises.
D'abord, il nous paraît fondamental de
chercher par tous les moyens à coordonner et à harmoniser nos exigences
législatives avec celles de nos voisins et autres marchés économiques. Notre
mémoire rappelle par exemple que votre projet de loi s'inspire en bonne partie
du Règlement général sur la protection des données de l'Union européenne. Ce règlement
comporte des différences significatives par rapport à la loi canadienne sur les
protections des renseignements personnels et les données électroniques. Pour ne
citer que quelques exemples : la notion de consentement explicite, le
droit à la portabilité, le droit à l'effacement ou à l'oubli et la protection
du droit à la vie privée dès la conception. Ce ne sont pas des notions
présentes dans la loi canadienne. Ces différences significatives entre ces deux
régimes de protection risquent de poser un problème de fond. En effet, comme le
projet de loi n° 64 est essentiellement inspiré de la
réglementation européenne, alors que cette dernière n'est pas en adéquation
avec la loi canadienne, le Québec risque de devoir se conformer à un régime
différent de celui de nos voisins et partenaires. Ce faisant, les distinctions
majeures qui existent risquent inévitablement d'isoler et de ralentir plusieurs
activités économiques du Québec. C'est pourquoi nous recommandons d'assurer une
action concertée avec les autres provinces et le fédéral avant l'adoption de la
forme définitive du p.l. n° 64 et d'assurer que l'encadrement
des données personnelles et de leur circulation transfrontalière est harmonisé
avec les principaux partenaires commerciaux du Québec.
De plus, qu'en est-il du vol des données
personnelles par les fraudeurs? Vous savez que, si une entreprise doit assumer
des pénalités plus importantes lorsqu'elle est victime d'un vol de données, on
ne réglera en rien la situation de l'individu dont les renseignements
personnels sont utilisés par les fraudeurs. De ce fait, ne serait-il pas
important d'évaluer toutes les solutions permettant d'assurer la protection des
données personnelles, par exemple en mettant disponible un processus
automatique...
M. Blackburn (Karl) : ...on ne
réglera en rien la situation de l'individu dont les renseignements personnels
sont utilisés par des fraudeurs. De ce fait, ne serait-il pas important d'évaluer
toutes les solutions permettant d'assurer la protection des données
personnelles, par exemple, en mettant disponible un processus automatique
d'anonymisation lors d'un vol de données?
En revanche, le CPQ reconnaît qu'il est
important de prévoir des sanctions pour les organisations délinquantes. Même le
gouvernement n'est pas à l'abri des défis de sécurité que comporte la
cybercriminalité. Cela étant, l'État doit pouvoir jouer un rôle
d'accompagnateur pour favoriser les meilleures pratiques et établir des mesures
visant à gagner et conserver la confiance du public. C'est pourquoi nous
recommandons d'explorer d'abord les meilleures pratiques pour contrer les
cyberattaques et de s'assurer que les dispositions législatives préconisées se
limitent à ce qui est essentiel pour assurer la protection des renseignements
personnels.
En juillet dernier, un grand nombre
d'associations des grandes, des moyennes et des petites entreprises du Québec
ont mentionné que l'analyse d'impact du projet de loi n° 64 fait par le gouvernement
sous-estimait de manière importante les coûts réels engendrés par une telle
réforme. Notre mémoire démontre que les coûts d'implantation, des coûts de
maintien récurrents et tout le fardeau administratif, notamment pour les PME,
n'est pas suffisamment pris en compte. C'est pourquoi nous recommandons de
procéder à une analyse d'impacts réglementaires en ciblant plus
particulièrement les mesures qui ont un impact réel sur la protection des
renseignements personnels de celles qui n'en ont pas afin de diminuer le
fardeau réglementaire des entreprises.
• (12 h 20) •
Aussi, le projet de loi n° 64 propose
de modifier l'article 14 de la loi sur le privé qui prévoit déjà que le
consentement doit être manifeste, libre, éclairé et être donné à des fins
spécifiques. Il souhaite y ajouter que ce consentement doit être requis de
nouveau pour chacune des fins, des termes simples et clairs, distinctement de
toute information communiquée à la personne concernée. En plus d'alourdir et
complexifier les processus, notamment pour le secteur financier et commercial,
et même dans la gestion des dossiers des employés, cette notion de consentement
spécifique est inexistante dans la législation canadienne et européenne.
Conséquemment, nous recommandons de permettre le consentement en bloc dans la
mesure où le consentement vise généralement à accéder aux informations
nécessaires dans un cadre contractuel ou autre.
Quant à la circulation transfrontalière
des renseignements personnels, des changements proposés dans le projet de loi
viennent ajouter un fardeau considérable sur les épaules des entreprises
québécoises qui transigent dans d'autres juridictions. Par exemple, le projet
de loi propose d'obliger les entreprises à effectuer une évaluation
individuelle des équivalences des lois sur la protection des données dans
toutes les juridictions auxquelles elles pourraient être amenées à transférer
des données. C'est pourquoi nous recommandons de procéder à une évaluation
globale de la notion de degré d'équivalence et de coordonner cette disposition
avec celles des autres...
M. Blackburn (Karl) :
...évaluation individuelle des équivalences des lois sur la protection des
données dans toutes les juridictions auxquelles elle pourrait être amenée à
transférer de données. C'est pourquoi nous recommandons de procéder à une évaluation
globale de la notion de degré d'équivalence et de coordonner cette disposition
avec celles des autres juridictions canadiennes qui n'affecteraient pas la
compétitivité des entreprises québécoises. Et aussi, nous recommandons de
prévoir que des mesures contractuelles puissent être un élément d'office qui
lui permet d'assurer la protection des renseignements personnels.
Enfin, sur la question des sanctions, nous
reconnaissons qu'un resserrement d'un encadrement doit comporter des
ajustements, des pénalités, afin de... de dissuader, pardon, les contrevenants.
Le projet de loi prévoit une augmentation substantielle des sanctions
administratives pécuniaires et des amendes pénales. Mais vu l'ampleur des
nouveaux concepts introduits par le projet de loi, la moindre interprétation
erronée entraînera d'importantes pénalités. Par ailleurs, le fait que la
transmission de données peut traverser plusieurs juridictions canadiennes et
qu'aucun arrimage n'est encore prévu à cet effet, un seul événement pourrait se
voir sanctionner plusieurs fois et ainsi recevoir une pénalité disproportionnée
eut égard à la faute. C'est pourquoi nous demandons une certaine souplesse à
cet égard afin de donner le temps aux entreprises de s'adapter aux nouvelles
dispositions avant que des sanctions importantes leur soient imposées et que
soit inclus dans la loi qu'une seule amende à la juridiction où la faute a été
commise puisse être imposée.
M. le ministre, en somme, nous souscrivons
évidemment à l'idée de moderniser les mesures de protection des renseignements
personnels. Nous avons cherché à démontrer toute l'importance de travailler de
pair avec nos voisins et partenaires, et les conséquences négatives pour nos
entreprises et notre économie de faire cavalier seul. Vous devez utiliser le
leadership qui vous caractérise, non pas comme rempart contre les autres, mais
comme tremplin pour faire en sorte que le Québec assume son rôle de leader
partout sur la planète. Le Conseil du patronat du Québec demeure convaincu que
le meilleur moyen d'arrimer des dispositions législatives plus robustes dans la
société québécoise tout en s'assurant de leur application réside en grande
partie dans le rôle de l'État de mettre en place des moyens, des guides de
bonnes pratiques, des contrats types, des lignes directrices d'interprétation,
des normes plus complexes, qui assurera le respect des normes et ultimement une
réelle protection des renseignements personnels.
Nos recommandations se veulent
constructives, et nous offrons à nouveau toute notre collaboration au
gouvernement pour s'assurer de la mise en oeuvre de moyens efficaces, réalistes
et adaptés pour que les entreprises puissent poursuivre leurs activités
économiques dans un monde de concurrence interjuridictionnelle en s'assurant du
respect de la protection des renseignements personnels de tous les citoyens du
Québec. Merci.
Le Président (M.
Bachand) : Merci beaucoup, M. Blackburn. M. le ministre,
s'il vous plaît.
M. Jolin-Barrette : Merci, M.
le Président. Bonjour, M. Blackburn, merci d'être présent...
M. Blackburn (Karl) :
…poursuivre leurs activités économiques dans un monde de concurrence
interjuridictionnelle en s'assurant du respect de la protection des
renseignements personnels de tous les citoyens du Québec. Merci.
Le Président (M. Bachand) :
Merci beaucoup, M. Blackburn. M. le ministre, s'il vous plaît.
M. Jolin-Barrette : Merci, M.
le Président. Bonjour, M. Blackburn, merci d'être présent en commission
parlementaire. Vous me permettrez de vous féliciter pour votre nomination à la
tête du Conseil du patronat, on n'avait pas eu l'occasion de se voir ou… bien
là, c'est virtuellement, mais toutes mes félicitations et bonne continuité
aussi dans votre mandat à la tête du Conseil du patronat.
Peut-être, d'entrée de jeu, là, au niveau
des entreprises, là, la FCEI est venue avant vous, avant-hier, on a eu
également la Fédération des chambres de commerce, et ce qu'on constate, et je
le dis, là, de façon très pondérée, c'est qu'il y a peut-être une petite
réticence de la part du milieu des affaires relativement à la rapidité avec
laquelle on devrait aller de l'avant avec le projet de loi n° 64 ou la
protection des renseignements personnels. Ce que je lis, là, des trois
organisations, des trois mémoires, c'est de dire : Faites attention, vous
devez vous assurer d'avoir le même cadre d'encadrement, là, si je peux dire,
là, que les autres juridictions canadiennes et nord-américaines. Dans
la balance, de l'autre côté, par contre, on a les citoyens qui réclament
ardemment un renforcement de la Loi sur la protection des renseignements
personnels. Donc, comment on arrime tout ça? Puis peut-être, sous question
aussi, comment vous voyez ça la détention des informations personnelles par les
tiers?
M. Blackburn (Karl) : Ce que
je peux faire, M. le ministre… d'abord, merci pour vos bons mots, je les prends
avec beaucoup de fierté. Ceci étant, le monde des affaires n'est pas contre, au
contraire, d'un meilleur encadrement au niveau des renseignements personnels.
Nous sommes tous, à la base, des individus qui… on voit bien à chaque semaine
dans les médias des histoires d'horreur concernant le vol de données
personnelles. Il est clair que, pour nos organisations, on est d'accord avec la
démarche qui vise à encadrer le respect ou la garde de ces données personnelles
pour éviter que des fraudeurs, pour éviter que des groupes mal intentionnés
puissent malheureusement les utiliser et causer des torts extrêmement
importants aux citoyens qui se verraient ainsi floués de leurs données
personnelles.
Maintenant que je vous dis ça,
effectivement, il y a quand même une certaine préoccupation concernant
l'application de telles mesures parce que, qu'on le veuille ou non, la COVID-19,
la pandémie dans laquelle malheureusement toute l'économie mondiale a été
plongée, je dirais qu'elle nous a plongés dans le XXIe siècle. Si, en
2000, on pensait que tout allait arrêter, bien, tout a continué de fonctionner,
mais, en mars dernier, je pense qu'on a frappé notre bogue de l'an 2000,
et, depuis ce temps, la vitesse grand V prévaut pour des mesures d'aide, les
programmes mis en place, l'accélération de l'utilisation de la technologie en
termes de capacité de transiger avec nos clients, de capacité de transiger avec
nos fournisseurs et nos partenaires, mais également la capacité de transiger
avec le gouvernement. Qui aurait pensé, il y a quelques mois à peine, qu'on
était rendus à cette étape-là? Alors…
M. Blackburn (Karl) :
...les programmes mis en place, l'accélération de l'utilisation de la technologie
en termes de capacité de transiger avec nos clients, de capacité de transiger
avec nos fournisseurs et nos partenaires, mais également la capacité de
transiger avec le gouvernement. Qui aurait pensé, il y a quelques mois à peine,
qu'on était rendus à cette étape-là? Alors, force est de constater que la technologie
occupe maintenant beaucoup de place dans notre environnement économique.
Et je suis convaincu que si nous
positionnons correctement le leadership qui vous caractérise, M. le ministre,
nous pouvons faire en sorte que ce tremplin de protection des données personnelles,
de la volonté que le gouvernement, que les citoyens et que les entreprises ont
de faire en sorte qu'on puisse protéger ces données-là de façon efficace et
correcte, bien, que ça ne soit pas un frein à la relance économique pour le
Québec, mais au contraire que ça puisse nous servir de tremplin.
Parce que nos inquiétudes, elles se
retrouvent là. Bien évidemment, on l'a présenté dans notre mémoire, à partir du
moment où malheureusement il y aurait des éléments qui feraient en sorte qu'on
deviendrait un peu plus isolés par rapport aux partenaires d'affaires des
autres provinces ou des autres pays, bien, malheureusement il y a des avantages
économiques qui, inévitablement, pourraient se traduire par des conséquences
sur notre relance économique, sécuritaire et durable à laquelle tous nous
aspirons.
Alors, ce qu'on dit au gouvernement :
On a quelque chose d'extrêmement solide entre les mains. Vous avez quelque
chose d'extrêmement solide entre les mains. Je pense que ça serait important de
prendre le temps nécessaire de mettre en place chacune des pièces du puzzle
pour nous assurer que ces mesures de protection, qui visent à protéger puis à
rassurer des citoyens, ne soient pas un frein à la relance économique, mais au
contraire puissent être un avantage sur les entreprises au Québec pour le
gouvernement du Québec et pour les citoyens du Québec.
Et pour votre deuxième sous-question, de
la façon de garder, je vous dirais, les données par rapport à la question que
vous souleviez dans le projet de loi, je demanderais à ma collègue,
Me Karolyne Gagnon, de vous donner davantage de concret ou d'explication
concernant la garde spécifique des données. Karolyne.
Mme Gagnon (Karolyne) : Alors,
merci, M. le ministre. Merci, M. Blackburn. Ce qui est important de
savoir, en fait, au niveau de la conservation, de la transposition des données,
surtout dans un système, là, comme le nôtre, c'est bien toutes ces notions
d'équivalence, parce que je crois que c'est un des éléments qu'on a soulevés,
par rapport au test d'équivalence et aux notions qui ont été établies dans le
projet de loi n° 64. On ne retrouve plus la possibilité de façon
contractuelle de s'entendre sur les bonnes pratiques, les bonnes façons de
faire. Puis je pense qu'avant tout, pour protéger les données des citoyens, il
est important que ça soit les entreprises, les tiers entre eux qui prennent les
meilleures dispositions.
• (12 h 30) •
Alors, on n'est pas contre le fait de
protéger, en fait, on a parlé également de la notion de consentement du
citoyen. Mais, comme vous l'avez entendu, là, longuement le 22 et le 23, là,
devant vous, la notion de consentement est un risque aussi pour le citoyen qui
n'a pas toujours toutes les données possibles, là, pour savoir à quoi il doit
être protégé. Alors, nous, dans ces tests-là, des tests d'équivalence qui, en
ce moment, sont très rigides, qui...
12 h 30 (version non révisée)
Mme Gagnon (Karolyne) :
...longuement le 22 et le 23, là, devant vous. La notion de consentement est un
risque aussi pour le citoyen qui n'a pas toujours toutes les données possibles
pour savoir à quoi il doit être protégé. Alors nous, dans ces tests-là, des
tests d'équivalence qui en ce moment sont très rigides qui également, là,
demandent aux entreprises, petites, moyennes et grandes. Il faut dire que les
grandes... plus de moyens que les petites, mais de faire en sorte de faire une
étude exhaustive, d'envoyer des experts dans les différentes juridictions. Nous
croyons que généralement, et ça s'est déjà fait et ça se fait dans l'économie
et ça s'est toujours fait, que des bons contrats, des bonnes ententes avec...
entre les tiers, entre les différentes parties prenantes, là, d'un contrat de
transfert de données demeurent importants et doivent être ajoutés à la loi.
Là, je ne peux pas vous dire en détail.
Naturellement, je suis la vice-présidente du travail et des affaires
juridiques, mais ces éléments-là, dans... en particulier. Je pense que ça vous
a été bien présenté, c'est une préoccupation. Et souvent, ce sont les
entreprises qui sont les mieux outillées pour faire en sorte qu'un contrat
protège le consommateur, protège les citoyens. Puis ça, c'est un élément qui
est très important.
M. Jolin-Barrette : Peut-être
juste une question là-dessus, Me Gagnon. Souvent, le consommateur, ça va être
un contrat d'adhésion ou même s'il s'engage par voie contractuelle au niveau
des données, bien, ce qu'on constate, c'est que le consommateur ne lit pas
nécessairement le contrat ou n'est pas au courant du détail. Puis c'est
l'entreprise qui établit le contrat sur le partage d'informations ou les
données. Le consommateur va vouloir avoir le produit, lui, ou le service et
cette notion-là de consentement n'est pas si apparente que ça. Bien, ce que je
veux dire, la personne, elle signe, elle dit : J'accepte, j'ai compris et
tout ça. Mais on a un défi de pédagogie d'expliquer en quoi le fait de
contracter, le fait de souscrire, ça va être quoi les conséquences. Puis je ne
suis pas sûr que c'est toujours saisi de la façon appropriée.
Hier, on a des gens qui sont venus nous
expliquer, là, les contrats, là, qu'il y a sur le Web, là, qui ont des pages et
des pages aussi. Comment est-ce qu'on fait pour encadrer ça puis s'assurer que
les citoyens réellement consentent aux conséquences, là, du partage de leurs
informations, là?
Mme Gagnon (Karolyne) : C'est
une bonne question, M. le ministre, et je pense que c'est fondamental. Parce
que je suis un citoyen, vous l'êtes aussi, puis la première préoccupation par
rapport à une loi qui origine en fait du droit à la vie privée, c'est qu'on
protège les données, c'est qu'on protège les informations parce que moi aussi
je veux, de façon pertinente, efficace, pouvoir faire des achats, pouvoir
contracter et pouvoir comme on a dit un peu plus tôt, puis vous l'avez bien
entendu, peser rapidement sur le consentement pour avoir accès au produit.
Alors, c'est pour ça qu'on vous dit, qu'on
dit dans notre mémoire : Ce qui est important... En fait, quand on parle
de problèmes transfrontaliers, j'aimerais ça revenir également sur ça, on ne
parle pas de freiner — parce que M. Blackburn, il a bien
répondu — on ne veut pas freiner la mise en oeuvre des dispositions
qui...
Mme Gagnon (Karolyne) : ...pour
avoir accès au produit. Alors, c'est pour ça qu'on vous dit, qu'on dit dans
notre mémoire : Ce qui est important... En fait, quand on parle de
problèmes transfrontaliers, j'aimerais ça revenir également sur ça, on ne parle
pas de freiner — parce que M. Blackburn, il a bien répondu — on
ne veut pas freiner la mise en oeuvre des dispositions qui nous semblent
fondamentales. Ce qu'on demande, c'est de discuter avec l'ensemble de nos
partenaires provinciaux. Alors, c'est important, au fédéral. Moi, j'ai beaucoup
de grandes entreprises, qui sont de juridiction fédérale, qui ont leur place
d'affaires ici au Québec, qui nous disent : Les façons de faire, on veut
les arrimer, on veut avoir le temps de vous parler pour bien faire les choses.
On ne dit pas de changer la loi, on dit simplement : Écoutez-nous. On
comprend que, cette semaine, on a une commission parlementaire qui est
restreinte, là, on est bien honoré de pouvoir s'exprimer au nom des entreprises
qu'on représente, mais il y a plusieurs grandes entreprises et il y a même des
organismes paragouvernementaux et... bon, moi, j'ai eu à faire plus à des
entreprises paragouvernementales qui sont soucieuses de certaines dispositions
naturellement, qui aimeraient vous en parler, qui ont des experts pour vous en
parler, parce que je n'ai aucune prétention d'une expertise aussi poussée. On
m'a parlé, par exemple, de la biotechnologie, là, au niveau du commerce, on m'a
parlé de plusieurs notions qui étaient... Puis, vous le savez, le monde
technologique nous demande une expertise particulière, et il y a des gens qui,
spécifiquement, se posent les bonnes questions. Et je pense qu'au niveau...
puis se servir de tremplins pour justement parler de ces choses-là et de faire
en sorte qu'on les expose de manière précise.
Au niveau du consommateur, parce que ça me
semble être le plus important, quand je vous disais : Oui, il faut
informer le consommateur, on n'est pas dupe, là. Le consommateur espère, puis
je l'espère avant tout, que, lorsqu'il appuie sur un consentement de
30 pages, ou de deux pages, ou de 10 pages, maintenant, l'Internet
n'a plus de limite, là, pour un consentement écrit, mais, oui, que l'État a
fait en sorte que ce type de consentement là reflète quelque chose qu'il
protège. Alors, naturellement, ce qui est important puis ce qui est important
dans notre mémoire, je pense que l'État a un rôle d'éducation et de... et
surtout d'accompagnement des entreprises. Quand on vous a parlé puis quand on
vous suggéré de mettre des guides de bonnes pratiques, de mettre des contrats
types, parce que des contrats types peuvent aider les entreprises, ça va être
un temps énorme, des montants qui sont importants, alors si on... dans la
réduction des montants pour l'évaluation d'analyses d'impact, ça, c'est des
éléments qui sont importants, de faire en sorte... bien là, je ne peux pas
penser que la Commission d'accès à l'information va tout faire, mais qu'on
pourrait faire en sorte, peut-être, là, de donner des instruments qui
permettent aux entreprises, oui, d'établir des régimes de protection pour les
individus et de faire le meilleur qui soit pour qu'on protège ces données-là de
façon importante.
Alors, vous avez parlé un petit peu plus
tôt, là, dans des conversations avec d'autres, dans des représentations, est-ce
que ça se fait ici? Moi, je vais vous dire que le CPQ travaille de pair avec la
CNESST, et déjà, on protège les individus, parce qu'on leur donne des
instruments, ne serait-ce que la politique de harcèlement au travail...
Mme Gagnon (Karolyne) : ...vous
avez parlé un petit peu plus tôt, là, dans des conversations avec d'autres,
dans des représentations. Est-ce que ça se fait ici? Moi, je vais vous dire que
le CPQ travaille de pair avec la CNESST, et déjà, on protège les individus,
parce qu'on leur donne des instruments, ne serait-ce que la politique de
harcèlement au travail. On met des modèles pour les entreprises. Alors, c'est
important d'accompagner, puis de bien accompagner et faire en sorte que oui, on
va respecter le but premier, qui est la protection des renseignements
personnels.
Et j'irais peut-être même un petit peu
plus loin, parce qu'il faut le souligner, au niveau de ces éléments-là, quand
on parle de mettre des choses en place. Pour les individus, oui, on s'est fiés
à l'État, on s'est fiés à une loi solide, mais je vous ai mis également une
expertise, là, qui m'a un peu surprise, au niveau de l'Europe, même après
plusieurs années. L'Europe est bien organisée, avec ses 27 États, et ils ont
même une possibilité, parce qu'ils sont en commission, ils sont regroupés...
C'est beaucoup plus développé, là, que ça ne l'est ici, puis on souhaiterait
avoir le même genre de protection, mais qui coûte très cher aussi pour l'État.
Alors, ils ont mis ensemble toutes leurs connaissances pour permettre, là, aux
entreprises de pouvoir réagir très vite et d'en arriver à des résultats, là,
qui sont probants.
Et malgré ça, ce que je lisais, puis vous
le lirez dans notre mémoire, c'est seulement 33 % des entreprises, en ce
moment, qui sont conformes à la loi. Alors, malgré tout l'appui puis la bonne
volonté qu'on veut mettre en place, le régime, là, qu'on trouve tout à fait
sérieux, puis probablement le meilleur régime au monde, là, même s'il y a des
distinctions qu'il ne faudrait pas avoir ou qu'il faudrait adapter ici au
Québec, alors, c'est un régime qui nous permet, à ce moment-là, de comparer un
peu. Qu'est-ce qu'on veut, tout mettre sur la table ou choisir les meilleures
dispositions pour protéger le citoyen, pour protéger le consommateur, et de
permettre aux entreprises de continuer à pouvoir travailler dans un système où
la concurrence est énorme, la concurrence est mondiale, et de les accompagner,
et de poursuivre, là, en ce sens-là?
M. Jolin-Barrette : Je vous
remercie. J'invite les membres... Bien, en fait, s'il y a des partenaires qui
veulent déposer des mémoires à la Commission des institutions à le faire.
Peut-être que je vais céder la parole, M.
le Président, à mes collègues.
Le Président (M.
Bachand) : Merci. M. le député de Chapleau, s'il vous plaît.
M. Lévesque (Chapleau) : Oui,
merci, M. le Président. Bonjour, M. Blackburn, Me Gagnon, merci de votre
présentation. Peut-être pour poursuivre un peu sur l'idée d'arrimage, dont vous
avez fait mention, là, il y avait des intervenants qui étaient venus
précédemment nous mentionner qu'au niveau... il faudrait un peu attendre et
s'arrimer avec les partenaires provinciaux, au fédéral, puis il faudrait
attendre que le fédéral légifère. J'aimerais vous entendre, pour vous,
qu'est-ce que ce serait, la notion d'arrimage, puis quelles étapes vous voyez.
Est-ce qu'on devrait attendre que le fédéral légifère ou le Québec peut aller
de l'avant, peut, dans le fond, élaborer sa loi puis ensuite s'arrimer? Donc,
juste pour voir un peu, là, où vous vous situez.
M. Blackburn (Karl) : Juste
avant de céder la parole à Karolyne, ce qui nous habite là-dedans... C'est
certain que nos frontières n'existent plus aujourd'hui. Les frontières
n'existent plus. On est capable, à un clic de souris, d'être en communication
avec n'importe quel État à travers le monde. Donc, il y a quand même, je
dirais, une responsabilité de... ce qu'on va mettre en...
M. Blackburn (Karl) :
...juste avant de céder la parole à Karolyne, ce qui nous habite là-dedans,
c'est certain que nos frontières n'existent plus aujourd'hui. Les frontières
n'existent plus, on est capable, à un clic de souris, d'être en communication
avec n'importe quel État à travers le monde. Donc, il y a quand même, je
dirais, une responsabilité de ce qu'on va mettre en place puisse bien desservir
les objectifs que poursuit un gouvernement en termes de protection, mais que ça
puisse également être conforme et applicable de façon efficace en lien avec la
volonté du gouvernement de protéger les données personnelles des citoyens.
Donc, je pense que cet objectif-là nécessite qu'il y ait une coordination, un
arrimage entre notre juridiction voisine juste pour faire en sorte que ce qui
va être mis en place ne fasse pas cavalier seul, mais au contraire soit un
vaste réseau de protection où les juridictions voisines, les juridictions avec
lesquelles on a plus de transactions, bien, soient également au même niveau ou
au même diapason.
• (12 h 40) •
Et de façon plus concrète au niveau légal
ou au niveau de quel projet de loi devrait être déposé avant ou de quel
règlement devrait être amené avant, je demanderais peut-être à Karolyne de vous
donner exactement le positionnement qu'on chérit en termes d'application étape
par étape.
Mme Gagnon (Karolyne) :
Alors, merci, M. Blackburn. Je pense que je n'ai pas la prétention de
pouvoir vous fournir les étapes, mais je crois que ce qui est vraiment important,
le dépôt du projet de loi est sensationnel. Le fait qu'on le dépose maintenant
au début, puis M. Blackburn l'a dit, nos entreprises, en ce moment, sont
prises avec le COVID, avec une reprise économique, avec plusieurs arrimages à
faire, mais c'est un début, le dépôt nous permet de discuter. Ce qu'on demande à
ce moment-ci, c'est, oui, il y a plusieurs préoccupations, il y a plusieurs
subtilités. On a entendu le Pr Gautrais — là, je ne voudrais pas
faire erreur sur son nom — mais qui nous disait : On est une
société particulière puis on a un arrimage particulier aussi parce qu'on est à
l'intérieur d'États qui, eux, font les choses différemment, bon, naturellement,
ne serait-ce qu'au niveau du common law, si on l'applique au niveau des notions
de droit civil.
Alors, on ne demande pas d'attendre que le
fédéral adopte, parce que je pense qu'on ne l'attendra pas, puis je pense qu'on
est souvent les pionniers dans bien des domaines, puis naturellement la
protection des renseignements personnels nous incombe tous comme société et
puis nous préoccupe. Alors, je suis autant préoccupée que le citoyen à côté et
je veux que ça se fasse rapidement, mais on veut que ça se fasse bien. Et quand
on parle de concertation, posons la question : Quelles sont les problématiques
quand je suis une compagnie qui a son siège social au Québec et qui est régie,
pour envoyer des données, des données qui quelquefois ne sont pas nécessairement
des données personnelles qui peuvent se retrouver dans le bottin téléphonique par
exemple? Alors, une loi qui me dit : Bien là, il faut que je fasse une
étude d'impact en Alberta parce que j'ai une filière à qui je veux transférer
des données. C'est des petits…
Le Président (M.
Bachand) : Merci.
Mme Gagnon (Karolyne) :
...bien, des petits ajustements, et ces ajustements-là…
Le Président (M.
Bachand) : Merci, Me Gagnon. Mais je dois vous
interrompre. Le temps passe tellement bien en bonne compagnie, tellement vite
en bonne compagnie.
Mme Gagnon (Karolyne) :
Oh! C'est gentil…
Le Président (M.
Bachand) : M. le député de LaFontaine, s'il vous plaît.
M. Tanguay
: Pour
combien de temps, M. le Président?
Le Président (M.
Bachand) : ...36.
M. Tanguay
:
15 min 36, merci beaucoup. Bien, bonjour...
Mme Gagnon (Karolyne) :
…filière à qui je veux transférer des données. C'est des petits… des petits
ajustements, et ces ajustements-là…
Le Président (M.
Bachand) : Merci, Me Gagnon. Malheureusement, je dois vous
interrompre. Le temps passe tellement bien en bonne compagnie… tellement vite
en bonne compagnie.
Mme Gagnon (Karolyne) : Oh!
C'est gentil…
Le Président (M.
Bachand) :M. le député de LaFontaine, s'il
vous plaît.
M. Tanguay
: Pour
combien de temps, M. le Président?
Le Président (M. Bachand) :
…36.
M. Tanguay
:
15 min 36 s, merci beaucoup. Bien, bonjour, M. Blackburn,
heureux de vous retrouver, de même que Me Gagnon, merci d'être là avec
nous aujourd'hui pour répondre à nos questions. Je pense que votre mémoire puis
votre point de vue est assez limpide, on sait où vous… quelles sont vos
préoccupations qui, je pense, sont des préoccupations tout à fait légitimes, et
je vais m'assurer, M. le Président, de laisser du temps pour que ma collègue de
Notre-Dame-de-Grâce puisse également poser des questions.
Dans votre mémoire, bon, on parle… on voit
évidemment des impacts que pourraient avoir, au niveau de la compétitivité, des
frais engendrés, même des pénalités, là, le cas échéant, d'une lourdeur dans
l'application de ce que seraient des éléments quand même assez nouveaux, d'où
l'importance d'avoir, là, des guides de bonnes pratiques, des contrats types,
des lignes directrices. Vous voulez, bref, avoir une assistance, je dirais ça
de même, du gouvernement, peut-être de la Commission d'accès à l'information,
que soient rendus publics, donc, des guides de bonnes pratiques puis tout ça.
Vous… puis j'ai peut-être mal compris puis
je vous inviterais peut-être à me préciser ça. Vous avez, par ailleurs,
dit : Dans le contexte de la gestion des risques et tests d'équivalence
plus restrictifs au Québec qu'en Europe, vous dites : «Prévoir — à
votre recommandation n° 7 — prévoir que les
mesures contractuelles puissent être un élément d'office qui permette assurer
la protection des renseignements personnels.»
Pouvez-vous expliciter en quoi… moi, quand
je lis ça puis de ce que je comprends, puis peut-être que je fais fausse route,
vous allez me corriger si j'ai tort, mais je vois une sorte d'autorégulation
par négociation contractuelle qui pourrait, par ailleurs, atteindre les
standards requis par la loi québécoise. Mais pouvez-vous expliciter en quoi ça,
ça pourrait être une avenue plus souple, efficace, et qui n'affecterait pas la
compétitivité hors frontières, là, des entreprises québécoises?
M. Blackburn (Karl) : Alors,
merci, M. le député. D'abord, d'entrée de jeu, je vais peut-être faire un peu
un retour sur votre première partie de commentaire, et par la suite, je céderai
la parole à Karolyne, qui pourra davantage vous donner de détails… précis.
La volonté qu'on poursuit comme
organisation, c'est clair qu'elle est la même que ce que vous poursuivez comme
parlementaires, que ce que poursuit le gouvernement, c'est de nous mettre dans
une situation où les données personnelles soient sécurisées, et ce, pour le
bien de tout le monde. Maintenant, on fait un pas de recul et on se remet dans
le contexte de la COVID-19, malheureusement, qui a mis sur pause l'économie
mondiale. On est au coeur, probablement, de la pire crise économique des
150 dernières années. On voit bien qu'il y a des secteurs de l'économie
qui se relèvent plus rapidement, qui sont moins affectés que d'autres. Mais en
contrepartie, il y a d'autres secteurs qui sont durement affectés et qui,
probablement, risquent de ne pas être capables de se relever. Donc, dans le
contexte, souvent, vite et bien, ça ne fait pas toujours… ce n'est pas toujours
la meilleure façon de…
M. Blackburn (Karl) : ...de l'économie
qui se relèvent plus rapidement, qui sont moins affectés que d'autres. Mais en
contrepartie, il y a d'autres secteurs qui sont durement affectés et qui, probablement,
risquent de ne pas être capables de se relever. Donc, dans le contexte,
souvent, vite et bien, ça ne fait pas toujours... ce n'est pas toujours la
meilleure façon de procéder. Donc, dans ce contexte, les éléments qu'on soulève
par rapport à l'application du mémoire, les objectifs qu'on poursuit comme organisation,
sont les mêmes que poursuit le gouvernement. Alors, ça, c'est clair. La
protection des données et un encadrement des mécanismes régissant cette
protection des données.
Maintenant, le contexte un peu... pas un
peu, le contexte très particulier dans lequel on se retrouve nécessite, je
dirais, d'accorder une importance plus grande à plusieurs points de détails qui
risquent, dans un monde normal, d'être très difficile, voire impossible à
appliquer.
Et la question que vous soulevez, elle est
extrêmement pertinente et, à ce moment-ci, je demanderais à Karolyne de vous
donner davantage les orientations par rapport au point précis que vous avez
soulevé dans votre commentaire, M. le député.
Mme Gagnon (Karolyne) : Alors,
merci, M. Blackburn. Bonjour, M. le député de LaFontaine, ça me fait plaisir.
Vos questions sont toujours à point et pertinentes, là, relativement à des dispositions
particulières, et c'en est une, principalement, très intéressante puisque
l'article 17... En fait, l'article 17 nous permet de s'assurer que le régime
juridique d'un autre État a suffisamment de protection ou offre suffisamment de
protection lorsque je décide de transmettre des données. Alors, c'est le but
premier de l'article 17.
Quand je parle d'obligations
contractuelles, je me réfère plus au paragraphe 3 où on dit... Il y a
différentes façons de le faire. Alors, une est d'aller voir quel type de régime
juridique on a, quelle est la finalité, quelles sont les protections dont il
bénéficie. Alors, ce qui est important, quand j'ai un contrat, c'est que je
peux transférer cette obligation-là à un tiers. Je peux lui dire : Tu dois
t'assurer que les données ou que la façon de les traiter sont sécuritaires
selon nos propres critères. Alors, ça se passe... un peu la même chose en
construction dans les appels d'offres. Naturellement, je ne peux pas penser que
le sous-traitant, au niveau de l'environnement, va respecter les règles de
l'environnement, puis je ne peux pas toutes les mettre non plus, mais je peux
exiger, de façon contractuelle, qu'il respecte les obligations du Québec, les obligations
d'environnement ou autres, ce sur quoi je n'aurai pas de prise lorsqu'il aura
les données entre ses mains. Alors, ça devient une exigence contractuelle qui
supplée puis qui s'ajoute aux autres exigences. C'est simplement parce que ce
n'est pas prévu.
Peut-être que le législateur... ou, en
fait, peut-être, quand on a déposé le projet de loi, c'était une volonté, parce
que ça a toujours existé, mais quand je parle à différents grands bureaux
d'avocats, des gens qui sont préoccupés de la question, on me dit : On ne
le voit pas apparaître, et ce serait bon que ce soit également prévu, pour que,
justement, quand je transfère des données, j'aie une protection supplémentaire
qui... Parce que je peux faire une grande étude par rapport au terrain, je peux
envoyer un expert, puis l'expert, je ne peux pas savoir si effectivement ce
qu'il va me rendre est concret, m'assure à une protection...
Mme Gagnon (Karolyne) :
...on ne le voit pas apparaître et ce serait bon que ce soit également prévu
pour que justement, quand je transfère des données, j'aie une protection supplémentaire
qui...
Parce que je peux faire une grande étude par
rapport au terrain. Je peux envoyer un expert. Puis l'expert, je ne peux pas
savoir si, effectivement, ce qu'il va me rendre est concret, m'assure à une protection.
Je peux tout faire ça par rapport à l'étude qui est très exhaustive. Mais, en
plus de ça, si mon partenaire, de façon contractuelle, s'engage à respecter
toutes les données qui sont... ou tous les moyens qui sont pris ici au Québec
pour protéger les données personnelles d'un individu, ça devient un élément supplémentaire.
Ce qu'on dit dans notre mémoire : Est-ce
que cet élément-là n'est pas suffisant ici pour se prémunir contre une étude
exhaustive de ces données-là à l'étranger, qui ne vont jamais me garantir que
j'ai l'expert qui est approprié? Je crois que oui. Ça c'est toujours fait au
niveau des contrats. Et le bris d'un contrat ou l'irrespect d'une de ses
dispositions à ce moment-là peut encourir de graves poursuites, là, de part et
d'autre.
Puis je pense qu'on vous avait souligné également
plus tôt que c'est important pour les entreprises. Puis on leur a téléphoné ce
matin à ce niveau-là. Vous savez, une entreprise, là, tient à ce que les
données qu'elle transmet, les données qu'elle a en sa possession soient gardées
confidentielles et à respecter les règles. Il en va souvent de sa réputation.
Il en va souvent même de sa pérennité. Et ça, vous l'avez entendu, mais c'est
ce qu'ils nous disent, là : On veut, nous. On est d'accord. Quand on
dit : On est d'accord...
• (12 h 50) •
Mais on veut tellement bien faire les
choses, on veut aider le gouvernement, on veut qu'il y ait un arrimage et faire
en sorte que, quand on aura un système, qui est bien parti, parce qu'on a un
beau projet de loi, là, avec des dispositions dont la majorité sont
intéressantes... Mais, quand on aura un projet de loi, qui est un guide, comme
le dit Karl, pour l'ensemble de tous les territoires et du Québec et d'ailleurs,
on sera des pionniers. Des pionniers, puis des pionniers qui seront probablement
imités par la suite. Merci.
M. Tanguay
:
...laisser du temps, M. le Président, avec votre permission, à ma collègue de Notre-Dame-de-Grâce.
Dans le fond, si je résume, l'article 17
pourrait, selon cette option-là, se résumer, pour une entreprise, à faire une vérification
diligente du sérieux et de la raisonnabilité de son sous-traitant ou de son
cocontractant. Puis, une fois qu'il a fait cette vérification diligente là, que
mon cocontractant est une entreprise sérieuse, m'offre toutes les indications
qu'elle va bien gérer et protéger les renseignements, donc ça simplifie l'évaluation,
l'analyse. Puis on a toujours comme cocontractant aussi, quand on a de l'information,
par exemple, ou quoi que ce soit, un bien qui appartient à un tiers ou pour
lequel un tiers pourrait réclamer des dommages et intérêts, bien, on a toujours
l'obligation de faire affaire avec des sous-traitants, des contractants qui
sont, à nos yeux, après vérification qu'on n'a pas commis de faute... qui sont
dignes de notre confiance. Donc, ça résumerait l'analyse à cela, et la responsabilité
à cela aussi.
Mme Gagnon (Karolyne) :
Bien, vous l'avez bien exprimé, là, il y aura peut-être des particularités, là,
par rapport à ce qu'on fait. Mais vraiment parce que... moi, je dis, quand on
dit : les mesures de protection... les renseignements...
M. Tanguay
: …digne de
notre confiance, donc ça résumerait l'analyse à cela et la responsabilité à
cela aussi.
Mme Gagnon (Karolyne) : Bien,
l'avez-vous… là? Il y aura peut-être des particularités, là, par rapport à ce
qu'on fait, mais vraiment… parce que, moi, je dis, quand on dit : Les
mesures de protection dont les renseignements bénéficiaient, y compris les
mesures contractuelles, ça vient, en fait, donner l'assurance supplémentaire,
là, qui est au niveau, là, de la diligence raisonnable pourrait être complétée puis
favoriser un bon contrat. Merci, je vous entends…
Le Président (M.
Bachand) : Merci, maître. Alors, je cède la parole à la députée
de Notre-Dame-de-Grâce, s'il vous plaît.
Mme Weil
: Merci
beaucoup. Alors, hier, on a entendu le professeur Gautrais, et puis je vous
dirais que le point et les arguments apportés par le milieu économique et les
acteurs de l'économie, c'est un peu, beaucoup ce que vous avez dit, mais on a
mis beaucoup l'accent sur les petites et moyennes entreprises où ils sont
démunis pour être capable de vraiment livrer la marchandise selon eux. Alors,
on leur posait des questions sur comment arrimer donc, d'une part, l'obligation
de protéger les renseignements personnels et qu'eux soient conformes à l'avoir.
Et on est arrivés sur la question
d'accompagnement du gouvernement et, vous, c'est presque comme ce serait une
recommandation additionnelle que vous auriez peut-être à expliciter, parce que
lui qui est très enthousiaste par rapport à l'orientation du projet de loi, mais
quand on posait ces questions, il dit : L'État — je ne sais pas
s'il a dit en Amérique du Nord, là — mais l'État, souvent, ne fait
pas tout ce qu'ils sont à faire pour aider et accompagner ceux qu'ils ont à
accompagner. Et dans votre phrase, vous dites ça, vous recommandez un peu ce
qu'on a entendu hier, des guides de bonnes pratiques et une aide qui serait,
comment dire, ajustée au niveau de l'entreprise, les grandes, grandes dans un
premier temps. Donc, ça c'est une question que j'ai. Je vais vous poser les
deux questions pour que vous ayez le temps de répondre.
L'autre, la réaction, en tout cas que,
moi, j'ai eue hier, c'est d'essayer d'arrimer le fédéral et toutes les
provinces et les États-Unis, c'est complexe, presque impossible. Comment
proposez-vous, au-delà des discussions, de ne pas constater éventuellement une
certaine inertie, et que, souvent, c'est parce qu'il y a un État en Amérique du
Nord, notamment nous, on avance, on bouge?
Je comprends tout à fait votre
recommandation de consulter, bien consulter, se donner le temps de bien
consulter, apporter les modifications, consulter le fédéral et d'autres, mais
sans tomber dans l'inertie sur un enjeu aussi important.
M. Blackburn (Karl) : Je
pourrais peut-être, Mme la députée, prendre la première partie de votre
question concernant la grandeur de l'entreprise et les capacités de cette
entreprise de pouvoir implanter des systèmes qui sont plus onéreux, plus
coûteux avec les expertises nécessaires versus, des fois, les petites
entreprises qui n'ont pas nécessairement de l'agilité ou les capacités de
s'adapter à une vitesse, je dirais, plus importante. Mais, en même temps que je
vous dis cela, il y a aussi des petites entreprises qui sont très rapides, très
agiles. Ce matin, j'avais…
M. Blackburn (Karl) :
…implanter des systèmes qui sont plus onéreux, plus coûteux, avec les
expertises nécessaires versus, des fois, des plus petites entreprises qui n'ont
pas nécessairement l'agilité ou les capacités de s'adapter à une vitesse, je
dirais, plus importante.
Mais en même temps que je vous dis cela, il
y a aussi des petites entreprises qui sont très rapides, très agiles. Ce matin,
j'avais une rencontre téléphonique avec une petite entreprise d'ici, du Québec,
qui est un fleuron dans son domaine d'activité et qui fait en sorte que la
réalité dans laquelle notre économie se retrouve soit pour elle un tremplin
pour être capable d'aller plus vite, plus loin que ses compétiteurs.
Donc, dans l'accompagnement souhaité par
la part du gouvernement, c'est d'abord et avant tout de s'assurer que tous
soient au même niveau en ce qui a trait à l'application, les mécanismes, ou les
cahiers, ou les guides pratiques d'utilisation de cette façon de protéger les renseignements
personnels et, encore une fois, c'est la volonté que nous poursuivons. Mais,
entre le fait de le faire seul dans un univers de juridictions qui ne sont pas
au même endroit ou de le faire comme étant un leader avec la majorité des
autres — et il y aura probablement toujours certains États ou
certaines réalités de juridictions qui ne seront pas au même niveau que ce que
nous voudrons bien comme organisations — mais, dans ce sens-là, au
moins, on aura la capacité d'être capable de mixer les objectifs poursuivis et
de le faire dans un plus grand espace, et ce, au bénéfice des clients ou des
consommateurs qui vont voir leurs données, de façon plus importante, corrigées,
mais en même temps, pour les entreprises ou les employeurs, de fonctionner sur
une base qui est essentiellement la même et qui ne vient pas défavoriser
certains secteurs de l'économie versus d'autres secteurs qui n'ont pas les
mêmes critères.
Et peut-être Karolyne pourrait davantage
expliquer un peu plus précisément le deuxième point de votre question sur si on
fonctionne seuls ou si on ne fonctionne pas nécessairement seuls, où
malheureusement certains États pourraient ralentir le pas de façon volontaire.
Le Président (M.
Bachand) : Sur ce, le temps est écoulé. Je dois passer la
parole au député de Gouin. M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : Merci, M.
le Président. Pour trois minutes…
Le Président (M.
Bachand) : …
M. Nadeau-Dubois : 3 min
24 s. Vous constatez comme moi — bonjour, M. Blackburn, Mme
Gagnon — j'ai peu de temps. J'ai deux sujets que j'aimerais aborder
avec vous. D'abord, sur la question de la récolte de données par les
entreprises, il y a plutôt un consensus scientifique, un consensus auprès des
experts qu'au moment où on se parle il y a certaines entreprises qui ont des
pratiques de collectes de données qui sont abusives, autrement dit, qui
collectent plus de données que ce qui est vraiment nécessaire, notamment parce qu'elles
font le pari que ces données-là ne sont peut-être pas monétisables aujourd'hui,
mais que, l'avancement technologique étant ce qu'il est, elles le deviendront
éventuellement. Donc, c'est documenté comme pratique, surtout les grandes
entreprises, de collecter plus que nécessaire en se disant, bien, un jour, il y
aura peut-être moyen de faire de l'argent avec ça, donc on ne prend pas de
chance, on en prend plus que ce qu'on a besoin aujourd'hui. Ce phénomène-là, il
existe, en tout cas, c'est ce que les experts nous disent, c'est ce qu'ils nous
disent depuis au moins deux jours, puis dans la littérature aussi, c'est
largement admis.
Est-ce que vous reconnaissez que ce
phénomène-là existe? Et si oui, puisque j'imagine que vous le reconnaissez,
êtes-vous d'accord qu'un projet de loi sur la protection des renseignements
personnels devrait, au-delà de la question du consentement…
M. Nadeau-Dubois : ...ce
phénomène-là, il existe. En tout cas, c'est ce que les experts nous disent,
c'est ce qu'ils nous disent depuis au moins deux jours, puis dans la
littérature aussi, c'est largement admis. Est-ce que vous reconnaissez que ce
phénomène-là existe? Et, si oui, puisque j'imagine que vous le reconnaissez,
êtes-vous d'accord qu'un projet de loi sur la protection des renseignements
personnels devrait, au-delà de la question du consentement, venir imposer des
limites sur même ce qui est permis de demander aux citoyens et aux citoyennes
comme données?
M. Blackburn (Karl) : Votre
question permet d'ouvrir le débat sur une façon très philosophique et très
large de concentrer un certain élément de réponse. Peut-être je vais laisser la
chance à Caroline de finaliser, je dirais, la deuxième question de votre volet.
Mais les données personnelles auxquelles nous, comme consommateur ou comme
client ou comme citoyen, on est amené à donner, c'est, bien sûr, toujours sur
une base volontaire. Et je n'ai jamais senti, moi, de pression, pour mon point
de vue personnel, de partager l'ensemble de mes données personnelles avant de
faire une transaction ou de devenir un membre dans une organisation ou dans une
grande entreprise. Et là, ça vient aussi à une certaine responsabilité des
consommateurs et des citoyens. Tout peut se faire, mais tout ne peut pas... de
se réaliser également. Alors, je pense qu'il faut être conscient de... effectivement,
il y a des réalités au niveau informatique, au niveau de données qui font en
sorte qu'on est rentré dans le XXIe siècle de façon extrêmement rapide,
mais en même temps, on n'est pas obligés de tout faire et de tout donner...
M. Nadeau-Dubois : Désolé. Je
suis désolé d'être cavalier, mais mon temps file très vite. Sur ma deuxième
question, est-ce que dans le projet de loi, il devrait y avoir des limites
objectives à ce qui est même permis aux entreprises de demander comme données
personnelles?
M. Blackburn (Karl) :
Me Gagnon, je vous laisse la parole.
Mme Gagnon (Karolyne) : Merci,
M. Blackburn.
Le Président (M.
Bachand) : Rapidement, Me Gagnon, s'il vous plaît.
Mme Gagnon (Karolyne) : Oui, M.
le ministre. Au niveau des données nécessaires, en fait, pour la loi sur le
secteur public et parapublic, ça a toujours été prévu qu'on ne collecte
uniquement que ce qui est nécessaire à l'entreprise. Naturellement, lors de
l'utilisation, si on a une utilisation autre, qu'est-ce que va changer la loi?
On a déjà que c'est bien circonscrit la notion de nécessité, et qu'on le
définisse ou qu'on l'ait, parce que tout ça est une question d'éducation.
Alors, c'est ce qu'on vous disait, peut-être, puis je sais que ça se fait en
Europe, d'établir qu'est-ce qui est vraiment nécessaire, quel est le titre,
quelle est la définition. Qu'importe comment je vais pointu dans la loi, ce
sera toujours une compréhension générale de la notion de nécessité qui se
retrouvait déjà dans une loi plus grande. Alors, je vois...
Le Président (M.
Bachand) : Merci. Dernier commentaire, M. le député de Gouin?
Dernier commentaire, rapidement.
M. Nadeau-Dubois : Donc, je
comprends que vous n'êtes pas fermé à cette idée-là.
Mme Gagnon (Karolyne) : Bien,
en fait, ce qu'on vient de décrire, la notion de nécessité, on est certains que
les décisions vont le décrire. Je sais qu'en Europe, ce qu'ils faisaient
souvent, c'est, quand je vous parle de guide de bonnes pratiques, c'est de
définir, interpréter la notion de nécessité, donner les outils aux entreprises
pour savoir et bien définir leur mandat.
M. Nadeau-Dubois : Merci.
Le Président (M.
Bachand) : Merci beaucoup. Sur ce, Me Gagnon, M. Blackburn,
merci beaucoup d'avoir participé aux travaux de la commission.
Et la commission suspend ses
travaux jusqu'à 15 heures. Merci.
(Suspension de la séance à
13 heures)
13 h (version non révisée)
M. Nadeau-Dubois : ...Merci.
Le Président (M.
Bachand) :Merci beaucoup. Sur ce,
Me Gagnon, M. Blackburn, merci beaucoup d'avoir participé aux travaux
de la commission.
Et la commission suspend ses travaux jusqu'à
15 heures. Merci.
(Suspension de la séance à 13 heures)
15 h (version non révisée)
(Reprise à 15 h 6)
Le Président (M.
Bachand) :À l'ordre, s'il vous plaît! Bon
après-midi. La Commission des institutions reprend ses travaux. Je demande bien
sûr à toutes les personnes présentes dans la salle de bien vouloir éteindre la
sonnerie de leurs appareils électroniques.
La commission est réunie afin de
poursuivre les auditions publiques dans le cadre des consultations
particulières sur le projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection
des renseignements personnels.
Nous avons maintenant la chance et le
plaisir d'accueillir deux avocats de chez la firme Fasken. Alors donc, comme
vous le savez, vous 10 minutes de présentation. Merci beaucoup d'être avec
nous en...
Le Président (M.
Bachand) : …la commission est réunie afin de poursuivre les
auditions publiques dans le cadre des consultations particulières sur le projet
de loi n° 64, Loi modernisant des dispositions
législatives en matière renseignements personnels.
Nous avons maintenant la chance et le
plaisir d'accueillir deux avocats de chez la firme Fasken. Alors donc, comme
vous le savez, vous avez 10 minutes de présentation. Merci beaucoup d'être
avec nous en visioconférence, et puis je demanderais d'abord de vous identifier
et de débuter votre exposé. La parole est à vous. Merci beaucoup.
M. Aylwin (Antoine) : Bonjour,
M. le Président, M. le ministre, MM. et Mmes les députés. Mon nom est Antoine
Aylwin, je suis accompagné de mon collègue Karl Delwaide.
M. Delwaide (Karl) : Bonjour.
M. Aylwin (Antoine) : Je vous
remercie pour l'invitation. On est contents de vous revoir à la Commission des
institutions. Depuis juin, quand le projet de loi n° 64 a été déposé, avec
l'équipe, on a eu des réunions à toutes les semaines pour discuter des
différents sujets. C'est un projet de loi qui est costaud, il y a plusieurs modifications
qui sont apportées. On a publié, depuis le mois de juin, à toutes les semaines,
des commentaires, là, au bénéfice de nos clients pour discuter des enjeux.
Comme vous le savez, on est des avocats d'affaires, on conseille des petites,
moyennes, grandes entreprises, des organismes publics, des ordres
professionnels, bref, toute la panoplie d'organisations qui sont touchées par
les lois qui sont visées aujourd'hui.
Je veux remercier, là, les membres de
l'équipe, Jennifer Stoddart, Guillaume Pelegrin, Julie Uzan-Naulin, Aya Barbach
et William Deneault-Rouillard qui ont travaillé avec nous sur les
représentations, notre mémoire qui est de moderniser mais de conserver un
équilibre. On applique la loi tous les jours, comme je vous le disais, puis on
essaie aujourd'hui de vous véhiculer quelques préoccupations très pratiques
dans notre quotidien sur l'impact des dispositions qui sont proposées. Puis je
vais céder la parole à mon collègue Karl Delwaide qui va commencer avec les
premiers sujets.
M. Delwaide (Karl) : Alors,
bonjour à tous. Le premier sujet, c'est la communication des renseignements
personnels à l'extérieur du Québec, les articles 27 et 103 du projet de
loi. Vous me permettrez de me concentrer sur l'article 103 qui traite de
l'article 17 de la loi sur le secteur privé, mais vous avez son parallèle
dans la loi sur l'accès, l'article 70.1 de la loi sur l'accès,
l'article 27 du projet de loi.
Le projet de loi, tel qu'il est rédigé,
prévoit qu'avant de communiquer à l'extérieur du Québec un renseignement
personnel… je veux juste au moins attirer votre attention qu'à l'extérieur du
Québec, contrairement à d'autres lois qu'on a au Canada, ça ne dit pas à
l'extérieur du Canada, ça dit à l'extérieur du Québec. Donc, vous avez
plusieurs entreprises qui ont des divisions, que ce soit au Québec, en Ontario,
en Alberta, au Nouveau-Brunswick, aux États-Unis, des filiales. Donc, à
l'extérieur du Québec, ça couvre la réalité même dans les autres provinces, ça
couvre la réalité dans chacun des États des États-Unis. Pourquoi c'est
important? Parce que vous exigez… le projet de loi, s'il est adopté tel qu'il
est, exige deux critères avant de pouvoir transférer des renseignements
personnels à l'extérieur du Québec, même au sein d'une même entreprise. Ça exige
une évaluation comparative et une entente contractuelle, une entente
contractuelle qui vise à s'assurer que la juridiction réceptrice adopte des
mesures de protection similaires à celles du Québec. Vous réalisez que
l'évaluation comparative, c'est très exigeant. Si vous exigez ça au sein de la
fonction publique, vous avez peut-être plein d'avocats qui sont heureux, plein
de juristes de l'État qui vont être heureux de faire du droit comparé…
M. Delwaide (Karl) : ...la
juridiction réceptrice adopte des mesures de protection similaires à celles du Québec.
Vous réalisez que l'évaluation comparative, c'est très exigeant. Si vous exigez
ça au sein de la fonction publique, vous avez peut-être plein d'avocats qui
sont heureux, plein de juristes de l'État qui vont être heureux de faire du
droit comparé, mais je vous jure que pour les entreprises du Québec, là,
petites, moyennes et grandes, de faire l'exercice d'une évaluation comparative
en plus d'une entente contractuelle, c'est un fardeau extrêmement lourd que
vous imposez, selon moi, bien respectueusement. Vous savez, une évaluation
comparative pour chacune des juridictions, ça veut dire... Au Canada, c'est
quoi, 10 provinces? Bon, neuf si on exclut le Québec. Donc, l'Ontario, le
Nouveau-Brunswick, Alberta, il faut faire cette évaluation comparative. Il
faudrait faire l'évaluation comparative pour les 51 États américains.
Respectueusement, c'est un fardeau qui est extrêmement lourd.
• (15 h 10) •
Le système actuel fonctionne bien. Le
système... Vous savez, l'article 17 actuel comporte une exigence similaire sauf
l'évaluation comparative. Et à date, ce que nous avons toujours fait, ce sont
des ententes contractuelles. Et les ententes contractuelles, ça fonctionne.
Alors, respectueusement, une recommandation qu'on se permet de faire, c'est
d'éliminer la notion d'évaluation comparative. Si le gouvernement, ou si vous
voulez donner le pouvoir à la Commission d'accès de le faire, libre à vous,
vous désirez cibler des juridictions pour lesquelles ce serait automatique
comme c'est prévu ou, à l'inverse, si vous désirez vous conférer le pouvoir de
cibler des juridictions pour lesquelles ce serait automatiquement non autorisé
de transférer des renseignements personnels, libre à vous. Mais,
respectueusement, je ne pense pas que vous devriez imposer aux entreprises le
fardeau de faire ces évaluations comparatives. À moins que vous vouliez
procurer de l'emploi à la meute de nouveaux avocats qui sortent de l'école du
Barreau. Je vous remercie parce que ça, c'est une job d'avocat, on n'a de cesse
d'avoir des questions des clients, si c'est ce que vous souhaitez. Mais je ne
pense pas que ce soit le but de la chose.
Deuxième commentaire. Je me permets
d'aller rondement. Il y a d'autres éléments, vous savez, à ce sujet-là, sur la
communication à l'extérieur du Québec, on le souligne dans notre mémoire, c'est
la définition d'un État. Pourquoi je vous disais tantôt que ça couvre autant
l'Ontario, que le Nouveau-Brunswick, que les États américains? Un État n'est
pas défini dans le projet de loi à l'article 103. Vous savez que le Québec est
un État — et là je ne veux pas faire de politique, Dieu m'en
préserve, ce n'est pas le but — mais, sur le plan constitutionnel,
chaque province canadienne est souveraine dans sa juridiction, même chose pour
les États américains. Alors, il va falloir que ce soit précisé. Qu'est-ce que
vous entendez? Est-ce que vous désirez conserver cette notion d'évaluation
comparative et imposer un fardeau aux entreprises du Québec de faire ce travail
à chaque fois ou si le système tel qu'on le connaît actuellement, de requérir
une entente contractuelle, est un système qui est efficient, efficace et qui
permet aux entreprises de faire des transferts de données tout en assurant une
protection...
M. Delwaide (Karl) : ...Québec
de faire ce travail à chaque fois ou si le système, tel qu'on le connaît actuellement,
de requérir une entente contractuelle, est un système qui est efficient,
efficace, et qui permet aux entreprises de faire des transferts de données tout
en assurant une protection légitime.
Vous me permettrez maintenant de passer au
deuxième point, les conséquences du non respect des lois. Les conséquences du
non-respect des lois, ce sont principalement les articles 150 à 152 du projet
de loi. Je veux vous glisser un mot des pénalités administratives qui sont
prévues au projet de loi et qui prévoient... des pénalités administratives
pouvant aller jusqu'à 10 millions de dollars. J'ai deux commentaires que
je me permets de vous soulever. Le premier commentaire, c'est : C'est à la
mode, ça, les pénalités administratives. C'est nouveau, ça. Vous savez, on a vu
ça maintenant avec la loi antipourriel au fédéral, là, vous savez, la loi qui a
un nom long comme ça, là, pour empêcher l'envoi de pourriels. Ça existe aussi
en vertu du RGPD, je le reconnais, mais, selon moi, c'est... on s'écarte des
principes de base de nos systèmes juridiques. S'il y a des sanctions à imposer
à une entreprise, bien, soit, qu'elle en supporte les conséquences. Mais le
principe pénal a généralement servi à permettre à l'État ou à un organisme
régulateur d'amener des sanctions contre des récalcitrants, mais en préservant
des droits, comme préserver contre l'autorécrimination, la présomption
d'innocence, le fardeau de preuve. Tout ça fout le camp, excusez mon langage
familier, avec la notion de pénalité administrative. Puis, vous savez, je suis
persuadé que c'est voulu, ça. C'est voulu parce que ça écarte les protections
fondamentales des chartes des droits. Et, selon moi, respectueusement, ce n'est
pas un bon choix, ce n'est pas un choix avisé. C'est dangereux de glisser
là-dessus, surtout quand vous allez jusqu'à permettre jusqu'à 10 millions
de dollars en pénalités administratives.
Mon deuxième commentaire qui se joint à
ça, c'est vous verrez le processus, qui est implanté, n'est-ce pas, par les
articles 150 à 152, et ça, ça réfère, excusez, je vais vous le dire, c'est
les nouveaux articles du projet de loi, ce sont les articles 90.1 et
suivants. La mécanique que vous avez mise en place ou que vous suggérez de
mettre en place, c'est de confier à une personne désignée par la Commission
d'accès à l'information, mais une personne qui ne ferait pas partie ni de la
section surveillance ni de la section juridictionnelle, les fonctions de décider
d'une pénalité administrative. Pas de décider, pardon, de décider de l'envoi
d'un avis de non-conformité et d'imposer, oui, de décider d'imposer une
pénalité administrative, sujet au pouvoir de la commission de réviser la
décision de cette personne-là.
Moi, je trouve ça un peu particulier. Vous
avez un organisme administratif, qui est la commission d'accès. Ou bien vous
lui faites...
M. Delwaide (Karl) :
...avis de non-conformité et d'imposer... oui, de décider d'imposer une
pénalité administrative ... aux pouvoirs de la commission de réviser la
décision de cette personne-là.
Moi, je trouve ça un peu particulier. Vous
avez un organisme administratif, qui est la Commission d'accès. Ou bien vous
lui faites confiance ou vous ne lui faites pas confiance. Je suggère, encore
une fois, si vous confiez un tel fardeau à une commission comme la Commission
d'accès, il va falloir qu'elle ait les moyens de les appliquer.
Mais de confier à une personne désignée,
qui est-ce? Est-ce que c'est mon confrère me Aylwin? Est-ce que ça va être
quelqu'un du système des enquêteurs de la Commission d'accès? De confier le
soin à une personne comme ça de décider d'exposer mes clients à des pénalités
de 10... jusqu'à 10 millions de dollars, en mettant de côté les garanties
habituelles du système judiciaire, je trouve ça dangereux. De confier le tout à
la Commission d'accès en révision, bien, ça ne fait qu'augmenter les coûts du
système.
Et on vous propose dans notre mémoire de
tout simplement réserver ces pénalités administratives uniquement pour
certaines sanctions pour des éléments strictement techniques et de réduire de
beaucoup le maximum. Je laisse mon confrère continuer avec nos autres
recommandations.
M. Aylwin (Antoine) : S'il
y a une question qui n'apparaîtra pas... du projet de loi, qui est sous-jacente
à tous les enjeux de renseignements personnels, ce sont les ressources de la
Commission d'accès à l'information. On est venus vous voir depuis plusieurs
années pour vous dire que c'était une lacune. Rajouter des pouvoirs à la
Commission d'accès à l'information comme on le fait ici, ça ne réglera pas la
question des ressources. Si on veut s'attaquer sur un contrôle effectif, il va
falloir que le gouvernement puisse mettre les ressources, mettre des
spécialistes à la Commission d'accès.
Dans les recommandations... On a fait
21 recommandations, là. Je ne vous les prends pas toutes, mais j'aimerais
attirer votre attention sur la question de renseignements sensibles, qui, pour
nous, est une source de difficulté pour nos clients, l'absence de définition.
On vous propose de se coller aux catégories de renseignements qui sont prévus
par la charte comme étant les renseignements qui ne peuvent pas faire l'objet
de discrimination, qui sont jugés suffisamment sensibles. Donc, ça nous
permettrait d'avoir une définition claire. Parce qu'ici on pourrait avoir le
même renseignement qui est sensible dans certaines circonstances et pas dans
d'autres, ce qui est très difficile d'application.
Au niveau des transactions commerciales,
on vous invite à avoir une définition qui est plus large que celle qui est
suggérée et de se ... des autres lois pareilles dans le domaine pour que ce ne
soit pas seulement dans le cadre de changement de propriété que cette
exception-là au consentement s'applique. Puis...
Le Président (M.
Bachand) : Maître, je dois vous...
M. Aylwin (Antoine) :
Oui?
Le Président (M.
Bachand) : Maître, malheureusement, je dois vous arrêter...
M. Aylwin (Antoine) :
Oui, je vais conclure.
Le Président (M. Bachand) :
Je dois vous arrêter parce qu'on est rendus maintenant à la période d'échange.
Je suis désolé.
M. Aylwin (Antoine) :
Parfait.
Le Président (M.
Bachand) : Vous pourrez, durant la période de questions,
alors... monsieur... répondre davantage. M. le ministre, s'il vous plaît.
M. Jolin-Barrette :
Merci, M. le Président. Bonjour, messieurs. Merci de participer à la commission
parlementaire.
Bon, d'entrée de jeu, sur la notion
d'État, le sens que l'on donnait, c'était effectivement qu'une autre province
constitue un autre État. Alors, on prend bonne note de votre commentaire de
spécifier l'intention du législateur. On le garde en mémoire lorsqu'on fera l'étude
détaillée.
Revenons, si vous le voulez bien, sur la
question des amendes et des sanctions administratives pécuniaires. Là...
M. Jolin-Barrette : …autre
province et constitue un autre État. Alors, on prend bonne note de votre
commentaire de spécifier l'intention du législateur, on le garde en mémoire
lorsqu'on fera l'étude détaillée.
Revenons, si vous voulez bien, sur la
question des amendes et des sanctions administratives pécuniaires. Là, je
comprends que vous dites : Écoutez, ce n'est pas la bonne solution, ça va
être vraiment préjudiciable pour les entreprises, notamment. Ça permet, avec ce
régime-là… bien, en fait, ça donne moins de garantie de protection juridique
associée aux chartes pour les entreprises, donc si l'État veut encadrer le
tout, ça devrait vraiment être dans le régime pénal et non pas dans le régime
de sanctions administratives pécuniaires comme on voit, supposons, en matière
environnementale maintenant.
M. Delwaide (Karl) : Oui,
essentiellement, c'est ça. Écoutez, même avant l'avènement des chartes, les
protections fondamentales en matière pénale comme, par exemple, le fardeau de
preuve ou… incrimination, ça existait, et il me semble que de transférer ce qui
est, en principe, des pénalités, de transférer ça à un régime strictement
administratif… Vous vous rendez compte? En plus, il y a d'autres dispositions
dans le projet de loi qui permettent à la commission d'exiger de fournir de
l'information sans… tout simplement de forcer une entreprise à fournir de
l'information.
Alors, vous avez là un outil administratif
qui est très… qui va loin. Je ne vous dis pas que ce n'est pas correct
d'imposer l'obligation, de répondre à une demande de la commission. Ça, c'est
très correct, c'est normal. Mais lorsque vient le temps de l'étape des
sanctions, il nous semble que le processus pénal donne des garanties plus en
lien avec les fondements de notre système judiciaire.
• (15 h 20) •
M. Aylwin (Antoine) : Je peux peut-être
ajouter une chose sur les sanctions pénales. Maintenant, il va y avoir des…
c'est des sanctions qui vont être importantes. On n'a pas fait la preuve, dans
les dernières années, que le système pénal ne fonctionnait pas. Dans les
26 premières années d'application de la loi, les dispositions pénales
existaient. En 2006, le gouvernement a augmenté certains montants de plafond de
pénalité, là, dans… notamment pour la communication hors Québec, sauf que ces
dispositions-là n'ont pas été appliquées.
Donc, c'est très difficile de vous dire
que les sanctions pénales ne fonctionnent pas, elles n'ont pas été essayées
encore. Donc, on n'a pas encore la démonstration qu'il faut passer à un régime
administratif selon nous.
M. Jolin-Barrette : Vous
dites : On devrait attendre de voir… d'éprouver le système pénal avant
d'aller au régime administratif, mais le régime administratif est là aussi pour
convaincre, supposons, les entreprises, surtout en matière des renseignements
personnels, de l'importance de se conformer à la législation. C'est un régime
qui est moins lourd aussi et qui peut constituer un facteur, très certainement,
d'adhésion pour les gens… bien, les personnes morales qui détiennent les
données des Québécois, à titre d'exemple. Donc, je comprends votre point où
est-ce que vous dites : Bien, écoutez, on devrait être prudent là-dessus,
mais d'un autre côté, quand on fait la balance des inconvénients, bien, on peut
se dire : Bien, il y aurait peut-être lieu de mettre ce régime-là justement
pour diriger l'orientation pour dire à quel point la protection des
renseignements personnels, c'est important, là, puis qu'on…
M. Jolin-Barrette : ...les
données des Québécois, à titre d'exemple. Donc, je comprends votre point où
est-ce que vous dites : Bien, écoutez, on devrait être prudent là-dessus,
mais d'un autre côté, quand on fait la balance des inconvénients, bien, on peut
se dire : Bien, il y aurait peut-être lieu de mettre ce régime-là justement
pour diriger l'orientation pour dire à quel point la protection des renseignements
personnels, c'est important, là, puis qu'on doit vraiment encadrer le tout.
Parce qu'on voit, là, il y a des fuites de données, parfois il y a de la
négligence, parfois c'est des attaques, malgré le fait que l'entreprise ait
pris tous les moyens nécessaires et a fait preuve de diligence raisonnable.
Mais comment vous recevez ça, si on retourner la situation de l'autre côté?
M. Delwaide (Karl) : Juste...
bref commentaire de ma part et Me Aylwin complétera. Vous savez que la
commission a déjà des pouvoirs d'ordonnance. Alors, au niveau justement de cet
encadrement que vous souhaitez, bien, la commission peut très bien l'exercer
par ses pouvoirs d'ordonnance. Et s'il y a un manquement qui est strictement
technique... vous remarquerez, on dit : Les pénalités administratives pour
des manquements strictement techniques pourraient exister, quelqu'un qui a
manqué, là... son système a fait défaut ou des choses comme ça, mais si quelqu'un
est un contrevenant volontaire, bien, allez-y sur le plan pénal et qu'il en
subisse les conséquences, respectueusement.
M. Aylwin (Antoine) : Je pense
que vous avez plusieurs outils. Si vous regardez notre recommandation n° 5, ce n'est pas d'abolir les sanctions administratives,
mais plutôt d'avoir un ratio de 1 pour 20 entre le pénal puis l'administratif,
ce qu'on estimait à 125 000 $ pour une sanction pénale maximum de
25 millions — nos recommandations sont reprises à la fin, là, si
vous les cherchez — puis je pense que vous avez comme trois étapes.
La commission, avec ses enquêtes puis sa surveillance, a un pouvoir de... ce
qu'on appelle en anglais le «name and shame», c'est-à-dire de nommer une entreprise
qui a eu un comportement qui est inadéquat, qui, au niveau de la réputation,
est néfaste. Les sanctions administratives pourraient être une première étape
dans un... on ne vous dit pas de ne pas en mettre, mais de dire qu'il y a un
plafond qui est plus bas que celui de 10 millions parce que ça devient
excessivement important, presque du pénal rendu là, et d'avoir la troisième
étape qui est pénale. Un peu comme on fait avec sécurité routière, on va avoir
des constats d'infraction pour la vitesse, mais si on a une conduite
dangereuse, ça va être une infraction criminelle. Donc, c'est juste d'avoir des
étapes puis des niveaux, des paliers qui sont appropriés dans ces
circonstances-là.
M. Jolin-Barrette : O.K., je
comprends. Sur la question des politiques internes que doivent adopter les
entreprises, là, on propose que ça soit rendu public. Là, vous, vous dites dans
votre mémoire : Écoutez, attention, ça pourrait faire le contraire, ça
pourrait mettre plus à risque ces politiques internes là. Pourquoi?
M. Aylwin (Antoine) : Je peux peut-être
commencer en vous disant, ça dépend du niveau de détail que vous attendez. Si
on attend un niveau détail qui est de dire : On a un système de... je vais
vous donner un exemple pratique, on a un système de sécurité avec des caméras
cachées. Ça, c'est une chose. Si, après ça, je dis : Mon système de
sécurité, mes caméras cachées sont situées là, là et là, je viens de
complètement défaire la sécurité que j'ai, parce que là je vais être exposé aux
gens qui voudraient rentrer dans mon système, où est ma protection. Donc... Et
toutes les tentatives...
M. Aylwin (Antoine) : ... Ça,
c'est une chose. Si, après ça, je dis : Mon système de sécurité, mes
caméras cachées sont situées là, là et là, je viens de complètement défaire la
sécurité que j'ai, parce que là je vais être exposé aux gens qui voudraient
rentrer dans mon système, où est ma protection. Donc... Et toutes les
tentatives de «phishing», par exemple, sur les personnes qui peuvent être
appelées à intervenir sur des systèmes de sécurité, si on met de l'information
publique, ça peut aider les fraudeurs. Donc, le niveau d'information qui doit
être transparent risque, si on veut protéger comme il faut les données, risque
d'être un peu de la vanille dans tous les cas. C'est qu'on va retrouver des politiques
qui vont se ressembler d'une organisation à l'autre, parce qu'on ne voudra pas
mettre un niveau de détail qui permettrait aux fraudeurs de s'en servir contre l'organisation.
M. Jolin-Barrette : O.K., je
comprends. Sur la question du consentement implicite, vous dites : Bon,
bien, c'est absent du projet de loi n° 64. Qu'est-ce
que vous voulez dire par «consentement implicite»?
M. Delwaide (Karl) : Bien,
écoutez, il y avait une interprétation de l'article 14 autrefois, là.
L'exigence, c'était qu'il fallait, puisqu'on voulait un consentement clair,
précis, spécifique, que le consentement implicite, donc, le... Je vais vous
donner un exemple. Quelqu'un vient porter son C.V. ici pour être engagé. Donc,
il y a manifestement un consentement. Et, malheureusement, il n'y a pas de
poste aujourd'hui, mais il pourrait y en avoir un dans trois mois. Je conserve
son C.V. Je ne lui ai pas demandé de cocher : Désirez-vous que je conserve
votre C.V. pendant x semaines au cas où une ouverture se présenterait? Il y a
une notion de... C'est un peu implicite que quelqu'un qui vient me porter son
C.V., s'il n'y a pas d'emploi aujourd'hui, bien, il accepte que je le conserve
pour une durée raisonnable au cas où un emploi s'ouvrirait. On disait que tel
que rédigé, l'article 14 ne permettait pas ces consentements implicites, il
fallait un consentement exprès.
Maintenant, vous avez dans le projet de
loi deux ou trois endroits où, clairement, vous dites que pour tel type de renseignement
sensible, il faut un consentement exprès. Sous-entendu : le consentement
implicite est donc permis. D'ailleurs, je dois avouer, un peu à ma surprise
personnelle, quand j'ai lu le dernier rapport de la Commission d'accès à
l'information, la commission d'accès reconnaissait qu'il y avait existence d'un
consentement exprès ou implicite possible. Alors, tout simplement, ce qu'on
veut vous souligner, c'est que, nous, on comprend que le projet de loi avalise
la notion de consentement implicite par le fait que vous exigez à certains
endroits... — je pourrai vous retrouver les articles précis, là, on
les a — où vous exigez le consentement exprès pour certains types de
renseignements. Donc, vous comprendrez qu'en logique juridique,
l'interprétation est que le consentement implicite n'est pas écarté, il est
donc possible de dégager des consentements implicites.
Si c'est ce que vous voulez, parfait. Il y
a certaines circonstances qui s'y prêtent bien. Alors...
M. Aylwin (Antoine) : En
d'autres mots, on vous demande d'être un peu plus explicites sur le
consentement implicite pour que ça soit clair, quand est-ce qu'il est permis.
M. Delwaide (Karl) : C'est un
peu ça.
M. Jolin-Barrette : Sur la
question, là, il y a des intervenants qui vous ont précédés qui...
M. Delwaide (Karl) : …doit
dégager des consentements implicites. Si c'est ce que vous voulez, parfait, il
y a certaines circonstances qui s'y prêtent bien.
M. Aylwin (Antoine) : En
d'autres mots, on vous demande d'être un peu plus explicite sur le consentement
implicite pour que ce soit ça, quand est-ce qu'il est permis.
M. Delwaide (Karl) : C'est un
peu ça.
M. Jolin-Barrette : Sur la
question, il y a des intervenants qui vous ont précédés, qui nous ont dit :
Bien, vous devriez également permettre les consentements en bloc ou ne pas
exiger des consentements systématiquement. Qu'est-ce que vous en pensez,
considérant qu'on viendrait exiger trop souvent des consentements ou en
fonction de la nature de l'information de la donnée personnelle, sa
considération stratégique, là, ou de sa sensibilité?
M. Aylwin (Antoine) : C'est le
point 4.1 de notre mémoire, l'article 14, pour nous, pose une certaine difficulté
pratique quand on demande le consentement distinct de toute autre information
communiquée. Je peux comprendre, par exemple, quand on parle de renseignements
sensibles qu'on pourrait demander un consentement distinct comme on fait au
niveau de la loi anti-pourriel. La loi anti-pourriel demande un consentement
distinct pour la sollicitation commerciale, donc il y a une fin particulière
pour laquelle on demande un consentement distinct.
Mais, présentement, comment l'article 14
est rédigé, c'est comme si on devait désincarner le consentement du contexte
parce qu'on ne doit pas donner d'information. Dans la mesure où on demande le consentement,
dans la rédaction actuelle, je vous dirais, au niveau pratique, j'ai
l'impression que ça va être très difficile d'application. Mais je peux
concevoir que, dans certains cas, on va vouloir scinder, c'est peut-être là
qu'on devrait intervenir pour dire : Quand est-ce qu'on va avoir un consentement
spécifique séparé du reste, plutôt que d'instituer un régime général qu'il va
falloir avoir des formulaires, il va falloir cocher huit fois pour dire oui
quand ce n'est pas tout à fait nécessaire, quand ça peut être compris comme un
bloc, là, dans la relation entre les parties?
M. Delwaide (Karl) : Il y a
des… par exemple, l'ouverture d'un compte, le traitement du compte, la
fermeture du compte, l'échange d'information, tout ça, ça va de soi. Alors,
est-ce qu'on a besoin de cocher, à chacun, ouvrir le compte, l'appliquer, le
fermer, échanger l'information? Ça nous semble un peu de la paperasserie. Je
veux que vous compreniez que, nous, ce qui nous guide, c'est un petit peu une
recherche d'équilibre, hein, entre, oui, il faut protéger les renseignements
personnels, mais d'un autre côté, on est à une époque où il y a une
globalisation de l'information, on ne veut pas être en porte-à-faux, à un
moment donné, avec des fonctionnements, des fonctionnements plus globaux, là,
de la planète économique, là.
M. Jolin-Barrette : Je vous
remercie.
Le Président (M.
Bachand) : M. le député de Chapleau, s'il vous plaît.
• (15 h 30) •
M. Lévesque (Chapleau) : Merci,
M. le Président. Bonjour, maîtres, j'espère que vous allez bien. Merci beaucoup
pour votre présentation et votre mémoire. J'aurais peut-être deux petites
questions, là, à vous poser. Vous avez parlé, là, des contraintes que l'évaluation
comparative combinée avec les ententes contractuelles pouvaient poser à votre
clientèle. J'aimerais peut-être qu'on revienne là-dessus, puis j'aimerais aussi
vous entendre sur, bon, j'imagine que vous avez eu l'occasion de parler avec plusieurs
de vos clients, aborder le projet de loi n° 64, est-ce qu'il y a un autre
son de cloche, dont vous aimeriez nous faire part, que vous avez entendu, là,
sur le terrain? Puis vous disiez, d'entrée de jeu, là…
15 h 30 (version non révisée)
M. Lévesque (Chapleau) : ...à
votre clientèle. J'aimerais peut-être qu'on revienne là-dessus. Puis j'aimerais
aussi vous entendre sur... Bon, j'imagine que vous avez eu l'occasion de parler
avec plusieurs de vos clients, à aborder le projet de loi n° 64.
Est-ce qu'il y a un autre son de cloche dont vous aimeriez nous faire part, que
vous avez entendu, là, sur le terrain? Puis vous disiez, d'entrée de jeu, là,
que vous desserviez autant des petites, moyennes entreprises que les grandes entreprises.
Est-ce que vous faites une distinction entre ces types d'entreprises là?
M. Delwaide (Karl) : Bien, en
fait...
M. Aylwin (Antoine) :
...commencer par la première question.
M. Delwaide (Karl) : Oui, je
vais commencer par la première question. Complément... Quand vous regardez le
RGPD... Moi, là, je vous donne ma lecture personnelle. J'ai vu le projet de loi
n° 64 comme étant une tentative de s'arrimer au RGPD,
à certains de ses grands principes, notamment dans des... dans un but
d'adéquation. Et c'est très correct, là, O.K. En vertu du RGPD, à moins que je
me trompe, il y a... l'Union européenne peut énoncer des juridictions qui sont
jugées comparables, alors donc, où vous pouvez échanger des renseignements
personnels. Et, à défaut d'avoir ça, il faut un système contractuel, n'est-ce
pas, il faut une entente contractuelle. Il y a une décision récente, là, cependant,
qui vient dire qu'il faudrait faire une évaluation comparative, malgré ça. Ça,
on en reparlera. Il y a plusieurs chroniqueurs qui sont un petit peu
interloqués par cette décision-là. Mais donc nous, on pense que le processus
des ententes contractuelles est suffisant.
Vous savez qu'il est reconnu notamment
aussi, entre filiales ou entre divisions d'une même entreprise... ce qu'on
appelle en anglais le «binding corporate rules», là, les règles et les
directives internes. Ça aussi, ça devrait être permis, faire en sorte que la
compagnie X, qui a une filiale en Ontario ou une division en Ontario, s'il y a
une directive d'entreprise qui lie tout le monde, ça devrait être permis,
alors.
Et, à moins que je me trompe encore, il y
a même eu des décisions du commissariat fédéral à la vie privée, qui a dit
qu'il y a... à un moment donné, les ententes contractuelles, il faut quand même
aussi que ce soit avec une juridiction où le système de justice est signifiant.
Je veux dire, je ne veux pas nommer de pays, là, mais certains pays, vous allez
me dire : Si j'ai une entente contractuelle, c'est peut-être plus
difficile de la faire exécuter, on se comprend. Alors, le gouvernement, vous
pourriez adopter des décrets à cet effet-là, vous pourriez vous donner le
pouvoir de dire : Il y a certaines juridictions où on pense que ça n'a pas
de bon sens, bon.
Une autre chose, il y a... il faut faire
attention avec le... Comment je pourrais vous expliquer ça en simple? Vous
exigez une évaluation comparative, il y a un contrat. On fait beaucoup... Vous
savez, les données commerciales avec les États-Unis, c'est immense, l'économie,
les échanges économiques entre le Québec, les États-Unis, le Canada et les États-Unis.
Il y a eu une décision de la cour de justice européenne qui dit que le système
de Privacy Shield américain ne présente pas les garanties d'adéquation, donc,
de comparabilité acceptable. Alors, est-ce que ça veut dire que nous, ici, nos
entreprises qui font affaire avec...
M. Delwaide (Karl) : ...il y a
une décision de la cour de justice européenne qui dit que le système de Privacy
Shield américain ne présente pas les garanties d'adéquation, donc de
comparabilité acceptable. Alors, est-ce que ça veut dire que nous ici, nos
entreprises qui font affaire avec le Maine, le Vermont, le Massachusetts, la
Californie, est-ce qu'elles vont pouvoir arriver et dire que c'est comparable,
et là se mettre en porte-à-faux si elles font aussi affaire avec l'Europe, se
mettre en porte-à-faux avec le RGPD? Je ne vous dis pas qu'une évaluation faite
ici... une décision va lier les évaluations faites ici. Mais vous comprenez que
c'est un élément qui, me semble, pourrait être invoqué pour encore un grain de
sable dans l'engrenage par rapport à une relation d'adéquation avec l'Europe.
M. Aylwin (Antoine) : Pour
répondre à votre deuxième question, deux points rapides. Nos plus gros clients
qui font affaire dans plein de juridictions, leur principale préoccupation,
c'est : Comment est-ce que je vais pouvoir respecter la loi du Québec en
même temps que les autres lois, d'avoir un système qui est cohérent? O.K., ce
n'est probablement pas la première personne qui vous dit ça, là. Donc, c'est
d'essayer de pouvoir avoir une conformité qui va fonctionner à l'ensemble de
l'Amérique du Nord ou même à travers le monde.
Les plus petits clients qui, eux,
intègrent de plus en plus la question, puis ce n'est pas encore fait, là, les
questions de consentement, de politique de renseignements personnels,
maintenant, les évaluations de facteurs de la vie privée, ils voient ça comme
un monstre. La loi prévoit présentement que, dans tout système d'information,
bien, c'est à peu près tout le temps qu'il va falloir faire des évaluations des
facteurs de la vie privée, puis la loi ne nous dit pas c'est quoi, une
évaluation des facteurs de la vie privée. Donc, pour eux, ils voient ça comme
excessivement complexe pour le traitement des données alors que ce n'est
peut-être pas nécessaire, d'être complexe. Mais peut-être que la loi pourrait
être plus précise à l'égard des attentes qu'on va avoir à ce niveau-là.
Le Président (M.
Bachand) : Merci beaucoup. Merci beaucoup. Mme la députée de
Notre-Dame-de-Grâce, s'il vous plaît.
Mme Weil
: Oui.
Bonjour. Merci beaucoup. Vraiment beaucoup, beaucoup de commentaires
préoccupants, évidemment, dans le sens qu'on sent qu'il va falloir vraiment
revoir attentivement les conséquences des modifications et... autant pénales,
mais punitives généralement, mais aussi des implications pour le Code civil.
Donc, j'aimerais que vous reveniez un peu
sur vos commentaires par rapport à vos craintes des conséquences du non-respect
des lois et le choix de régime à appliquer, comment le régime pénal fonctionne
normalement, que vous, vous voyez vraiment une atteinte dans certains cas. Je
pense que c'est tellement important, j'aimerais vous entendre plus. Mais aussi,
je ne sais pas, il me semble que vous n'avez pas... peut-être que vous avez
glissé dessus, l'introduction d'une nouvelle clause d'action civile. Peut-être
commencer par celui-là pour bien expliquer la préoccupation que vous avez à cet
égard, parce qu'on n'a pas le Barreau, on ne pourra pas entendre le Barreau.
D'ailleurs, petite question : Est-ce que vous faites partie d'un comité du
Barreau du Québec en la matière, sur cette question?
Une voix
: Oui.
Mme Weil
: Oui?
M. Aylwin (Antoine) : Vous
allez voir mon nom dans un autre mémoire qui va vous être acheminé...
Mme Weil
: ...pour bien
expliquer la préoccupation que vous avez à cet égard, parce qu'on n'a pas le
Barreau, on ne pourra pas entendre le Barreau. D'ailleurs, petite question :
Est-ce que vous faites partie d'un comité du Bareau du Québec en la matière,
sur cette question?
M. Aylwin (Antoine) : Oui.
Mme Weil
: Oui?
M. Aylwin (Antoine) : Vous
allez voir mon nom dans un autre mémoire qui va vous être acheminé par le Barreau
du Québec.
Mme Weil
: Qui viendra bientôt,
O.K. Parce qu'on a vraiment besoin de bien comprendre les conséquences
juridiques, puis je pense que le ministre aussi va vouloir bien comprendre pour
être capable d'amener les correctifs au besoin. Alors, peut-être, commençons
avec l'introduction de cette nouvelle cause d'action civile.
M. Aylwin (Antoine) : Merci, Mme
la députée. Je m'excuse, M. le Président, je présume que la parole est à nous,
parce qu'on ne vous voit pas...
Le Président (M.
Bachand) : C'est une commission qui est très ouverte, parce que
les gens sont disciplinés, alors allez-, il n'y a pas de problème.
M. Aylwin (Antoine) : Merci.
Donc, la nouvelle cause. Vous savez, des dispositions pour des dommages
punitifs, c'est très rare dans les lois québécoises. On a la charte québécoise
des droits et libertés qui en contient, il y a la Loi sur la protection des
arbres, la Loi sur la protection du consommateur, donc... peut-être que j'en
oublie une, mais je pense que je viens de faire le tour. Donc, premièrement,
s'il y avait une atteinte intentionnelle illicite au droit à la vie privée en
vertu de la charte québécoise, il y aurait eu des recours ou il y aurait un
endroit là pour le prévoir. Donc, le prévoir dans une loi, même dans le Code
civil... C'est extraordinaire, d'avoir des dommages punitifs.
Ce qu'on voit aussi, c'est qu'avec la
protection des renseignements personnels il y a des facteurs multiplicatifs.
Donc, les entreprises ne gèrent pas un renseignement personnel de façon... en
silo. Ils vont avoir une clientèle, ils vont avoir des employés, donc ils vont
avoir une base de données, ce qui fait que quand on prévoit des dommages
punitifs de l'ordre de 1 000 $ minimum, nous, dans notre tête, ce que
ça nous dit, c'est action collective puis c'est facteur multiplicatif. Donc, on
vient de prendre la solution de la Californie qui dit : Moi, je ne mets
pas de sanction pénale importante, je ne mets pas de sanction administrative
importante, mais je mets des dispositions pour que les recours civils puissent
être exercés, donc je privatise le mode de sanction pour le non-respect de la
loi.
Donc, ici, ce qu'on fait, c'est... on fait
les trois, ici, en amenant cette disposition-là. On a une juridiction où des
actions collectives sont plus présentes que dans d'autres juridictions. Il y a
énormément d'actions collectives, présentement, il y en a en matière de vie
privée, on a été impliqués dans certains de ces recours-là. Donc, on va juste
multiplier les recours. Est-ce que c'est une bonne façon de voir à la mise en
vigueur de la loi? J'en doute. J'ai l'impression que les autres solutions de
sanction pénale sont peut-être plus appropriées et vont plus rejoindre les
objectifs du législateur que de confier ça ou de privatiser ces sanctions-là.
M. Delwaide (Karl) : Et
n'oubliez pas le principe d'escalier dont Me Aylwin parlait tout à l'heure.
Vous savez, ça peut commencer par une ordonnance, ça peut être une pénalité
administrative si c'est encadré de façon plus raisonnable que — et je
le dis bien respectueusement — 10 millions de dollars, qui nous
apparaissent un peu, beaucoup...
M. Aylwin (Antoine) :
...que de confier ça ou de privatiser ces sanctions-là.
M. Delwaide (Karl) : Mais
n'oubliez pas le principe d'escalier dont Me Aylwin parlait tout à l'heure.
Vous savez, ça peut commencer par une ordonnance, ça peut être une pénalité administrative
si c'est encadré de façon plus raisonnable que... et je le dis bien
respectueusement, 10 millions de dollars qui nous apparaissent un peu
beaucoup, et ensuite l'étape pénale si quelqu'un ne veut pas se plier.
• (15 h 40) •
M. Aylwin (Antoine) :
Peut-être pour compléter ma réponse au député de Chapleau, il y a une chose que
nos clients nous parlent, c'est la facture pénale de 25 millions. Ça fait
que soyez-en sûr qu'ils sont sensibilisés et que, même si la disposition finale
nous prévoit une entrée en vigueur 12 mois après l'adoption, ils sont déjà
en train de penser à comment est-ce qu'ils vont être en conformité.
Mme Weil
: Et des
meilleures pratiques que vous avez pu voir peut-être ailleurs au Canada,
peut-être aux États-Unis c'est moins comparable, est-ce que vous avez des
exemples à nous donner en matière de contrôle et de répression, si on veut, de
corrections, de pénalités? Est-ce qu'on ferait vraiment bande à part, le
Québec, avec les approches qui sont proposées?
M. Delwaide (Karl) : Il y
en a deux qui me viennent à l'esprit. Il y a, je pense, en 2019,
British Airways, en vertu du Data Privacy Act du UK, là, du Royaume-Uni, a
été condamnée à je ne sais plus que montant en pounds de pénalités
administratives parce qu'eux ils suivent le modèle du RGPD. Alors, ça a été une
pénalité administrative, et là le montant m'échappe, mais c'est un montant
substantiel. Et tout récemment encore il y a Cathay Pacific, Cathay Airlines
qui a fait l'objet, je pense, c'est 500 000 pounds de pénalités
administratives. Ça, c'est des exemples que, moi, j'ai vu passer, là, dont on
m'a informé, mais c'est le régime du RGPD. 500 000 pounds, c'est
l'équivalent de quoi? 800 000 $ CAN à peu près, là, écoutez, là,
peut-être un peu plus, un peu moins, là. Mais des exemples, à notre
connaissance, il y a ces deux-là, à ma connaissance à moi. Je ne sais pas si
Antoine en a d'autres. Et c'est assez récent. Mais c'est le modèle RGPD. C'est
le modèle pénalités administratives. Vous avez des exemples de la Loi
anti-pourriels, là, des pénalités ont commencé à être émises. Mais ça ne rend
pas le système plus acceptable sur le plan des principes par rapport aux
fondements et de leur système juridique québécois tel qu'on le connaît.
M. Aylwin (Antoine) :
C'est surtout qu'on n'a pas de données qui nous permettraient de conclure que
les gens se conforment davantage dans ces systèmes-là non plus.
Mme Weil
: Vous
parlez de l'exemption lors de transactions commerciales, c'est page 11 de
votre mémoire. Pourriez-vous me donner un exemple de ce que... une illustration
de votre propos ici ou une exception spécifique au principe de consentement
dans un contexte de transaction commerciale, où ça s'applique?
M. Aylwin (Antoine) : Ce
qu'on a en tête principalement, puis c'est couvert par les autres législations
qui ont cette exception-là, là, le Québec, on est comme à la fin, là, les
autres lois ont déjà des exceptions, c'est une opération de financement...
Mme Weil
: ...une
exception spécifique au principe de consentement dans un contexte de
transaction commerciale, ça s'applique.
M. Aylwin (Antoine) : Ce qu'on
a en tête principalement, puis c'est couvert par les autres législations qui
ont cette exception-là, là, le Québec, on est comme à la fin, là, les autres
lois ont déjà des exceptions, c'est une opération de financement. Donc, une
entreprise qui veut aller chercher le financement dans des marchés privés va
devoir, par exemple, donner des renseignements sur ses hauts dirigeants, donc
des renseignements sur des employés, des renseignements personnels pour pouvoir
s'assurer que l'entreprise est entre bonnes mains. En raison du manque
d'exception, ça veut dire techniquement qu'il faut aller chercher le
consentement de ces gens-là pour pouvoir faire l'opération de financement.
Donc, c'est pour ça qu'on voit que ça n'implique pas nécessairement un
changement de propriété de l'entreprise comme c'est défini présentement, mais
que ça appartient à la même logique que l'entreprise a des opérations
commerciales à mener sur ses opérations.
Mme Weil
: Je ne sais
pas combien de temps qu'il... Ah! parfait. Peut-être parler aussi... vous
exprimer sur la section concernant... en matière d'emploi, les défis que vous
voyez, le modèle que vous prônez, peut-être expliquer un peu ce que votre
mémoire... à la page 15 de votre mémoire.
M. Aylwin (Antoine) : C'est
une question qui est fondamentale parce que la loi québécoise repose,
contrairement à la loi européenne, par exemple, sur la pierre d'assise unique
du consentement. Donc, soit il y a consentement, soit il y a exception au
consentement, c'est la pierre d'assise. Mais la relation employeur-employé
n'est pas une relation où le consentement s'exprime au niveau de l'utilisation
des renseignements personnels. Le consentement s'exprime au niveau de
l'embauche. Donc, le fait de fournir son numéro d'assurance sociale pour être
payé, ça va un peu de soi quand on est embauché, puis les renseignements qui
vont avec le fait d'être l'employé d'une entreprise découlent de l'embauche.
Donc, de dire qu'il y a vraiment une opération de consentement distincte, c'est
un peu théorique.
Et comme le projet de loi le fait peut-être
timidement, mais met le pied là-dessus, c'est que peut-être qu'on doit penser davantage
à un système de transparence plutôt qu'à un système de consentement. Et c'est
ce que... la relation employeur-employé est encadrée spécifiquement dans les
lois de la Colombie-Britannique et de l'Alberta. Il y a une exception
spécifique qui prévoit que les notions de consentement générales qui
s'appliquent aux clients, etc., ne s'appliquent pas. On a un cadre qui est très
bien défini pour les employés.
Mme Weil
: Et donc,
plus concrètement, quand vous parlez de transparence, dans quel sens?
M. Aylwin (Antoine) : Ce que
le projet de loi dit, notamment dans les politiques qui doivent être rendues
connues, bien, c'est d'exprimer aux employés expressément ce qu'on va faire avec
leurs données. Puis c'est la décision d'être à l'emploi qui va faire foi du
consentement à ces pratiques-là, et non pas un consentement distinct que celui
d'être employé.
Mme Weil
: O.K. Donc,
en fournissant l'information, il y a comme une adhésion implicite au fait de
partage de cette information.
M. Aylwin (Antoine) : Exact.
Mme Weil
: Santé et
recherche, vous allez un peu là-dessus..
M. Aylwin (Antoine) : …puis
c'est la décision d'être à l'emploi qui va faire foi du consentement à ces
pratiques-là et non pas un consentement distinct que celui d'être employé.
Mme Weil
: O.K. Donc,
en fournissant l'information, il y a comme une adhésion implicite au fait de
partage de cette information.
M. Aylwin (Antoine) : Exact.
Mme Weil
: Santé et
recherche, vous allez un peu là-dessus. On n'a pas eu le temps… Vous n'avez pas
eu le temps d'en parler, puis, dans mes quelques minutes, c'est un sujet bien important.
On en parle beaucoup, ici, au Parlement. Pourriez-vous peut-être vous adresser
à cette question-là, comment vous voyez ça?
M. Aylwin (Antoine) : En fait,
on pourrait prendre une heure là-dessus seulement, là, mais je vais essayer de
résumer au fait que… bien, nous, ce qu'on constatait, c'est que le système
actuel demande des autorisations dans les cas d'études et de recherches…
n'étaient pas appropriés. Il y a une question de ressources. Au niveau de la Commission
d'accès à l'information, des fois, ça prenait un an, un an et demi d'avoir une
réponse, puis là on arrivait au bout du financement pour faire le programme de
recherche. Donc, cette modification-là de ne pas demander une autorisation en
amont, c'est très positif pour nous. Puis même, si ça peut être mis en vigueur
avant le 12 mois de l'entrée en vigueur du projet de loi, ça serait encore
mieux.
Ceci étant, ça ne veut pas dire qu'on se
penche sur l'ensemble du processus. Ça reste quand même un processus qui est
balisé puis qu'il faut s'assurer qu'il soit cohérent avec les pratiques
actuelles en matière de recherche.
Là, la question qui se pose, c'est les utilisations
en matière de recherche, puis je vais vous parler autant d'intelligence
artificielle que d'études cliniques. Aller chercher un consentement spécifique,
d'entrée de jeu, c'est extrêmement complexe ou de définir l'utilisation, d'entrée
de jeu, c'est complexe parce qu'on cherche, on ne sait pas encore l'utilisation
précise qu'on va faire. On a essayé d'illustrer avec l'exemple d'une recherche
sur le cancer du sein qui pourrait donner des résultats pertinents à une
recherche sur le cancer des ovaires : bien, c'est le genre de chose qui
peut être découverte en cours de recherches. Si les utilisations secondaires
des données ne sont pas permises, bien, on vient se bloquer des possibilités
qui pourraient être très positives au niveau de la recherche parce qu'on a une
règle qui est trop restrictive en matière de l'utilisation des données.
Mme Weil
: Très bien.
Merci.
Le Président (M.
Bachand) : Merci… Oui, allez-y, maître. Allez-y, oui.
M. Delwaide (Karl) : …ce qui
n'écarte pas de demander que des mesures de protection des renseignements
soient prises. Comprenez-nous, là. C'est deux choses distinctes. Et nous,
là-dessus, au niveau de la protection, on vous suit… on vous suit, c'est ça.
Le Président (M.
Bachand) : Merci beaucoup. M. le député de Gouin pour 3 min
34 s, s'il vous plaît.
M. Nadeau-Dubois : Merci, M.
le Président. Bonjour, messieurs. J'ai peu de temps. Je vais être expéditif
dans mes questions. Merci de me faire le plaisir de réponses assez courtes.
Vous parlez, vous exposez des réticences à l'idée que les entreprises publient
leur politique puis leurs pratiques concernant la protection des renseignements
personnels. Vous avez soulevé un argument tantôt en disant : Ça pourrait
révéler des vulnérabilités qui pourraient être exploitées par des gens
malveillants. Mais il y a un deuxième argument qui m'intrigue. Dans votre
mémoire, vous dites, à la page 14, et je cite : «Ces renseignements
peuvent, par ailleurs, constituer des renseignements commerciaux privilégiés
pour les entreprises.» En quoi une politique qui…
M. Nadeau-Dubois : ... ça
pourrait révéler des vulnérabilités qui pourraient être exploitées par des gens
malveillants, mais il y a un deuxième argument qui m'intrigue. Dans votre
mémoire, à la page 14, vous dites, et je cite : «Ces renseignements
peuvent, par ailleurs, constituer des renseignements commerciaux privilégiés
pour les entreprises.» En quoi une politique qui explique au consommateur les
mesures qui sont prises pour protéger les renseignements — puis on
s'entend que ce n'est pas des politiques avec «voici le mot de passe pour
rentrer puis voici où est le serveur, c'est des principes généraux,
là — en quoi ça... Dans quel contexte, dans quelle circonstance ça peut
être un renseignement commercial privilégié?
M. Aylwin (Antoine) : Je suis
d'accord avec vous, ce n'est pas sur les mesures de sécurité que ce
commentaire-là s'applique, mais sur l'utilisation. Dans la façon dont le niveau
de détail va être donné sur l'utilisation, on peut révéler des méthodes qui
sont propres aux entreprises sur comment est-ce qu'on utilise les données de
façon dérivée? Comment est-ce qu'on peut faire de la déduction à partir des
données qu'on a? Puis comment on va nourrir certains algorithmes qu'on va faire
dans l'aide de la recherche à l'interne de l'entreprise? C'était plus au niveau
des utilisations potentielles.
M. Nadeau-Dubois : Mais,
donc... Mais vous comprenez que ça peut être dérangeant pour un citoyen,
d'entendre que... le fait d'expliquer aux gens ce qu'on fait avec leurs
données, ça va déranger certaines entreprises, parce qu'elles veulent pouvoir
protéger pour faire de l'argent, faire du profit avec les données. On est mieux
de ne pas trop expliquer ce qu'on fait avec pour pouvoir protéger notre
avantage concurrentiel. Voyez-vous comment c'est un argument qui pourrait être
dérangeant pour certaines personnes?
M. Aylwin (Antoine) : Je
comprends... Je comprends votre préoccupation. Ce n'est pas qu'est-ce qu'on fait
avec les données, mais comment on le fait, je pense qui est la préoccupation.
• (15 h 50) •
M. Nadeau-Dubois : Mais est-ce
que ce n'est pas là l'objectif d'une loi comme le projet de loi n° 64,
d'ajouter de la transparence sur ce que les entreprises font avec les renseignements
personnels des gens? Ce n'est pas ça même l'intention d'avoir un projet de loi
comme ça?
M. Aylwin (Antoine) : Je vais
vous donner un exemple où je fais la distinction, quand on parle de ciblage de
publicité, O.K.? C'est une préoccupation, je pense, qui est de connaître qu'il
y a... que nos données sont utilisées pour faire du ciblage. Ça, c'est une utilisation
qui peut être communiquée puis qui fait partie de l'objectif de transparence
que vous décrivez.
Mais quand on rentre dans les outils puis
dans le comment ça fonctionne dans la boîte, là, comment est-ce qu'on fait les
maillages? Comment est-ce qu'on fait les arrimages, bien c'est là que ça
devient la propriété intellectuelle de l'entreprise qui développe ces
techniques pour être performante au niveau de son ciblage. Mais si je vous dis
que j'utilise votre nom, votre résidence, votre revenu pour faire du ciblage
sur vous, j'ai... je pense atteindre l'objectif de transparence que vous
recherchez.
M. Nadeau-Dubois : Bien, où
est-ce que vous voyez, dans le projet de loi, qu'il y aurait des exigences beaucoup
plus élevées que ce que vous venez de décrire là?
M. Aylwin (Antoine) : On ne
veut pas qu'elles soient moins élevées.
M. Nadeau-Dubois : Vous
souhaitez qu'elles soient... Ah! pour vous, ce serait ...par exemple, ce serait
mal avisé de demander à des entreprises de révéler que l'adresse, la date de
naissance, le lieu de résidence est utilisé pour faire du ciblage, pour reprendre
notre exemple, là.
M. Aylwin (Antoine) :
...c'est parce que ce que vous nous demandez, si : Où est-ce que vous
voyez dans le projet de loi que ça va aussi loin?
M. Nadeau-Dubois : Oui.
M. Aylwin (Antoine) :
Nous, notre réponse, c'est : On ne voit pas dans le projet de loi que ça
ne va pas aussi loin...
M. Nadeau-Dubois : ...par
exemple, ce serait mal avisé de demander à des entreprises de révéler que
l'adresse, la date de naissance, le lieu de résidence est utilisé pour faire du
ciblage, pour reprendre notre exemple, là.
M. Aylwin (Antoine) :
...c'est parce que ce que vous nous demandez, si : Où est-ce que vous
voyez dans le projet de loi que ça va aussi loin?
M. Nadeau-Dubois : Oui.
M. Aylwin (Antoine) :
Nous, notre réponse, c'est : On ne voit pas dans le projet de loi que ça
ne va pas aussi loin. Il n'y a pas ces... Ce n'est pas défini d'une façon qui
limite l'information qui doit être rendue disponible.
M. Delwaide (Karl) : Ça
n'est pas encadré. C'est qu'on ne sait pas... On est devant une zone grise, on
ne sait pas comment le régulateur va l'interpréter, jusqu'à quel niveau de
précision ce sera exigé.
Le Président (M.
Bachand) :Merci beaucoup. Merci beaucoup.
Sur ce, messieurs, merci beaucoup de votre collaboration aux travaux de la commission.
C'était très apprécié.
Et là-dessus la commission suspend ses
travaux quelques instants. Merci beaucoup. Très bon après-midi.
(Suspension de la séance à 15 h 52)
(Reprise à 15 h 54)
Le Président (M.
Bachand) :À l'ordre, s'il vous plaît! La commission
reprend ses travaux. Alors, il nous d'accueillir Me Daniel Therrien,
commissaire à la protection de la vie privée du Canada. Alors, Me Therrien, encore
une fois, grand plaisir de vous accueillir de façon virtuelle, bien sûr. C'est
la façon de faire dorénavant. Alors, comme vous savez, vous avez
10 minutes de présentation. Après ça, nous aurons un échange avec les
membres de la commission. Donc, la parole est à vous, Me Therrien, merci
beaucoup.
M. Therrien (Daniel) : Merci
beaucoup, M. le Président, et Mmes et MM. les députés, je vous remercie de
votre invitation à discuter du projet de loi n° 64, les lois
québécoises sur la protection des renseignements personnels.
Nos sociétés ont terriblement besoin de
moderniser leurs lois en la matière, après plusieurs années de révolution
numérique qui est une force perturbatrice de nos habitudes, de nos pratiques et
de nos droits. Votre projet de loi est extrêmement opportun.
Les perturbations occasionnées par les
technologies de l'information ne sont pas que négatives. Ces technologies sont
au coeur de la quatrièmerévolution industrielle et elles vont
contribuer à l'amélioration des services publics. La pandémie actuelle fait
d'ailleurs ressortir l'importance des sciences, des données et de la
technologie dans la gestion de la crise. Elle accélère grandement la révolution
numérique, ce qui selon moi est une raison de plus pour modifier sans délai le
cadre juridique. Donc, les technologies de l'information peuvent servir
l'intérêt public.
Cependant, ces technologies posent aussi
des risques importants pour la vie privée. Les fuites de données ont touché
l'an dernier 30 millions de Canadiens. On parle de plus en plus de
l'existence d'un capitalisme de surveillance. Cela, quelques années après
l'affaire Snowden qui identifiait bien sûr la surveillance de l'État. Plus
récemment, le scandale Cambridge Analytica a mis en lumière les risques pour la
démocratie.
La télémédecine offerte en temps de
pandémie comporte des avantages indéniables, mais si elle fait appel à des
plateformes privées, il y a un risque pour la confidentialité des
renseignements de santé. L'éducation à distance amène des risques semblables.
Il faut moderniser les lois entre autres
parce que la population ne croit pas que les nouvelles technologies sont
utilisées d'une manière qui respecte leur vie privée. Des sondages du
commissariat révèlent qu'environ 90 % des Canadiens sont inquiets.
La vie privée est une valeur fondamentale
de nos sociétés démocratiques et un droit protégé par la charte québécoise des
droits et libertés. Selon nous, le point de départ d'une réforme devrait
consister à s'assurer que les lois de protection des renseignements personnels
respectent le caractère fondamental de ce droit et le mettent en oeuvre de
façon moderne et durable. En clair, les lois devraient autoriser l'innovation
responsable, qui est dans l'intérêt public...
M. Therrien (Daniel) : …droits
et libertés. Selon nous, le point de départ d'une réforme devrait consister à
s'assurer que les lois de protection des renseignements personnels respectent
le caractère fondamental de ce droit et le mettent en oeuvre de façon moderne
et durable.
En clair, les lois devraient autoriser
l'innovation responsable, qui est dans l'intérêt public et propre à susciter la
confiance, mais interdire les utilisations de la technologie qui sont
incompatibles avec nos valeurs et nos droits.
C'est l'approche que j'ai mise de l'avant
dans mon rapport annuel de l'an dernier au Parlement fédéral, qui comprenait
une proposition détaillée de réforme des lois fédérales en matière de vie
privée.
Plusieurs des propositions du projet de
loi n° 64 vont dans ce sens. Par exemple, le projet
de loi prévoit des dispositions encadrant le profilage et protégeant le droit à
la réputation. Il assujettit les partis politiques aux dispositions de la loi
sur le secteur privé.
Le projet de loi n° 64
vise entre autres à accroître le contrôle que les citoyens ont sur leurs
renseignements personnels. Les règles concernant le consentement sont donc
bonifiées. Je souscris à ces améliorations, ayant moi-même rehaussé, il y a
deux ans, les exigences prévues dans les lignes directrices du commissariat en
matière de consentement.
Mais il est capital de dire qu'en 2020, la
protection des renseignements personnels ne peut reposer que sur le
consentement. Il n'est tout simplement pas réaliste ou raisonnable de demander
aux individus de consentir à toutes les utilisations possibles de leurs données
dans une économie de l'information aussi complexe que celle d'aujourd'hui. Le
rapport de force est trop inégal.
En fait, le consentement peut servir à
légitimer des usages qui, objectivement, sont complètement déraisonnables et
contraires à nos droits et valeurs. Et le refus de donner son consentement peut
parfois desservir l'intérêt public.
Le projet de loi n° 64
prévoit certaines exceptions au consentement, par exemple en matière de
recherche, ou lorsque les renseignements personnels sont utilisés à des fins
compatibles aux fins pour lesquelles ils ont été recueillis. Ce sont des pas
dans la bonne… dans la direction du réalisme, mais il faut faire attention. Par
exemple, l'exception pour les fins compatibles pourrait être interprétée de
façon très large, permettant toutes sortes d'utilisations.
C'est pourquoi il existe d'autres modèles
de protection des données personnelles, qui tiennent compte des limites du
consentement et qui cherchent par d'autres moyens à réaliser à la fois
l'atteinte de l'intérêt public et la protection de la vie privée.
Le modèle européen en est un exemple. En
Europe, on permet l'utilisation des données lorsqu'elle est nécessaire à
l'exécution d'une mission d'intérêt public ou aux fins des intérêts légitimes
poursuivis par une entreprise ou un organisme public, dans le respect des
droits fondamentaux.
Je note qu'au Québec, une entreprise doit
avoir un intérêt sérieux et légitime pour recueillir des renseignements
personnels. C'est une notion proche des intérêts légitimes du droit européen.
• (16 heures) •
À mon avis, l'approche européenne mérite d'être
considérée, parmi d'autres. Ce qui compte, c'est que la loi autorise les
utilisations des données personnelles dans l'intérêt public, les fins légitimes
ou le bien commun, à l'intérieur d'un régime fondé sur le respect des droits…
16 h (version non révisée)
M. Therrien (Daniel) :
...proche des intérêts légitimes du droit européen. À mon avis, l'approche
européenne mérite d'être considérée parmi d'autres. Ce qui compte, c'est que la
loi autorise des utilisations des données personnelles dans l'intérêt public,
les fins légitimes ou le bien commun à l'intérieur d'un régime fondé sur le
respect des droits. Ce régime devrait imposer aux entreprises et aux ministères
la transparence et l'obligation d'une responsabilité démontrable à l'organisme
de réglementation.
Mon dernier point, si j'ai quelques
secondes, serait de vous dire l'importance de l'interopérabilité des lois. Il
est important que les données puissent voyager, mais évidemment dans le respect
des droits des citoyens... Pardon.
Je mets un point important et capital, en
fait, qui est les pouvoirs de contrôle et de sanction. Alors, évidemment, il
n'est pas suffisant d'avoir des lois qui protègent bien la vie privée. Il faut
assortir ces lois de mécanismes d'application de la loi qui sont rapides et
efficaces. Dans plusieurs pays du monde, cela passe par l'octroi à l'autorité
administrative compétente de pouvoirs d'ordonnance et de sanctions pécuniaires importantes.
Il est important de dire, surtout à la
lumière de certains témoignages que vous avez reçus, que de telles lois ne
visent pas à punir les contrevenants ou à les empêcher d'innover. Elles visent
à assurer une plus grande conformité, condition essentielle à la confiance et
au respect des droits. Il faut dire que plusieurs entreprises et organismes
prennent au sérieux leurs obligations à l'égard des renseignements personnels,
mais pas toutes. Il est donc important que les lois ne confèrent pas d'avantage
aux contrevenants.
Les sanctions doivent être
proportionnelles aux gains financiers que peuvent réaliser les entreprises qui
font fi de la vie privée. Sans cela, les entreprises ne changeront pas leurs
pratiques. Les sanctions dérisoires seront un coût qu'elles seront prêtes à
absorber dans la recherche du profit. Le caractère proportionnel des sanctions
est aussi un avantage pour les petites entreprises. Les dispositions prévues,
donc, en matière de contrôle et de sanctions, dans le projet de loi n° 64, sont, à mon avis, excellentes, et il est important,
même primordial qu'elles soient conservées.
Donc, mon dernier point porte sur
l'interopérabilité des lois. Cette interopérabilité sert à faciliter et à
réguler les échanges de données, elle sert aussi à rassurer les citoyens,
puisque les données sont protégées de semblable façon lorsqu'elles quittent nos
frontières, et enfin elle sert les entreprises en réduisant les coûts reliés à
la conformité.
Plusieurs intervenants vous ont mis en
garde contre l'adoption d'une loi qui serait plus stricte que le règlement
européen ou d'autres lois de notre zone économique. À ce sujet, ma suggestion
serait de ne pas craindre d'utiliser le règlement européen, le RGPD, comme
source d'inspiration mais d'éviter d'aller au-delà de ce règlement, sauf si
vous le jugez nécessaire, le RGPD n'étant évidemment pas parfait. Si vous le
voulez, il nous fera plaisir...
M. Therrien (Daniel) :
...À ce sujet, ma suggestion serait de ne pas craindre d'utiliser le règlement
européen, le RGPD, comme source d'inspiration, mais d'éviter d'aller au-delà de
ce règlement, sauf si vous le jugez nécessaire, le RGPD n'étant évidemment pas
parfait. Si vous le voulez, il nous fera plaisir d'élaborer sur ce point.
Donc, en conclusion, je salue les efforts
du Québec d'amener ses lois sur la vie privée au XXIe siècle. D'autres juridictions
ont aussi pris des initiatives dans ce sens, entre autres l'Ontario et la Colombie-Britannique,
mais vous montrez la voie. Espérons que d'autres la suivront. En effet, il est
urgent d'agir. Merci, M. le Président.
Le Président (M.
Bachand) : Merci infiniment, M. le commissaire. M. le ministre,
s'il vous plaît.
M. Jolin-Barrette : Oui,
merci, M. le Président. Bonjour, M. le commissaire. Merci de participer à nos
travaux de la commission sur le projet de loi n° 64.
Si vous permettez, reprenons sur votre
dernier point, en termes d'interopérabilité des lois. Les témoins qu'on a eus à
date, surtout du milieu des affaires, nous ont dit : Écoutez, faites bien
attention parce qu'il faudrait attendre après le fédéral, il faudrait attendre
les autres juridictions canadiennes pour voir ce qu'elles vont faire pour...
avant d'avancer une réforme ici, au Québec. Vous, de votre propos, vous
dites : Non, montrez la voie, agissez à titre de leaders pour protéger les
renseignements personnels, les données personnelles des Québécois. On ne
devrait pas attendre, dans le fond.
M. Therrien (Daniel) : Tout
à fait. C'est sûr que l'interopérabilité est importante. C'est sûr qu'il faut
vérifier ce que les voisins immédiats font. Mais, franchement, ça fait six
ans que je suis commissaire en fédéral puis ça fait six ans qu'il n'y a pas
d'action à ce niveau-là, d'amélioration des lois. La dame qui m'a précédé,
Mme Stoddart aussi, pendant plusieurs années, plaidait pour la réforme des
lois fédérales. Et jusqu'à présent il n'y a pas eu de telle réforme.
Alors, il faut agir. Et d'ailleurs on voit
certaines juridictions canadiennes, l'Ontario, la Colombie-Britannique, comme
je le mentionnais, qui ont fait des pas. L'Ontario fait des consultations. La Colombie-Britannique
a eu des commissions parlementaires avant que l'élection soit appelée. Et je
crois qu'au gouvernement fédéral aussi on est à la veille d'avoir un projet de
loi. Il y a eu une carte numérique, comme vous le savez sans doute, qui a été
déposée il y a un peu plus d'un an. Alors, je pense qu'il est tout à fait le
temps d'agir.
M. Jolin-Barrette : Et
donc, si on est plus ambitieux rapidement au Québec, ça pourrait amener le gouvernement
fédéral à être plus ambitieux lui aussi sur la protection des ressources personnelles.
M. Therrien (Daniel) :
C'est certainement une possibilité, oui.
M. Jolin-Barrette : O.K.
M. Therrien (Daniel) : Et
votre projet de loi est excellent. De façon générale, c'est un excellent projet
de loi.
M. Jolin-Barrette :
Bien, écoutez, je vais... Je l'apprécie. Merci de vos commentaires. Je vais
redonner à César ce qui est à César, par contre. C'est l'équipe ici, Me
Miville-Deschênes, M. Martin-Philippe Côté et surtout la ministre...
M. Therrien (Daniel) : ...et
votre projet de loi est excellent. De façon générale, c'est un excellent projet
de loi.
M. Jolin-Barrette : Bien,
écoutez, je vais... Je l'apprécie. Merci de vos commentaires. Je vais redonner
à César ce qui est à César, par contre. C'est l'équipe ici, Me Miville-Deschênes,
M. Martin-Philippe Côté et surtout la ministre présidente du Conseil du
trésor, Mme la députée de Champlain, que je ne peux pas nommer ici, qui est
l'auteure du projet de loi. Alors, je vais lui partager vos commentaires et vos
félicitations.
En ce qui concerne le contexte européen,
donc, oui, on a des échanges avec l'Europe. Cependant, est-ce qu'on est trop
collés sur le volet européen versus le contexte nord-américain en termes de
partage d'information, de données et de protection ou vous nous dites: Ça va ou
ce que vous incorporez de l'Europe, c'est une bonne idée?
M. Therrien (Daniel) : Alors,
le Canada et le Québec évidemment ont des transactions commerciales et avec
l'Europe et avec les États-Unis. Les États-Unis sont un partenaire économique extrêmement
important et on ne peut ignorer ce que les États-Unis et le reste du Canada
font, mais l'Europe aussi est importante. Et ce que j'ai demandé au gouvernement
fédéral depuis quelque temps et ce qui est très clair depuis quelques années,
Cambridge Analytica, d'autres scandales, les fuites de données, c'est que, ce
qui est en jeu avec la protection de la vie privée et des renseignements
personnels, ce sont les droits des citoyens. Quand on regarde Cambridge
Analytica, par exemple, il y avait une utilisation des renseignements
personnels dans le but de changer... d'influencer les gens à voter d'une façon
ou d'une autre. Alors, c'est des droits fondamentaux qui sont en cause. Et une
des raisons importantes évidemment pour laquelle le règlement européen doit
servir d'inspiration, ne pas faire de copier-coller, mais d'inspiration, c'est
que le règlement européen est fondé sur la vie privée comme droit de la
personne. Alors, je pense que... Et au Québec aussi, évidemment, la vie privée,
la protection des renseignements personnels en vertu de la charte, en vertu du Code
civil est un droit de la personne. Donc, il y a des analogies en termes de
droit et de régime juridique qui font en sorte que de s'inspirer du droit
européen est important, mais évidemment sans oublier aussi le contexte
nord-américain.
M. Jolin-Barrette : O.K. Vous
avez débuté votre allocution en disant notamment : 30 millions de
Canadiens ont subi des fuites de données l'an passé. Vous avez dit aussi :
On est dans capitalisme de surveillance. Qu'est-ce que vous voulez dire?
M. Therrien (Daniel) : Bien,
quand on regarde l'utilisation par les compagnies, surtout... mais pas
exclusivement les grandes compagnies américaines comme Facebook, Google, par
exemple, on voit que les données personnelles des citoyens de différents pays
sont utilisées pour des fins de publicité qui fait en sorte...
M. Therrien (Daniel) : …les
compagnies puis surtout, mais pas exclusivement, des grandes compagnies
américaines comme Facebook, Google, par exemple, on voit que les données
personnelles des citoyens de différents pays sont utilisées pour des fins de
publicité qui fait en sorte que ces contenus-là sont extrêmement profitables.
Donc, ce sont des compagnies qui sont à l'avant-garde de ce capitalisme-là qui
utilise les renseignements personnels pour faire des affaires. Il n'y a pas de…
ce n'est pas un problème que de faire des affaires, mais il faut faire en sorte
que le commerce fonctionne dans le respect des droits et la surveillance des
citoyens par Facebook, par Google, par la géolocalisation, qui est une des
questions qui est traitée dans le projet de loi, doit être extrêmement réglementée.
• (16 h 10) •
M. Jolin-Barrette : O.K. On
prévoit un encadrement des communications de renseignements personnels avec
l'extérieur du Québec. Et ça, ça va être possible qu'avec une analyse de
risques qui inclut une analyse de la législation étrangère et qui doit conclure
que la protection est équivalente. Quelle est votre position par rapport à ça,
si on exige ça dans le projet de loi?
M. Therrien (Daniel) : Quand,
là, je disais à la fin de mon allocution qu'il y a peut-être certains points où
je vous recommanderais de ne pas aller plus loin que le RGPD, et, à cet
égard-là, il est possible que le projet de loi n° 64 aille plus loin.
Alors, c'est une bonne chose que le projet de loi n° 64 fasse en sorte que
les entreprises québécoises évaluent l'impact du transfert des données des
Québécois à l'extérieur du Québec. Ça, c'est une bonne chose et c'est une chose
qui existe dans le règlement européen. Dans le règlement européen, il y a
différentes façons d'assouplir ou… ces règles-là, par exemple, l'adoption de
contrats types ou de codes de conduite, par exemple, qui n'existent pas dans le
projet de loi n° 64 et que je vous encouragerais à étudier pour, d'une
part, s'aligner mais surtout ne pas assujettir les entreprises québécoises à
des règles encore plus strictes que le RGPD.
M. Jolin-Barrette : Je vous
remercie.
Le Président (M.
Bachand) : Merci beaucoup. M. le député de Saint-Jean, s'il
vous plaît.
M. Lemieux : Merci beaucoup,
M. le Président. Bonjour, M. le commissaire Therrien.
M. Therrien (Daniel) :
Bonjour.
M. Lemieux : Juste avant vous,
on s'est fait dire que ce serait bien que le projet de loi n° 64 soit plus
explicite par rapport au consentement implicite. On l'a trouvé bien drôle,
mais, en même temps, il y a quelque chose là-dedans de fondamentalement intéressant
dans la mesure où le consentement, dans le contexte actuel, et je pense que
c'est moi qui le disais hier, en tout cas, on en a beaucoup parlé hier aussi,
il faut aider les consommateurs à se protéger d'eux-mêmes, dans le fond,
tellement ça va vite.
Vous, vous êtes où dans le consentement?
Vous êtes où, dans le sens de… est-ce qu'effectivement… et l'exemple qu'on nous
a servi tout à l'heure, c'est : Je vais déposer un C.V. pour obtenir un
emploi. Il n'y a plus d'emploi de disponible, mais on garde mon C.V. On
conserve mon C.V. parce que c'est implicite que…
M. Lemieux : …tellement ça va
vite. Vous, vous êtes où dans le consentement? Vous êtes où dans le sens,
est-ce qu'effectivement… et l'exemple qu'on nous a servi tout à l'heure, c'est :
Je vais déposer un C.V. pour obtenir un emploi. Il n'y a plus d'emploi de
disponible, mais on garde mon C.V. On conserve mon C.V., parce que c'est
implicite que, si j'ai déposé mon C.V., les informations qu'il y a là-dedans,
j'étais d'accord pour les communiquer.
Je n'ai pas eu la chance de poser la question,
mais j'allais la poser, et je vous la pose à vous : On le garde combien de
temps? Il est là, mon problème, moi.
M. Therrien (Daniel) : Alors, il
y a, d'une part, une question sur la conservation des documents, donc les documents
devraient être conservés uniquement pour la durée pour laquelle ils sont utiles
à l'entreprise. Et, s'il n'y a pas plus d'emploi à offrir, l'entreprise ne
devrait pas généralement conserver les renseignements en question. Ça, c'est
pour la conservation.
Pour le consentement, il y a une place
pour le consentement dans nos lois de protection des renseignements personnels,
mais avec l'économie axée sur l'information qu'on a présentement et les
politiques de vie privée extrêmement longues qu'on voit, la vie privée, la
protection des renseignements personnels ne peut pas reposer que sur le
consentement.
Alors, je suis d'accord avec les
dispositions du projet de loi qui viennent bonifier les conditions du
consentement, mais il faut absolument prévoir d'autres façons de permettre
l'utilisation des renseignements, et c'est dans ce sens-là, entre autres, que
le règlement européen peut être utile.
M. Lemieux : Bien, justement,
je voulais revenir sur le règlement européen, parce que vous venez de dire au
ministre : Attention, c'est bien de s'aligner sur les Européens, mais, un
jour, il va falloir aller plus loin, en tout cas, j'espère, parce que, comme
vous dites, on est entré dans la modernisation, tout ça, mais, un jour, il va
falloir continuer de s'ajuster. Puis vous en parliez avec le ministre au sens
de dire : Vous en demandez plus pour l'instant, en tout cas, là, on verra
ce que le projet de loi devient, mais vous en demandez plus dans la mesure où
il n'y a pas nécessairement des ententes contractuelles et les autres
possibilités d'aller plus loin, d'aller plus vite que juste de faire… et c'est
beaucoup demandé aux entreprises québécoises de faire l'analyse des risques.
Donc, comment vous proposez ou comment vous
voyez, vous envisagez la suite des choses, si on fait juste s'aligner avec les
Européens, on est toujours à leur remorque, on s'entend au fur et à mesure
pour, tout le monde, remonter un peu le niveau, comment ça va fonctionner?
M. Therrien (Daniel) : Comme
je pense l'avoir dit, là, le règlement européen n'est pas parfait évidemment,
et la raison pour laquelle je vous suggère humblement de ne pas aller plus loin
que le règlement européen, généralement, il pourrait y avoir des exceptions,
c'est que des entreprises québécoises ne devraient probablement pas être
désavantagées par rapport à d'autres entreprises, en ayant des exigences, des
obligations plus restrictives que ce qui est déjà… ce qu'on appelle le Global
Standard ou la norme internationale qui est le règlement européen…
M. Therrien (Daniel) : …c'est
que des entreprises québécoises ne devraient probablement pas être
désavantagées par rapport à d'autres entreprises en ayant des exigences, des
obligations plus restrictives que ce qui est déjà ce qu'on appelle le
Global Standard, la norme internationale, qui est le règlement européen.
En grande partie, c'est pour des raisons
de compétitivité que je vous suggère de ne pas aller plus loin que le règlement
européen. Et comme je le dis, le règlement européen n'est pas parfait, et par
exemple, il y a un concept très intéressant dans le projet de loi n° 64,
qui est de traiter de la vie privée dès la conception et de faire en sorte que
les entreprises, lorsqu'elles essaient de colliger des renseignements,
utilisent des paramètres qui protègent le mieux possible la vie privée, d'avoir
le plus haut standard possible pour protéger la vie privée dans la collecte des
renseignements. Le règlement européen ne va pas aussi loin que ça.
Sur ce point-là, je vous encouragerais à
aller plus loin que le règlement européen parce qu'il n'y a pas de problème à
demander de façon générale que quand les compagnies colligent les
renseignements, que les paramètres soient à ce niveau-là. Si une compagnie veut
convaincre un consommateur de lui remettre ses renseignements de façon… ou pour
d'autres raisons qui n'atteindraient pas cette règle-là, que la compagnie
convainque le consommateur de le faire, mais à défaut que les paramètres soient
toujours ceux qui protègent le mieux la vie privée, ça me semble une bonne idée
du projet de loi n° 64, qui ne se retrouve pas dans le règlement européen.
M. Lemieux : Est-ce que, quand
on regarde… puis ça a été la première question qui vous a été posée, mais je
vais revenir dessus un petit peu, par rapport à la capacité de la loi
québécoise et des autres lois canadiennes et provinciales au Canada,
l'interopérabilité, est-ce qu'il y a un moment où il y a une espèce de… pas un
vide, mais une complication supplémentaire pour, entre autres, les compagnies,
pour qui vous nous dites qu'à l'étranger ça peut devenir lourd, est-ce qu'il va
y avoir une sorte de flou au début, selon vous, ou c'est tellement proche et on
parle tellement de la même chose, peut-être différemment, qu'au final, ça ne
sera pas un problème de l'opérationnaliser? C'est ce que vous avez dit tantôt,
mais je voudrais comprendre plus comment ça va s'opérationnaliser.
M. Therrien (Daniel) : C'est
une question à 6 millions de dollars, probablement, là. Le concept
d'adéquation dans le projet de loi québécois, et ce qui existe déjà en droit
européen, c'est un exercice extrêmement complexe de comparaison des lois.
Alors, non, les lois ne sont pas toutes pareilles et il peut y avoir un régime
qui n'est pas adéquat par rapport à un autre pour des aspects importants des
lois. Par exemple, si dans un pays, le tribunal administratif a des pouvoirs
d'ordonnance et de sanction administrative et que, dans un autre, ces moyens-là
n'existent pas, il se peut très bien que le deuxième pays ne sera pas adéquat
par rapport aux lois de la première.
Donc, dans l'état actuel des choses, la
CAI a des…
M. Therrien (Daniel) : ...a des
pouvoirs d'ordonnance et de sanction administrative et que, dans un autre, ces
moyens-là n'existent pas, il se peut très bien que le deuxième pays ne soit pas
adéquat par rapport aux lois de la première. Donc, dans l'état actuel des
choses, la CAI a des pouvoirs d'ordonnance que je n'ai pas... plusieurs mes
collègues... n'ont pas. Le projet de loi prévoit que la CAI pourrait imposer
des sanctions administratives, des pouvoirs que je n'ai pas. Ce sont des
différences importantes, mais je ne pense pas que ça devrait vous empêcher
d'adopter un projet de loi qui va plus loin que les autres juridictions
canadiennes, essentiellement parce que j'espère et je pense que les autres
juridictions vont vous rejoindre.
M. Lemieux : On revient...
oui... on revient encore au même principe que j'énonçais tout à l'heure. On
fait comment à l'avenir? À partir du moment où on a pris un peu d'avance, les
autres nous rejoignent, comme vous venez de suggérer qu'il va se passer,
pourquoi on règle ça tout le temps en allant le plus loin possible? Est-ce que
vous, vous considérez que ce qu'on a... puis vous avez dit, par rapport à
l'Europe, on est à la limite, là, mais par rapport au reste du Canada, on est
loin devant? En tout cas, loin devant vous, si j'ai bien compris ce que vous
venez de me dire, là.
M. Therrien (Daniel) : Le
projet de loi n° 64 va certainement beaucoup plus
loin que la loi fédérale actuelle, mais j'ai bon espoir que la loi fédérale va
être modifiée pour rejoindre. Est-ce que ça va rejoindre tout à fait le projet
de loi n° 64, je l'espère, mais je n'en suis pas
certain.
M. Lemieux : Merci, M.
Therrien.
Le Président (M.
Bachand) : Merci, M. le commissaire. M. le député de
LaFontaine, s'il vous plaît.
• (16 h 20) •
M. Tanguay
: Pour
combien de temps, M. le Président?
Le Président (M.
Bachand) : 13 minutes... Je vais vous dire ça dans
quelques secondes, sur mon temps. 13 min 36 s.
M. Tanguay
: Parfait.
Merci beaucoup, M. le Président. Bonjour, M. Therrien, merci d'être avec nous
pour discuter du projet de loi n° 64 et de ses enjeux
très importants de protection des renseignements personnels et de la vie
privée. Vous faites bien de mentionner d'entrée de jeu, là, dans votre
intervention, 90 % des Canadiens sont inquiets. Une statistique qui m'a
frappé. 30 millions de Canadiens, l'an dernier, ont été touchés par des
fuites de données, alors c'est nettement substantiel. J'aimerais vous entendre
sur... «Dans mon rapport de l'an dernier — et je vous cite, page
2 — dans mon rapport de l'an dernier au Parlement, je recommandais
que le caractère fondamental du droit à la vie privée soit reconnu dans les
principes et l'énoncé d'objet des lois fédérales régissant les secteurs publics
et privés.» Donc, vous nous suggérez, si je comprends bien, d'inscrire ça dans
la loi... le projet de loi n° 64. Nous
recommanderez-vous de l'inscrire ailleurs, dans une autre loi? Et pourquoi
c'est important, cet énoncé de principe?
M. Therrien (Daniel) : Comme
je le disais tantôt, ce que l'histoire des dernières années démontre, Cambridge
Analytica...
M. Tanguay
:
...ailleurs dans une autre loi et pourquoi c'est important cet énoncé de
principe?
M. Therrien (Daniel) : Comme
je le disais tantôt, ce que l'histoire des dernières années démontre, Cambridge
Analytica entre autres, mais d'autres scandales dans l'utilisation des
renseignements personnels, c'est que les droits de la personne et des citoyens,
dont la démocratie, le droit à l'égalité est en cause par l'intelligence
artificielle, par exemple. Alors, ce qui est en cause, c'est d'une part les
technologies donnent des avantages importants qu'il faut continuer à
privilégier, mais dans le respect des droits.
Les droits ont été violés ces dernières
années par la collecte des renseignements personnels, alors c'est là que le
problème fondamental. Il faut que ça, ça soit reconnu dans les lois. Le Québec
est déjà en avant par rapport certainement à la loi fédérale dans ce sens-là,
en ce que le droit à la vie privée est déjà reconnu par la charte québécoise.
Le Code civil parle aussi de l'importance de la vie privée.
Alors, certainement dans le contexte
fédéral, dans le contexte fédéral, la protection des renseignements personnels
présentement, c'est plus une question de régulation économique, d'équilibre
entre la protection de la vie privée, mais aussi de promouvoir l'utilisation
des renseignements pour des fins économiques. Et la question des droits de la
personne n'entre pas vraiment en jeu dans la loi, par exemple, de la vie
privée, pour ce qui est du secteur privé au niveau fédéral. Dans ce
contexte-là, il est particulièrement important d'indiquer dans une nouvelle loi
fédérale que la vie privée est un droit fondamental.
Au Québec, puis encore une fois, il y a
déjà des actions qui ont été prises, mais je recommanderais, et je crois
d'ailleurs que la commission québécoise des droits de la personne il y a
quelques années a recommandé que dans le préambule des lois québécoises sur la
protection des renseignements personnels, que l'importance de la vie privée
comme droit fondamental, comme droit de la personne, soit explicitement
reconnue, ce qui pourrait avoir comme conséquence d'être utile à
l'interprétation des textes de loi dans le détail.
Alors, c'est un peu pour ça que je
recommande que la vie privée, que la protection des renseignements personnels
soient mentionnées en termes d'objectifs des lois sur la protection des
renseignements personnels.
M. Tanguay
: Et si
c'était le cas, de façon plus claire aussi, juridiquement, dans un débat judiciaire,
ça permettrait s'il y avait... si l'on plaidait puis on avait gain de cause
qu'il y a eu infraction ou violation d'un droit ou d'une liberté fondamentale
en vertu de la charte québécoise, il y aurait lieu, à ce moment-là, de
demander, qui plus est, des dommages et intérêts, des dommages punitifs, ce qui
pourrait aussi ajouter aux signaux qui seraient envoyés aux récalcitrants.
M. Therrien (Daniel) : Vous
vous connaissez mieux dans l'application de cette loi-là que moi. Mon
objectif...
M. Tanguay
: ...d'un
droit ou d'une liberté fondamentale en vertu de la charte québécoise, il y
aurait lieu, à ce moment-là, de demander, qui plus est, des dommages et
intérêts, des dommages punitifs, ce qui pourrait aussi ajouter aux signaux qui
seraient envoyés aux récalcitrants.
M. Therrien (Daniel) : Vous
vous connaissez mieux dans l'application de cette loi-là que moi. Mon objectif,
ça serait plus dans l'interprétation d'un concept, par exemple, du consentement
éclairé. Alors, la loi parle de consentement éclairé. Si cette notion-là
apparaît dans une loi dont un des objectifs est de reconnaître la vie privée
comme droit de la personne, le concept de consentement éclairé risque d'être
interprété à la lumière de l'importance du droit en question.
M. Tanguay
: Ce qui est
particulièrement intéressant de vous avoir, M. Therrien, c'est votre
regard évidemment pancanadien. On a eu d'entrée de jeu le Directeur général des
élections qui nous a fait référence... qui a fait référence à ce qui se passe
en Colombie-Britannique en ce qui concerne l'application du régime des entreprises
privées aux partis politiques. Vous soulignez dans votre document, il
assujettit... Vous soulignez le fait que le projet de loi n° 64 assujettit
les partis politiques aux dispositions de loi sur le secteur privé. Donc, on a
le cas de l'exemple de la Colombie-Britannique.
J'aimerais savoir : Au niveau
fédéral, quel régime, s'il y en a un — peut-être pas, je ne le sais
pas, vous allez nous le dire — encadre les partis politiques à ce
chapitre?
M. Therrien (Daniel) : Alors,
les partis politiques fédéraux ne sont pas assujettis aux lois sur la
protection des renseignements personnels. Il y a certaines dispositions que je
qualifierais de basiques sur l'obligation des partis politiques d'avoir des
registres et... des obligations extrêmement minimalistes. Mais de façon... Les
partis politiques, donc, ne sont pas assujettis aux lois sur la protection des
renseignements personnels au fédéral ni d'ailleurs dans aucune province à part
la Colombie-Britannique.
M. Tanguay
: Et quelle
est votre idée de façon un peu plus précise? Vous semblez, donc, saluer
l'approche préconisée par le gouvernement ici, à Québec, dans le projet de loi
n° 64, d'assujettir les partis politiques provinciaux au régime des
entreprises privées. J'aimerais avoir votre idée là-dessus. Ne trouvez-vous pas
qu'il y aurait lieu de faire une distinction entreprise privée à vocation à
faire des profits versus, dans notre démocratie, des partis politiques qui
doivent rejoindre, communiquer, parler à la population, c'est l'objectif
central et ultime d'un parti politique, et, à la limite, faire une analogie en
disant : Bien, écoutez, on a déjà mis des atermoiements pour des
organismes qui exercent pour des fins d'étude, de recherche, de production
statistique, on ne leur a pas... Là, dans ces cas-là, on extensionnait le
consentement. Alors, j'aimerais vous entendre là-dessus, sur l'à propos de
faire copier-coller, entreprise privée, parti politique, dans le contexte
démocratique et de leur mission très particulière.
M. Therrien (Daniel) : Le
copier-coller...
M. Tanguay
: ...là, dans
ces cas-là, on extensionnait le consentement. Alors, j'aimerais vous entendre là-dessus,
sur l'à propos de faire copier-coller, entreprise privée, parti politique, dans
le contexte démocratique et de leur mission très particulière.
M. Therrien (Daniel) : Le
copier-coller, je ne suis pas nécessairement... je ne pense pas que c'est nécessairement
la seule solution. Laissez-moi revenir en arrière un peu. Alors, je dirais, l'utilisation
de renseignements personnels pour des fins d'influence des opinions politiques
est certainement un sujet de préoccupation. Cambridge Analytica en est un exemple.
Donc, selon moi, les communications aux fins politiques devraient faire l'objet
d'une réglementation.
Vous avez raison... en tout cas, vous
laissez entendre que le contexte n'est pas le même entre les compagnies privées
et les partis politiques, et, effectivement, le contexte n'est pas le même, et,
dans le contexte de l'utilisation des renseignements par des partis politiques,
il y a une question d'exercice de droits fondamentaux qui est importante.
Alors, je n'ai pas de recommandation
extrêmement pointue sur est-ce que le régime du secteur privé est le meilleur
pour les partis politiques. Ce que je vous suggère, c'est que ça prend une
réglementation des partis politiques pour ce qui est de leur utilisation des
renseignements personnels, et j'ajouterais, en terminant, que je pense que mon
collègue le directeur fédéral des élections devrait faire des recommandations
sur ces questions-là d'ici peu.
Alors, je ne suis pas un expert dans le
domaine des élections. Donc, réglementation des partis politiques, quelle
devrait être la réglementation exactement, je ne prétends pas être un expert là-dessus.
M. Tanguay
: O.K. Bien,
j'en déduis, puis détrompez-moi si j'ai tort, que vous avez probablement été
consultés, dans cette préparation-là, par le directeur... Élections Canada.
J'aimerais, s'il vous plaît, que vous
explicitiez, page 3, le troisième paragraphe de votre document. Donc, à la
page 3, troisième paragraphe, on peut y lire : «Le projet de loi n° 64 prévoit certaines exceptions au consentement, par
exemple en matière de cherche ou lorsque les renseignements personnels sont
utilisés à des fins compatibles aux fins pour lesquelles ils ont été
recueillis. Ce sont des pas dans la direction d'un plus grand réalisme, mais il
faut faire attention. Par exemple, l'exception pour les fins compatibles
pourrait être interprétée de façon très large, permettant toutes sortes
d'utilisations.»
Votre mise en garde est claire. Avez-vous
des exemples auxquels vous pensiez peut-être en écrivant cela? Et pouvez-vous
nous dire, donc, quels dangers auxquels...quels dangers faites-vous
référence... à quels dangers faites-vous référence? Et quelle serait, dans un
deuxième temps, quelle serait la façon d'endiguer ça pour nous?
• (16 h 30) •
M. Therrien (Daniel) : Oui.
Alors, par exemple, il y a une disposition de la loi fédérale dans...
16 h 30 (version non révisée)
M. Tanguay
: ....quel
danger faites-vous référence... à quel danger faites-vous référence? Et quelle
serait, dans un deuxième temps, quelle serait la façon d'endiguer ça pour nous?
M. Therrien (Daniel) : Oui.
Alors, par exemple, il y a une disposition de la loi fédérale dans le secteur
public qui utilise cette notion-là de fin compatible. Et donc un ministère
fédéral peut colliger des renseignements pour la fin a et prétend que la fin b
est compatible. Ce qu'on a vu, c'est que, par exemple, il y a des ministères
qui disaient : Tout ce qui relève de l'application de notre loi est une
fin compatible. Tout notre mandat, on collige un renseignement, on lui fait un
x, ensuite, on peut l'utiliser pour toute autre fin qui relève de notre mandat.
Un exemple dans le secteur privé, on voit
souvent le concept qu'une compagnie privée va obtenir des renseignements privés
pour une fin précise x, et ensuite va dire : Est-ce que vous nous donnez
le consentement pour que ça soit utilisé pour améliorer le service à la
clientèle? Alors là, on a encore une fois une définition extrêmement large
d'une fin secondaire des renseignements, et fin compatible peut être
interprétée de façon aussi large que ça.
Alors, le défi c'est qu'il faut être
capable de permettre une utilisation pour des fins assez larges pour que ça
rejoigne l'intérêt public ou des intérêts légitimes des compagnies ou des ministères.
Donc, c'est nécessaire dans l'économie et dans l'industrie technologique d'aujourd'hui
d'avoir des fins assez larges, mais d'une façon où les droits de la vie privée
soit pris en compte, d'où l'intérêt du règlement européen, d'où l'intérêt de
considérer la vie privée comme étant un droit de la personne.
Donc, si vous utilisez les fins
compatibles comme un moyen pour permettre aux entreprises et aux ministères
d'utiliser des renseignements pour des fins autres que celles premières, ce
n'est pas nécessairement une bonne chose... une mauvaise chose, dans la mesure
où la loi oblige la personne qui veut utiliser les renseignements à tenir
compte de l'impact sur la vie privée. Et quand on regarde le projet de loi
n° 64 tel qu'il est rédigé présentement, on parle de fins compatibles sans
qu'il y ait de prise en compte de la protection des droits de la personne.
M. Tanguay
: Pour les
quelques 30 secondes ou un plus qu'il me reste, j'aimerais vous entendre,
là, je vais un pas en arrière, là, je suis très, très, très général, sans dire,
l'affirmation serait trop forte, que justement, parce que l'on parle de la vie
privée, droits fondamentaux, on ne devrait pas permettre que soit vus certains
types de renseignements très sensibles, qui participent de la vie privée, comme
étant commerciales, ne trouvez-vous pas qu'il y aurait lieu d'avoir une
réflexion sur...
M. Tanguay
: ...je suis très,
très, très général. Sans dire... l'affirmation serait trop forte... que justement,
parce que l'on parle de la vie privée et droits fondamentaux, on ne devrait pas
permettre que soient vus certains types de renseignements très sensibles, qui
participent de la vie privée, comme étant commerciables. Ne trouvez-vous pas
qu'il y aurait lieu d'avoir une réflexion sur retirer de l'approche
mercantiliste certains types de données puis de faire en sorte, sans dire, là,
qu'elles ne pourraient pas être vendues, comme certains objets de culte, là...
mais ne trouvez-vous pas qu'il y a peut-être une approche philosophique, un
questionnement qu'on devrait avoir collectivement là-dessus?
M. Therrien (Daniel) : Ce qui
se rapproche le plus de ça, probablement, c'est la biométrie, la reconnaissance
faciale, par exemple. Alors, il y a des renseignements extrêmement sensibles
qui ne peuvent pas être changés. On peut changer notre mot de passe quand on
fait affaire avec une entreprise, mais on ne peut pas changer notre iris ou notre
visage. Alors, si ces données-là sont... font l'objet de piratage, par exemple,
alors là, c'est fini. Personne ne peut plus vraiment protéger sa vie privée,
donc, ce qu'on parle, là, de renseignements extrêmement sensibles.
Est-ce que certaines de ces données-là
devraient être sorties du champ du commerce? Je n'irais pas nécessairement
jusque là. Je serais... Je privilégierais quand même une approche contextuelle,
qui ferait en sorte que, dans ces contextes-là, où les renseignements sont
particulièrement sensibles, la réglementation devrait être extrêmement pointue.
De prohiber complètement, peut-être, mais disons, je n'irais pas nécessairement
jusque là.
Le Président (M.
Bachand) : Merci, merci beaucoup. M. le député de Gouin, s'il
vous plaît.
M. Nadeau-Dubois : Merci...
(panne de son) ...bonjour, M. le commissaire.
M. Therrien (Daniel) :
Bonjour.
M. Nadeau-Dubois : J'ai envie
de prendre la balle de mon collègue de l'opposition officielle au bond, de
poursuivre la réflexion avec vous sur cette question-là, parce que ce que vous
avez dit sur le consentement... Vous avez résumé de manière très élégante
quelque chose que j'essaie moi-même de dire depuis quelques jours, c'est-à-dire
que la question du consentement, on ne peut pas baser l'ensemble de notre
approche sur le consentement, parce qu'il y a beaucoup trop de situations où ce
consentement est fragile, voire illusoire. Vous avez parlé de rapport de force
inégal. Je pense que c'est une manière très intéressante de le présenter.
À la page 3 de votre... de la déclaration
écrite que vous nous avez fournie, vous concluez donc, suite... après nous
avoir dit que le consentement, ça ne pouvait pas être l'alpha et l'oméga de
notre approche en matière de protection des renseignements personnels, qu'en
s'inspirant de l'Europe on mériterait de considérer une approche où on demande
aux entreprises de justifier pourquoi elles veulent collecter certains
renseignements, quitte à ce qu'on dise qu'il y a certains renseignements qui
sont... donc, qu'on ne peut pas récolter. Concrètement, dans une loi comme le
projet de loi n° 64, de quoi pourrait avoir l'air une
telle limitation?
M. Therrien (Daniel) : Une
limite qui viendrait carrément interdire certaines pratiques?
M. Nadeau-Dubois : Oui?
M. Therrien (Daniel) : Alors,
ce qui me viendrait en tête, c'est la surveillance. Quelle est l'essence de la
vie privée? C'est de pouvoir vivre et, dans un monde technologique...
M. Therrien (Daniel) : ...carrément
interdire certaines pratiques?
M. Nadeau-Dubois : Oui.
M. Therrien (Daniel) :
Alors, ce qui me viendrait en tête, c'est la surveillance. Quelle est l'essence
de la vie privée? C'est de pouvoir vivre et, dans un monde technologique,
consulter des renseignements, s'informer de façon libre de surveillance de la
part des entreprises ou du gouvernement. Alors, quand on parle de surveillance
pure, on se rapproche pas mal, je pense, d'une pratique qui pourrait être
interdite carrément. Et il y a certaines pratiques commerciales de
reconnaissance faciale, par exemple, qui se rapprochent de très près du type de
pratiques qui devraient probablement être interdites complètement.
M. Nadeau-Dubois : Des
applications ou des logiciels, par exemple, qui à partir du moment où on
l'installe une première fois puis qu'on donne un premier consentement au moment
où coche sans lire — c'est ce que les données disent — le
contrat d'utilisation et qui, suite à ce premier consentement-là, enregistrent
et conservent la totalité de l'activité qu'on fait sur l'application ou
l'appareil en question, est-ce que ça, c'est le genre de pratiques commerciales
qui pourrait être interdites puisque c'est une forme de surveillance? Dans le
fond, on consent une fois, puis tout est enregistré, tout est conservé, tout ce
qui est conservable et tout ce qui peut être enregistré l'est.
M. Therrien (Daniel) :
C'est difficile de parler d'une interdiction totale dans un monde où le
contexte est important. Alors, une des réalités du monde technologique, y
compris de l'économie numérique, c'est qu'il y a une valeur indubitable qui
vient avec les données personnelles. On est capable... prenons un cas patent de
recherche médicale. Alors, l'État et les compagnies, par exemple,
pharmaceutiques ou de services médicaux vont colliger des renseignements au
sujet de patients normalement pour offrir un traitement précis, mais, dans la
collecte de ces renseignements-là, peuvent mettre ces renseignements-là avec
d'autres pour faciliter une recherche qui va servir le bien commun. Alors, le
fait que des renseignements soient colligés ou mis ensemble, ça peut, à prime
abord, avoir l'air assez distant de la fin première pour laquelle les
renseignements ont été colligés, mais je ne pense pas que ce serait une bonne
idée d'interdire ce genre de mise en commun de ces renseignements-là, dans la
mesure où ça sert le bien commun. Mais si...
M. Nadeau-Dubois : Donc,
il faudrait...
Le Président (M.
Bachand) : ...
M. Nadeau-Dubois :
...trouver des critères puis...
Le Président (M.
Bachand) : Sur ce, M. le député de Gouin, je suis désolé...
M. Nadeau-Dubois : ...selon
les contextes...
M. Therrien (Daniel) : ...à
prime abord, avoir l'air assez distant de la fin première pour laquelle les renseignements
ont été colligés, mais je ne pense pas que ce serait une bonne idée d'interdire
ce genre de mise en commun de ces renseignements-là, dans la mesure où ça sert
le bien commun. Mais si...
M. Nadeau-Dubois : Donc, il
faudrait...
Le Président (M.
Bachand) : ...
M. Nadeau-Dubois : ...trouver
des critères puis... selon les contextes. D'accord.
Le Président (M.
Bachand) : Sur ce, M. le député de Gouin, je suis désolé... Sur
ce...
M. Therrien (Daniel) : Essentiellement,
oui.
Le Président (M.
Bachand) : ...M. le commissaire, je vous remercie infiniment de
votre participation à la commission. Ça a été plus qu'intéressant. Et la commission
suspend ses travaux quelques instants. Merci, M. le commissaire.
M. Therrien (Daniel) : Merci.
(Suspension de la séance à 16 h 39)
(Reprise à 16 h 45)
Le Président (M.
Bachand) : À l'ordre, s'il vous plaît! La commission reprend
ses travaux. Alors, il nous fait plaisir d'accueillir monsieur… le Pr Pierre-Luc
Déziel. Alors, comme vous savez, Pr Déziel, vous avez 10 minutes de
présentation, et par après, nous aurons un échange avec les membres de la
commission. Alors, très heureux de vous revoir à la Commission des institutions,
et la parole est à vous.
M. Déziel (Pierre-Luc) : Ça
me fait plaisir. Merci beaucoup, M. le Président, M. le ministre, Mmes et MM.
les députés. Alors, bonjour, laissez-moi d'abord vous remercier de
l'invitation, je suis très heureux d'être avec vous aujourd'hui. C'est un
véritable plaisir et honneur de venir discuter avec vous du projet de loi
n° 64.
Alors, mon nom est Pierre-Luc Déziel,
je suis professeur à la Faculté de droit de l'Université Laval, je suis
également coresponsable de l'axe droit, cyberjustice et cybersécurité de
l'Observatoire international sur les impacts sociaux de l'IA et du numérique.
Et je suis également impliqué, dans mes activités de recherche, dans un certain
nombre de projets de recherche interdisciplinaire avec différents collègues des
facultés de médecine, en Santé publique, en génie informatique, en intelligence
artificielle. Donc, impliqué dans un certain nombre de projets de recherche qui
nécessitent l'utilisation de différents jeux de données qui comprennent des
renseignements personnels.
Donc, la perspective que je vais adopter aujourd'hui
est vraiment une perspective de recherche. J'entends souligner certains des
aspects du projet de loi n° 64 qui portent plus précisément sur
l'utilisation des renseignements personnels à des fins de recherche. Donc, je
crois qu'une des intentions du législateur qui est très claire à la lecture du projet
de loi n° 64, une de ces intentions-là est de faciliter l'accès et de
faciliter la circulation des renseignements personnels dans un contexte de recherche.
Alors, dans une perspective où le gouvernement
du Québec amorce un grand projet de transformation numérique et qu'il mise sur
la valorisation des données, je crois que c'est une intention qui est tout à
fait louable et qui mérite d'être saluée. Néanmoins, je crois aussi que le projet
de loi comporte certains éléments qui sont problématiques en termes de
recherche. Il y en a quelques-uns, mais je vais me concentrer sur un de ces
éléments-là. Nous aurons très certainement l'occasion de revenir sur d'autres
de ces éléments au cours de la période de questions, mais je vais me concentrer
sur un des éléments qui me paraît particulièrement important et c'est celui de
l'attribution des autorisations de recherche pour l'utilisation des renseignements
personnels, donc, à des fins d'études, de recherches et de statistiques. Donc,
la manière dont les chercheurs, dans un écosystème qui favorise la recherche,
peuvent avoir accès à des renseignements personnels pour conduire une recherche
de pointe.
Dans le modèle actuel, les chercheurs qui
veulent obtenir des renseignements personnels à des fins de recherche sans
avoir à passer par le consentement individuel, qui peut être difficile à
obtenir ou impraticable, doivent obtenir une autorisation auprès de la Commission
d'accès à l'information. Une fois que cette autorisation-là est obtenue,
doivent aller voir les organismes publics ou les entreprises pour obtenir les renseignements
personnels.
Donc, une des critiques principales de ce
modèle-là est celle de la multiplication des autorisations et les délais…
M. Déziel (Pierre-Luc) :
...une fois que cette autorisation-là est obtenue, doivent aller voir les organismes
publics ou les entreprises pour obtenir les renseignements personnels.
Donc, une des critiques principales de ce
modèle-là est celle de la multiplication des autorisations et les délais
importants que ces autorisations-là peuvent encourir pour l'accès aux données
dans des fins de recherche. Donc, multiplication des autorisations parce que
les chercheurs vont normalement avoir à aller chercher une autorisation du
comité d'éthique à la recherche de leur institution, vont passer à travers
souvent des processus rigoureux d'évaluation de leur protocole de recherche par
les pairs, vont avoir à aller chercher l'accord des organismes ou des
entreprises aussi pour obtenir ces renseignements personnels là et donc... et
une autorisation auprès de la CAI. Donc, ça peut engendrer des délais qui sont
particulièrement importants, et il y a une multiplication des procédures qui
sont en place.
Et je tiens à attirer votre attention...
vraiment souligner que ces délais-là ne sont pas uniquement dans une
perspective d'inconvénients, il y a un impact réel sur la recherche,
c'est-à-dire que plusieurs des projets de recherche qui sont conduits au Québec
et qui sont subventionnés sont subventionnés pendant trois ou quatre ans, et la
première année de ces projets-là va souvent être consacrée à remplir ces
formulaires-là, ces formulaires d'autorisation et à attendre d'avoir accès aux
données.
Il y a plusieurs étudiants qu'on peut
aller chercher, qu'on peut aller recruter au niveau international. On les amène
au Québec, on les amène dans les universités, dans les facultés. Ils entament
un processus de recherche de mémoire à la maîtrise ou de doctorat, et ils
passent les premiers temps de leurs études à simplement attendre de pouvoir
recevoir les données. Et donc ce n'est pas juste un inconvénient, il y a des
enjeux réels pour l'attractivité des étudiants au niveau international, la diplomation,
mais aussi de l'avancement et de la compétitivité de l'écosystème de recherche
au Québec.
Donc, une des solutions qui est apportée
par le projet de loi n° 64, qui est une solution intéressante, mais qui, à
mon sens, comporte aussi un certain nombre de problèmes, c'est de couper
l'intermédiaire que représente la CAI, donc d'évacuer la CAI de ce processus d'autorisation
là et de favoriser l'échange ou le dialogue entre les chercheurs et les organismes
publics ou les entreprises auprès desquelles ils vont aller chercher les
renseignements personnels.
• (16 h 50) •
Donc, l'objectif derrière tout ça, c'est
d'accélérer les choses, de favoriser le partage, de faire en sorte qu'on aille
plus vite, donc de réduire ces délais-là, et c'est quelque chose de très
important. Donc, on parle, par exemple, de l'article 125 de la Loi sur
l'accès qui est supprimé. On le remplace par les articles 65.01 à 65.0.3
de la loi sur l'accès, les articles 12 et 21 de la loi sur le privé, qui
sont modifiés aussi. On ajoute les articles 21.01 et 21.02 de la loi sur
le privé.
Donc, le but est de faciliter l'accès aux
données de recherche, d'accélérer les processus, mais, à mon sens, au final, et
c'est, je crois, ce que le milieu de la recherche craint, c'est qu'on va en
fait déplacer le problème. On va déplacer le problème, c'est-à-dire qu'on va
imposer d'autres délais, et ce, pour deux raisons.
La première, c'est qu'il y a une crainte,
en fait, de la multiplication des interprétations des critères qu'on va trouver
dans la loi. Donc, jusqu'à présent, on avait la Commission d'accès...
M. Déziel (Pierre-Luc) :
…c'est qu'on va en fait déplacer le problème. On va déplacer le problème,
c'est-à-dire qu'on va imposer d'autres délais, et ce, pour deux raisons. La
première, c'est qu'il y a une crainte, en fait, de la multiplication des
interprétations des critères qu'on va trouver dans la loi. Donc, jusqu'à
présent on avait la Commission d'accès à l'information qui fournissait une
interprétation unique des différents critères qu'on trouve dans la loi. Donc,
ce qu'on peut craindre maintenant, c'est qu'en l'évacuant les chercheurs soient
amenés à dialoguer avec différents organismes, différentes entreprises qui,
eux, vont interpréter de manière différente ces critères qu'on va trouver dans
la loi. Donc, il y aura peut-être un problème d'uniformisation de l'application
ou de l'interprétation de la loi, un problème de prévisibilité aussi des effets
de la loi. Et donc les chercheurs vont être dans une situation où ils vont
devoir se familiariser avec ces différentes interprétations là. Ils ne vont pas
savoir si une demande passe à un endroit, pourquoi est-ce qu'elle est refusée
dans un autre endroit? Donc, ça peut entraîner des délais qui sont
supplémentaires.
Le deuxième point qui est particulièrement
important, à mon sens, c'est l'idée que les chercheurs seront… auront
maintenant l'obligation de conduire les évaluations sur le facteur relatif à la
vie privée. Hein, ces évaluations-là, elles sont évaluations qui sont longues,
qui sont fastidieuses, qui sont complexes, qui demandent un haut niveau de
connaissance et d'expertise qui, dans certains cas, vont peut-être manquer aux
chercheurs. De plus, les trois conseils fédéraux, trois organismes
subventionnaires fédéraux, ont comme ambition d'imposer aux chercheurs de
développer les plans de gestion de leurs données.
Donc, ce qu'on voit à travers tout ça,
c'est qu'en fait on essaie d'accélérer les choses, mais on remplace par
d'autres mécanismes qui vont peut-être encore une fois ralentir les choses. Et,
à mon sens, à mon avis, le problème, en fait, n'est la CAI qu'on essaie de… ou
la Commission d'accès à l'information qu'on essaie d'écarter de ce
processus-là, le problème, à mon sens, c'est le niveau à travers lequel on va
exercer le contrôle, donc le contrôle, à quel niveau on l'exercer. Et
présentement, dans le modèle actuel mais dans le modèle qui est proposé aussi,
le contrôle s'exerce à la pièce dans une manière très granulaire, c'est-à-dire
projet par projet. Donc, un chercheur qui va avoir cinq, 10, 15 projets de
recherche, et c'est des choses qu'on voit très bien dans les grands centres de
recherche ou dans les grandes chaires de recherche, va devoir faire cinq, 10,
15 fois ces différentes autorisations là, cinq, 10, 15 fois ces
évaluations… de facteurs relatifs à la vie privée. Donc, à mon sens, la
solution idéale ne serait pas de… ou une solution qui serait envisageable ne
serait pas d'exercer un contrôle au niveau des projets de recherche mais d'exercer
un contrôle au niveau des chercheurs en tant que tels, et c'est quelque chose
qu'on va retrouver ailleurs au Québec, au Canada aussi. On pourra en parler un
petit peu plus tard.
Mais donc l'idée d'exercer ce contrôle au
niveau des chercheurs pourrait se décliner en quatre temps. Donc, dans un
premier temps, ça serait de ne pas attribuer des autorisations d'utilisation
des renseignements personnels à des fins de recherche seulement pour des
projets de recherche, mais d'habiliter des chercheurs à pouvoir utiliser des
renseignements personnels dans un contexte de recherche pour une programmation
de recherche et non pas pour un protocole de recherche particulier…
M. Déziel (Pierre-Luc) :
...donc, dans un premier temps, ce serait de ne pas attribuer des autorisations
d'utilisation des renseignements personnels à des fins de recherche seulement
pour des projets de recherche, mais d'habiliter des chercheurs à pouvoir
utiliser des renseignements personnels dans un contexte de recherche pour une
programmation de recherche et non pas pour un protocole de recherche
particulier. Ce serait de rendre ces chercheurs-là imputables, de les former,
de les accompagner. Je crois que mon collègue le Pr Vincent Gautrais vous
parlait d'accompagnement, donc de les former, de les accompagner, d'auditer
leurs pratiques, d'auditer, donc, dans le projet de loi, on parle d'élaborer
des politiques de gestion des données, des plans de gestion des données, donc
d'auditer leurs pratiques et d'auditer leurs politiques sur une base régulière,
la CAI pourrait faire ce travail avec les ressources adéquates, et d'assurer
une traçabilité des données dans un écosystème qui favorise un mode de gestion
collective des données de recherche.
Alors, peut-être, s'il me reste un peu de
temps, je vous ai dit qu'il y avait certains exemples, ce n'est pas un modèle
qui est particulièrement ou radicalement novateur, c'est des choses qu'on voit
ailleurs. En Ontario, par exemple, il y a le ICES, donc l'Institute for Clinical
Evaluative Sciences, qui, en fait, fédère différentes banques de données sur la
santé, qui va chercher ces données-là auprès des hôpitaux, auprès des
laboratoires, auprès des cliniques, et va, en fait, permettre l'accès à ces
données-là à différents chercheurs. Les chercheurs doivent obtenir une
autorisation préalable en fonction de leur compétence, de leur programmation de
recherche ou à obtenir une autorisation qui est provisoire, vont être audités
sur une base régulière. Mais une fois que le chercheur est authentifié, est
jugé comme pouvant... a l'autorisation d'utiliser ces renseignements personnels
là, il y a beaucoup plus de flexibilité, beaucoup plus d'agilité pour évaluer
dans l'écosystème. ICES est régulièrement audité au niveau macro par le commissaire
à l'information et à la protection de la vie privée de l'Ontario, donc le
penchant de la CAI, et attribue ces autorisations à des chercheurs qui sont
compétents.
On a aussi certains exemples, dans une
certaine mesure, ou certains précédents en droit québécois. La Loi concernant
le partage de certains renseignements de santé, par exemple, institue ce genre
de mode de circulation de l'information, c'est-à-dire que la loi va permettre
le regroupement de différentes banques de données, d'actifs informationnels. Il
y a un processus pour offrir la possibilité ou d'autoriser certains
intervenants, donc notamment les médecins, les pharmaciens, les infirmiers et
les infirmières, à consulter ces banques de données là. Donc, à mon sens...
Le Président (M.
Bachand) : Merci beaucoup, M. le professeur. On doit passer
maintenant à la période d'échange, Pr Déziel, désolé.
M. Déziel (Pierre-Luc) :
Parfait. Parfait.
Le Président (M.
Bachand) : Merci beaucoup pour votre présentation. M. le
ministre, s'il vous plaît.
M. Jolin-Barrette : Merci, M.
le Président. Pr Déziel, bonjour, merci de participer aux travaux de la
commission parlementaire. Revenons, là, sur la réalité pratico-pratique, là,
des chercheurs, là. Vous dites, là : Écoutez, on a des projets de
recherche, là, on passe un an à remplir des documents. J'imagine que ce n'est
pas...
M. Jolin-Barrette : Merci, M.
le Président. Professeur Déziel, bonjour, merci de participer aux travaux de la
commission parlementaire. Revenons, là, sur la réalité pratico-pratique, là,
des chercheurs, là. Vous dites, là : Écoutez, on a des projets de
recherche, là, on passe un an à remplir des documents. J'imagine que ce n'est
pas l'objectif des chercheurs de remplir de la paperasse pendant un an aussi.
Alors, comment est-ce qu'on fait pour que ça soit plus efficace tout en
s'assurant de protéger les données personnelles des individus?
M. Déziel (Pierre-Luc) :
Bien, c'est un petit peu comme je... Donc, c'est ça, c'est... La question est extrêmement
pertinente. Donc, merci beaucoup. Donc, évidemment, comme je le disais, ces
délais-là ont des enjeux considérables au niveau du... au niveau de la... du
milieu de la recherche, et souvent il faut qu'on attende un certain temps avant
d'avoir accès aux données. Le problème, à mon avis, justement, c'est que
pour... les chercheurs qui commencent des projets de recherche doivent, à
chaque projet de recherche, obtenir ces différents types d'autorisation là.
Les modèles qu'on voit ailleurs, par exemple
en Ontario, ce n'est pas d'autoriser des plans... des projets de recherche individuellement,
mais de donner une autorisation qui est beaucoup plus globale à un chercheur en
particulier. On passe à travers un processus rigoureux, on regarde la compétence
de ce chercheur-là, on forme ce chercheur-là, et, une fois qu'il a accès aux
données, il peut conduire les différents projets de recherche qu'il a à faire.
Donc, quand il commence un nouveau projet de recherche, il n'a pas besoin encore
une fois de remplir la paperasse, il a déjà cette autorisation-là. On fait un
audit régulier de ces processus de recherche là. Les banques de données font
ces processus d'audit là aussi auprès... par exemple, ici, ça pourrait être de
la CAI. Et donc, à partir de ce moment-là, on donne beaucoup plus de flexibilité,
beaucoup plus d'agilité au chercheur. On contrôle non pas chacun de ses projets
de recherche, mais lui comme personne, comme... sa capacité à assurer la
protection de la vie privée. Donc, dans une perspective de protection des renseignements
personnels, l'objectif est vraiment plus de travailler sur la confidentialité
et les mesures qui sont prises pour assurer le caractère confidentiel de ces
renseignements-là. Donc, les banques de données vont permettre des accès qui
sont contrôlés, des forts processus d'authentification des personnes. Donc,
est-ce que c'est bien... bel et bien la bonne personne qui a accès à ces... qui
essaie d'avoir accès aux données? On va avoir des ententes de partage de
données ou des clauses qui sont très importantes qui interdisent toute forme de
réidentification des données, toute forme de transfert de l'extérieur des
données, et il y a plusieurs modèles aussi qui vont, tout simplement d'un point
de vue technique, rendre impossible le fait que le chercheur puisse télécharger
ou amener ces données-là ailleurs.
Donc, l'enjeu, ce n'est pas... en matière
de protection de la vie privée, ce n'est pas de contrôler chacun des projets de
recherche et de faire en sorte qu'on a des politiques pour un projet, mais
vraiment d'assurer la confidentialité beaucoup plus globale de l'infrastructure
de recherche.
• (17 heures) •
M. Jolin-Barrette : Donc, je
comprends aussi qu'il y a des moyens alternatifs comparativement à ce qu'on
fait présentement, et, pour faciliter la recherche, notamment dans ce
domaine-là qui est assez compétitif, il faut trouver un mécanisme qui va faire
en sorte de s'assurer que les chercheurs puissent se concentrer sur leurs
recherches tout en assurant la confidentialité.
Vous avez abordé un peu, là, le rôle de la
Commission d'accès à l'information, là. Pour que je comprenne bien, là...
17 h (version non révisée)
M. Jolin-Barrette :
...faciliter la recherche, notamment, dans ce domaine-là, qui est assez
compétitif, il faut trouver un mécanisme qui va faire en sorte de s'assurer que
les chercheurs puissent se concentrer sur leurs recherches, tout en assurant la
confidentialité.
Vous avez abordé un peu, là, le rôle de la
Commission d'accès à l'information, là. Pour que je comprenne bien, là, les
pouvoirs supplémentaires qu'on va lui donner, là, est-ce que vous êtes en
faveur ou vous dites : Ce n'est pas nécessaire, parce qu'il y a déjà
énormément de pouvoirs à la commission d'accès?
M. Déziel (Pierre-Luc) :
Bien, je pense que les pouvoirs supplémentaires qu'on entend donner à la Commission
d'accès à l'information sont nécessaires et sont pertinents. J'ai eu l'occasion
d'écouter plusieurs ou... certaines des présentations qui ont été faites. C'est
vrai que dans une certaine mesure, le fameux 2 % ou 4 % est... dans
une certaine mesure, peut-être, largement inspiré du règlement européen, et
surtout dans un contexte de sanction administrative... s'entend, administratif
peut être particulièrement imposant et dissuasif.
Toutefois, je note aussi, dans le
contexte... à la lecture du projet de loi, qu'on ne dit pas que ça va être des
sanctions qui sont automatiquement autour de ces montants-là, hein? On parle de
jusqu'à. Donc, très certainement, il y aura possibilité... il y aura une marge
de manoeuvre pour la Commission d'accès à l'information de pouvoir ajuster les
sanctions à la grosseur ou à la taille d'une entreprise et à la gravité de
l'infraction. Donc, à mon sens, ils sont nécessaires. Je crois que le 2 %
ou 4 %, les 15 millions ou 25 millions, c'est un plafond, ça ne
veut pas dire que c'est quelque chose qui est automatique, il va falloir que la
CAI soit très claire sur la manière dont elle va attribuer, que ce soit
prévisible, là, comment elle va attribuer ces sanctions-là.
Mais au-delà de tout ça, je crois qu'il y
a surtout un besoin de renforcer les ressources qui sont mises à la disposition
de la Commission d'accès à l'information. C'est-à-dire que les délais qui sont
imposés, là, on parlait un petit peu de recherche, les délais sont longs, mais
sont justifiables aussi, dans la mesure où c'est important pour la Commission
d'accès à l'information de s'assurer que le traitement des renseignements
personnels protège bien la vie privée. On travaille beaucoup avec la Commission
d'accès à l'information, on connaît comment ils fonctionnent. Les délais, ce
n'est pas par paresse, c'est parce qu'il y a beaucoup... il manque, à mon avis,
un petit peu de ressources de ce côté-là. Donc, quelque chose qui pourrait
accélérer ou rendre la recherche plus compétitive. Si on regarde un modèle
comme on l'a, actuellement, ce qui est proposé dans le projet de loi n° 64, ce n'est pas juste ce pouvoir de sanction, mais
c'est vraiment d'augmenter les ressources qui sont mises à sa disposition.
M. Jolin-Barrette : Je
comprends que ça prend des bras aussi à la commission d'accès pour faire son
travail.
M. Déziel (Pierre-Luc) :
Exactement, oui.
M. Jolin-Barrette : O.K.
Est-ce qu'avec le projet de loi vous estimez que la commission d'accès a tous
les pouvoirs, maintenant, là, pour intervenir avec les entreprises privées puis
les organismes publics? Est-ce que c'est suffisamment... c'est suffisant, ou il
manque des choses?
M. Déziel (Pierre-Luc) : Je
vous dirais qu'à mon avis, en tout cas, et ça, c'est mon avis personnel, j'ai
l'impression que c'est un effort considérable et qu'il y a une augmentation
considérable des pouvoirs. Je pense qu'on la dote de pouvoirs beaucoup plus
importants, qu'on lui donne des outils qui sont très pertinents, très
puissants. À savoir si on a tout, tout, tout, peut-être, il faudrait lui
demander, c'est elle qui est dans...
M. Déziel (Pierre-Luc) :
...et ça, c'est mon avis personnel, j'ai l'impression que c'est un effort
considérable et qu'il y a une augmentation considérable des pouvoirs. Je pense
qu'on la dote de pouvoirs beaucoup plus importants, qu'on lui donne des outils
qui sont très pertinents, très puissants. À savoir si on a tout, tout, tout,
peut-être faudrait lui demander, c'est elle qui est dans la réalité des choses.
Mais, à mon sens, et je pense qu'il y a consensus là-dessus, c'est qu'il y a
vraiment une augmentation considérable et importante pour lui donner les outils
pour bien protéger la vie privée.
À mon avis, par contre, c'est peut-être...
la Commission d'accès à l'information devrait aussi... on lui reproche souvent
un certain biais en fait, c'est-à-dire qu'elle protège peut-être ou surprotège
peut-être les renseignements personnels. Et, à mon sens, en fait, la Commission
d'accès à l'information, elle fait ce que la loi lui demande de faire et ce que
le mandat lui est confié. À mon avis, dans une perspective de recherche, encore
une fois, il devrait y avoir un mandat, à la CAI, ou une section particulière
sur la recherche. On l'a déjà un petit peu avec les autorisations, que c'est
une protection de la vie privée, mais aussi une valorisation des données dans
une perspective de recherche, d'innovation et de progrès scientifique
finalement. Donc, la CAI a des ressources, mais même avec ses ressources ou ses
nouveaux outils que vous évoqués, qu'on a dans le projet de loi, il y aurait
peut-être quelque chose à travailler même sur la mission ou son mandat qu'on
lui donne à a base, de l'élargir, tout ça pour arrimer cet équilibre-là entre
la protection de la vie privée puis la valorisation de la recherche.
M. Jolin-Barrette : Je vous
remercie.
Le Président (M.
Bachand) :M. le député de Chapleau, s'il
vous plaît.
M. Déziel (Pierre-Luc) :
Merci à vous.
M. Lévesque (Chapleau) : Oui, merci
beaucoup, M. le Président. Bonjour, Pr Déziel, un plaisir de vous
retrouver. Nous avions eu l'occasion d'échanger lors de la commission, là, sur
l'application de traçage à la COVID-19 comme le président l'a si bien
mentionné.
Je sais que vous avez axé votre présentation
sur la notion de recherche, mais j'aimerais peut-être aller également sur le
fond du projet de loi, là, un petit peu plus large, là, comme réflexion, puis
je sais que vous avez ces capacités-là, on a eu des discussions par rapport à
ça, peut-être en lien avec les fameuses définitions des renseignements
personnels. On a eu tout à l'heure, là, la notion de renseignement sensible qui
a été intégrée ou même tout ce qui était, là, renseignements anonymisés,
dépersonnalisés. Puis j'aimerais peut-être vous entendre sur ces questions-là,
là. Qu'est-ce que vous en pensez? Devrions-nous définir? Certains disaient
qu'il fallait utiliser les notions de la charte, il y a aussi la notion
européenne. Donc, j'aimerais avoir un peu, là, votre son de cloche par rapport
à ça.
M. Déziel (Pierre-Luc) :
Absolument. Bien, c'est une question qui est très importante et c'est vrai
que... dans une perspective de recherche, mais ça éclaire aussi sur le débat
beaucoup plus large. Donc, moi, une de mes préoccupations, c'est, par exemple,
la définition de renseignements qui sont dépersonnalisés. Donc on veut ajouter
un peu plus de flexibilité, dire : Une fois qu'un renseignement est
dépersonnalisé, c'est-à-dire qu'on a retiré les identifiants directs ou
indirects, on a plus de flexibilité pour pouvoir les utiliser.
Toutefois, la définition actuelle ou celle
qui est proposée de la dépersonnalisation, à mon sens, elle n'est pas assez
précise, c'est-à-dire qu'on va dire qu'un renseignement est dépersonnalisé à
partir du moment où il n'est plus possible d'identifier directement une
personne. Alors, on peut ne plus identifier directement une personne tout
simplement en enlevant son nom...
M. Déziel (Pierre-Luc) :
...proposée de la dépersonnalisation, à mon sens, elle n'est pas assez précise,
c'est-à-dire qu'on va dire qu'un renseignement est dépersonnalisé à partit du
moment où il n'est plus possible d'identifier directement une personne. Alors,
on peut ne plus identifier directement une personne simplement en enlevant son
nom, mais indirectement, ça peut demeurer très, très, très facile de
réidentifier la personne.
Et donc, ce qu'on n'a pas dans la loi
actuellement ou dans le projet de loi actuellement, c'est une définition plus
rigoureuse ou plus précise de ce qu'est un renseignement dépersonnalisé. Par
exemple, dans le reste du Canada, il y a différentes juridictions, ou en fait,
presque l'ensemble des provinces, dans leurs lois sur la protection des
renseignements personnels dans le domaine de la santé qui vont dégager des seuils
à partir duquel, beaucoup plus précis, des seuils plus précis à partir duquel
qu'on peut dire qu'un renseignement est dépersonnalisé.
Par exemple, en Ontario, dans la loi de
2004 sur la protection des renseignements personnels dans le domaine de la santé,
on dit : un renseignement est dépersonnalisé une fois qu'on ne peut plus
identifier directement la personne, mais où il n'y a pas de fortes probabilités
de réindentifier la personne. Et ces fortes probalités-là sont évaluées en
fonction du contexte. Donc, quel type de renseignement on a? C'est quoi les
capacités de la personne qui va maîtriser ces renseignements-là?
En Alberta, en Saskatchewan, on autre
critère qui va nous dire est-ce que ça va être facile de réindentifier les
personnes. Et il y a même de la jurisprudence au niveau fédéral, la règle
Gordon c. santé de 2008 qui va nous dire est-ce que... est-ce que c'est
raisonnablement possible de prévoir qu'il y aura une forme de
réindentification.
Donc, à mon sens, la définition, elle
n'est pas assez précise dans le projet de loi. Elle pourrait être plus précise
en s'adaptant d'exemples qui sont canadiens, qui sont... qu'on comprend et
qu'on connaît, finalement. Il n'y aura aucun seuil qui va être parfait, mais ça
va amener un petit plus de précision derrière tout ça. À mon sens, là, on
aurait quelque chose qui serait peut-être imprécis, mais trop large aussi.
Concernant les données anonymisées, donc,
le projet de loi n° 64 prévoit qu'une donnée anonymisée est en quelque
part une mesure de sécurité qui peut remplacer la destruction des données. Et
ça, c'est assez intéressant parce que ça veut dire qu'on peut les garder, les
données anonymisées, et l'utiliser à différentes fins. Toutefois, le projet de
loi propose qu'un renseignement va être anonymisé à partir du moment où on va
taire l'identité de la personne et ça va être impossible ou ça va être
irréversible, ce qu'on va être capable d'identifier des personnes. Alors,
l'écho que j'ai, c'est quelque chose qu'on trouve beaucoup dans la doctrine,
mais même l'écho que j'ai des chercheurs qui travaillent sur des techniques
d'anonymisation parle beaucoup de pseudo-anonymisation et vous nous dire que le
risque zéro, le risque de réidentification est presque... ça peut être réduit à
très, très, très bas, finalement. Mais l'idée de mettre dans la loi quelque
chose comme étant irréversible ou impossible va peut-être en fait amener une
barrière trop importante et dans le sens où, en fait, ces données n'existeront
pas puis on ne pourra jamais utiliser ça, finalement. Donc c'est l'une des
craintes qu'on a.
M. Lévesque (Chapleau) : Et
est-ce que la solution à cette crainte-là, c'est la destruction des données
lorsqu'on a fini... l'utilisation qu'on avait à en faire avec le consentement,
bien entendu?
M. Déziel (Pierre-Luc) : Non,
je pense que la solution, ça serait de mieux définir qu'est-ce qu'on entend par
données qui sont anonymes, finalement, ou anonymisées, c'est-à-dire peut-être
de...
M. Déziel (Pierre-Luc) : ...des
craintes qu'on a.
M. Lévesque (Chapleau) : Et
est-ce que la solution à cette crainte-là, c'est la destruction des données
lorsqu'on a fini... l'utilisation qu'on avait à en faire avec le consentement,
bien entendu?
• (17 h 10) •
M. Déziel (Pierre-Luc) : Non,
je pense que la solution, ça serait de mieux définir qu'est-ce qu'on entend par
données qui sont anonymes, finalement, ou anonymisées, c'est-à-dire peut-être
de préciser qu'on peut... c'est possible de, par exemple, de pseudo-anonymiser
un jeu de données, d'enlever tous les identifiants directs et indirects, de
remplacer ça par des codes et de détruire la clé qui nous permet de
réidentifier des personnes. Mais dans les données, il y aura souvent des
signatures uniques, finalement, c'est-à-dire un historique personnel, un taux
de cholestérol qui est très individuel où l'évolution va être... qui est très
individuel, mais on va pouvoir identifier les personnes seulement quand on va
se joindre à d'autres banques de données, on va croiser avec d'autres banques
de données. Donc, à mon sens, l'idée ce n'est pas de se départir de cette
notion-là, elle est excessivement importante pour un domaine... dans le domaine
de la recherche, mais de mieux préciser qu'est-ce qu'on veut dire par là, de
dire, par exemple, irréversible ou un faible risque de réidentification avec
les techniques d'anonymisation, finalement. Donc, c'est plus de travailler ou
de préciser cette notion-là.
M. Lévesque (Chapleau) :
Êtes-vous à l'aise... O.K., merci. Est-ce que vous êtes à l'aise avec le
concept de gradation de sensibilité de certaines données? Parce que certains
sont venus nous parler, bon, plus sensibles, moins sensibles selon certains
critères de gradation. Est-ce que c'est un concept qui vous parle ou ce ne serait
pas à intégrer nécessairement?
M. Déziel (Pierre-Luc) :
Bien, c'est un concept qui est intéressant. Ce qu'on voit, par contre, c'est
que... en fait, une des choses qu'on remarque, notamment dans le milieu de la
recherche, c'est que tous les renseignements, même les plus anodins ou les plus
banals, peuvent devenir particulièrement sensibles à un moment ou à un autre
puis être utilisés pour réidentifier les personnes ou indiquer des choses qui
sont assez intimes auprès de la personne. Donc, par exemple, des données de
géolocalisation ou des achats de cartes de crédit, il y a plusieurs études qui
démontrent que les achats de cartes de crédit, qui a l'air assez banal, c'est-à-dire
qu'est-ce qu'on est allé acheter à quelques moments, bien, on peut quand même
retracer des choses assez intimes au sujet des personnes. Par contre, moi, je
trouve que la définition de renseignements sensibles qui est proposée dans la
loi, dans le projet de loi, est quand même très intéressante et permettrait quand
même de... justement une approche qui serait beaucoup plus contextuelle. Donc,
pas dire tout le temps : Ce renseignement-là n'est pas très sensible,
celui-là est sensible, celui-là est très sensible, mais vraiment d'avoir une
approche plus contextuelle. L'expression même des attentes raisonnables, en
quelque part, je ne peux pas m'empêcher de faire un lien avec l'article 8
ou la jurisprudence relative à l'article 8 de la charte canadienne, permet
une évaluation qui serait beaucoup plus contextuelle, pas nécessairement uniquement
en fonction de ce renseignement-là, mais dans le contexte au sein duquel il a
été utilisé.
M. Lévesque (Chapleau) :
Parfait, merci. J'aimerais peut-être vous amener sur la notion de consentement.
On a eu, là... bon, il y a des modifications qui sont proposées au projet de
loi. Je ne sais pas si vous êtes en accord avec ces modifications-là ou vous
auriez peut-être d'autres propositions par rapport au consentement. On a eu des
spécialistes qui sont venus nous dire que, bon, en Europe, par exemple, le
consentement, c'est presque explicite, c'est presque la dernière étape, puis
les citoyens, les gens qui, bon, naviguent en ligne, souvent, sont bombardés,
là, de longs textes...
M. Lévesque (Chapleau) : …ou
vous auriez peut-être d'autres propositions par rapport au consentement. On a
eu des spécialistes qui sont venus nous dire que, bon, en Europe, par exemple,
le consentement, c'est presque explicite, c'est presque la dernière étape, puis
les citoyens, les gens qui, bon, naviguent en ligne, souvent, sont bombardés,
là, de longs textes en petit texte, là, in-octavo et puis c'est presque
compliqué de lire. Donc, je ne sais pas ce que vous en pensez, de ce
concept-là.
M. Déziel (Pierre-Luc) :
Bien, pour avoir suivi un petit peu les auditions depuis le début et pour être quand
même au fait de ce que la littérature va dire, c'est vrai que le consentement a
ses limites, a des limites qui sont quand même assez importantes, vous en avez
discuté. Le Pr Gautrais, que vous avez entendu, a l'expression souvent que
c'est, à quelque part, un bouclier, presque, pour les entreprises, c'est-à-dire
qu'ils peuvent déresponsabiliser et se déresponsabiliser, mettre la
responsabilité sur les individus.
À mon sens… et le consentement demeure un
élément essentiel, une bonne protection des renseignements personnels,
nécessaire mais non suffisante et il faut que ça soit renfoncé aussi par
d'autres mécanismes. À mon avis, une des choses sur lesquelles on doit jouer ou
on pourrait jouer, c'est quelque chose qui pourrait être développé par la
jurisprudence aussi, c'est : Qu'est-ce qu'on entend par un intérêt sérieux
et légitime de collecter, d'utiliser, ou de divulguer des renseignements
personnels?
Ce qu'il ne faut pas oublier, à mon avis,
nos lois sont structurées pour faire en sorte qu'obtenir le consentement n'est
pas suffisant, même, pour faire un traitement des renseignements personnels. Il
faut que l'entreprise m'informe de la fin pour laquelle il va collecter ces
renseignements-là, et avant même de tout ça, il va falloir que cette fin-là
puisse être considérée comme contribuant à l'atteinte d'un objectif qu'on
considère comme étant sérieux et légitime. Au niveau fédéral, on va parler de
raisonnable et acceptable dans les circonstances.
Donc, à partir de ce moment-là, c'est
beaucoup plus de… ça serait beaucoup plus de travailler aussi sur les ou sur
les objectifs qu'on peut viser en matière de protection, de traitement des renseignements
personnels, qu'on considère comme étant acceptables et légitimes dans le
contexte québécois, finalement. Donc, ce que je veux dire par là, c'est que la
manière dont nos lois sont construites, aujourd'hui, même si on a le
consentement de la personne, on ne participe pas à l'atteinte d'un objectif
qu'on considère légitime et raisonnable. Le consentement ne suffit pas, il faut
remplir ce critère-là avant. Et c'est un article... c'est l'article 4, par
exemple, de la loi dans le secteur privé... sont très peu utilisés, finalement.
Le paragraphe 5.3 de la loi fédérale est très peu utilisé, il y a peu de débats
autour de ces notions-là, il y a peu de décisions autour de ces notions-là. À
mon sens, on pourrait agir encore un petit peu plus tôt puis régir ou encadrer
les utilisations qu'on considère comme étant acceptables ou pas, finalement, peut-être
offrir des «guidelines» un peu plus... pardon, des lignes directives un peu
plus précises à ce sujet-là puis jouer sur ce point de vue là.
Le Président (M.
Bachand) :Merci beaucoup, M. le
professeur. Je me tourne vers l'opposition officielle pour 17 minutes. M.
le député de LaFontaine.
M. Tanguay
: Bonjour,
Pr Déziel. Bonjour, merci d'être virtuellement avec nous, mais d'échanger,
donc, sur le projet de loi n° 64 et sur des enjeux qui, de façon très,
très évidente je pense, touchent la population, le respect de la vie privée....
Le Président
(M. Bachand) : ...alors je me tourne vers l'opposition
officielle pour 17 minutes. M. le député de LaFontaine.
M. Tanguay
: ...merci
beaucoup. Bonjour, Pr Déziel. Bonjour, merci d'être virtuellement avec
nous, mais d'échanger sur le projet de loi n° 64 et sur des enjeux qui, de
façon très, très évidente je pense, touchent la population et le respect de la
vie privée. Et ce qui est intéressant avec votre intervention, c'est que vous
apportez, sous un chapitre très particulier, la recherche, vous apportez votre
expertise, votre expertise concrète également, pas juste théorique, mais très
concrète.
J'aimerais ça, pour ma gouverne parce que
je ne suis pas comme vous, loin de là, un expert en la matière, ça semble...
d'entrée de jeu, vous avez fait le commentaire, ou durant votre première
intervention, un parcours du combattant pour se faire reconnaître chercheur.
Vous parliez de la première année, on remplit des formulaires. Juste pour ma gouverne
puis peut-être la gouverne des des collègues, ça prend quoi pour être qualifié
de chercheur et quelle est l'évolution de cela? Est-ce que c'est plus
difficile? Est-ce que c'est plus souple et est-ce qu'on n'aurait pas une
réflexion aussi à se faire quant à ce processus de qualification là, au-delà de
la paperasse, là?
M. Déziel (Pierre-Luc) : Oui,
mais en fait, c'est ça, c'est qu'en ce moment, présentement, ce n'est pas le
chercheur lui-même qui se qualifie, c'est son... il qualifie son projet de
recherche finalement. Donc, il obtient l'autorisation en fonction d'un projet
de recherche. Donc normalement, pour avoir accès à des fonds d'aide
subventionnaire pour pouvoir conduire ces recherches-là, il va falloir avoir par
exemple un poste de professeur ou ce genre de choses là, avoir un certain
nombre de publications, avoir déjà participé à d'autres projets de recherche
dans le cadre des études, par exemple. Mais c'est un parcours beaucoup plus axé
le projet de recherche individuel que sur le chercheur en tant que tel.
Le modèle qu'on voit en Ontario, le modèle
de ICES par exemple, est beaucoup plus sur le pedigree si on veut ou le CV du
chercheur en tant que tel, ses compétences, est-ce qu'il a publié dans des
revues ou des publications qui sont revues par les paires? Est-ce que c'est un
chercheur qui est reconnu par sa communauté, par ses pairs? Est-ce que c'est un
professeur d'université, par exemple? Est-ce que vous avez déjà contribué à
d'autres projets qui ont participé à l'avancement de la science? Donc, c'est un
petit peu comme ça qu'on évalue tout ça.
Mais sinon, au Québec, on y va pièce par
pièce, projet par projet, finalement. Et c'est effectivement beaucoup de
formulaires à remplir, beaucoup de paperasse à remplir. Et si je peux me
permettre, en fait, un des grands obstacles qu'il y a aussi, ce n'est pas juste
remplir les formulaires, demander les autorisations, c'est d'essayer de faire
cadrer la manière dont la recherche est actuellement conduite au Québec
notamment dans le contexte de l'intelligence artificielle et les critères qui
sont demandés par la loi et interprétés par la CAI pour avoir aux
renseignements personnels.
Donc, je vous donne un exemple très
simple. Par exemple, il va falloir dans un contexte scientifique, respecter un
critère qui est établi par la loi et qui est interprété par la Commission
d'accès à l'information, qui est le critère de nécessité. C'est-à-dire qu'il va
falloir, pour aller faire une recherche, aller chercher que les renseignements
qui sont nécessaires à l'atteinte de notre objectif de recherche. Si un
renseignement est pertinent mais non nécessaire, on ne pourra pas avoir...
M. Déziel (Pierre-Luc) : …qui
est établi par la loi et qui est interprété par la Commission d'accès à
l'information, qui est le critère de nécessité. C'est-à-dire qu'il va falloir,
pour aller faire une recherche, aller chercher que les renseignements qui sont nécessaires
à l'atteinte de notre objectif de recherche. Si un renseignement est pertinent
mais non nécessaire, on ne pourra pas avoir accès à ce renseignement personnel
là. Alors, beaucoup des techniques qui sont développées dans le contexte de l'intelligence
artificielle vont devoir fonctionner avec beaucoup des jeux de données très,
très, très importants, très grands, et un des objectifs de l'intelligence
artificielle, c'est justement de déterminer quels types de renseignements
peuvent être nécessaires pour prédire, par exemple, la patiente a telle
maladie, chez telle personne, ou quel type de personne est plus à risque de
développer telle maladie. Donc là, on a vraiment un achoppement qui est très
important, c'est-à-dire qu'on demande aux chercheurs de nous dire… Qu'est-ce
qui est nécessaire pour ta recherche? Et l'objectif de la recherche, c'est de
dire : Bien, j'essaie de savoir, justement, qu'est-ce qui est nécessaire.
Donc, ce n'est pas la faute de la CAI en
tant que telle, elle interprète ces critères-là, mais là il y a un achoppement
qui est assez direct, qui est assez frontal de comment est-ce que la recherche
est conduite et quels sont les critères qu'on demande aux chercheurs de remplir
ou… dans le cadre d'un projet en particulier.
M. Tanguay
: Et donc
vous nous invitez aussi, vous ne le retrouvez pas, cet amendement-là, dans le
projet de loi n° 64, vous nous invitez même, j'imagine, à reconsidérer
cela, ce critère-là, qui pourrait être quoi? Je prends mon crayon de
législateur. «Toute nécessité», ce serait pertinent à la recherche, j'imagine?
M. Déziel (Pierre-Luc) :
Pertinent, ça pourrait être quelque chose d'intéressant. On pourrait dire que,
de toute façon, il y a une branche de l'interprétation du critère de nécessité
qui porte justement sur la pertinence. La pertinence, c'est quelque chose ou le
critère de pertinence…
M. Tanguay
: Ça peut
être plus large.
• (17 h 20) •
M. Déziel (Pierre-Luc) :
…c'est quelque chose qu'on trouve dans le Code civil aussi. Je pense que le
critère de nécessité — vous en avez parlé, c'est le principe de
limitation de la collecte — demeure important dans le contexte, par
exemple, du secteur privé auprès des organismes publics aussi. Je pense qu'un
des arguments qui est sous-jacent à mon propos aujourd'hui, c'est de dire que
le domaine de la recherche est un petit peu un secteur différent et unique,
dans une certaine mesure, qui ne s'apparente pas à de l'administration
publique, tel qu'il est visé par la loi sur l'accès, qui ne s'apparente pas à
des activités commerciales telles qu'elles sont visées par la loi sur le
secteur privé. Donc, je pense que ce qui serait intéressant, ce serait de
réfléchir à une manière dont on pourrait jouer sur les particularités ou
l'unicité de ce milieu-là et d'avoir des dispositions, ou une section, ou
quelque chose qui soit un régime d'encadrement qui soit propre au milieu de la
recherche, finalement.
M. Tanguay
: Et
j'imagine, je serais curieux de savoir, je vous posais la question, j'imagine
qu'on ne parle pas de compétitivité au point de vue mercantile de l'expression,
mais au niveau de la compétitivité de nos chaires de recherche, et tout ça. Au
point de vue international, est-ce que nous sommes… Puis là vous avez donné un
bel exemple, le critère de nécessité un peu plus limitatif. Comment on se
compare à l'international? Puis, pour nous, on n'est pas peu fiers de savoir
que telle université, l'Université Laval, pour prendre votre… là où vous êtes
professeur, on n'est pas peu fiers, socialement, collectivement, de dire :
Aïe, nos chercheurs ont fait toute une découverte, et ainsi de suite. Comment
on se compare à ce chapitre-là, accès à l'information, ce dont on parle, là,
avec les autres universités, par exemple?
M. Déziel (Pierre-Luc) :
Bien, à mon sens, on se compare très bien, mais les échos…
M. Tanguay
:
...professeur. On n'est pas peu fiers, socialement, collectivement, de
dire : Aïe! nos chercheurs ont fait toute une découverte, et ainsi de
suite. Comment on se compare à ce chapitre-là, accès à l'information, ce dont
on parle, là, avec les autres universités, par exemple?
M. Déziel (Pierre-Luc) :
Bien, à mon sens, on se compare très bien. Mais les échos que j'entends du
terrain, surtout dans le domaine de la recherche, c'est qu'on a des ressources
informationnelles, des données de recherche là-dessus... on est dans le domaine
de la santé, pardon... qui sont excessivement riches, qui sont particulières,
qui sont uniques, à quelque part, dans le monde, et que, même si on est
compétitifs, on les sous-exploite, dans une certaine mesure.
Et, par exemple, dans le domaine de la
recherche, ce qui se passe... Je vous donnais l'exemple d'ICES, en Ontario.
Plusieurs des chercheurs au Québec qui font de la recherche dans le domaine de
la santé vont chercher leurs données en Ontario, finalement. Donc, ils sont
reconnus par ICES comme étant des chercheurs, font de la recherche au Québec,
mais avec des données de l'Ontario, parce que c'est trop difficile ou presque
impossible pour eux d'avoir des données québécoises. Donc, oui, les recherches
sont faites au Québec. On essaie de trouver des solutions, dans certains cas,
pour des problématiques québécoises, mais on s'entraîne sur des données qui
vont de l'extérieur.
Donc, on est très compétitifs. On pourrait
probablement être encore... et compétitifs, comme vous le dites, vous faites
bien de le dire, en tout cas, dans un point de vue mercantile, là, finalement.
Mais on est très bons, à mon avis. Mais il y aurait une possibilité peut-être
d'être encore meilleurs, finalement. Et le règlement européen donne beaucoup de
marge de manoeuvre aux scientifiques, au niveau de la science. C'est-à-dire
qu'une des conditions de la ... du traitement de l'information dans le RGPD...
Il y en a plusieurs, il n'y a pas juste le consentement. Il y a l'intérêt... Il
y a une mission d'intérêt public, et les considérants du RGPD vont nous dire
clairement qu'une recherche scientifique bien balisée, là, évidemment, bien
encadrée, bien structurée, qu'on aura révisée aussi, participe à ces intérêts
publics et communs, finalement.
M. Tanguay
: Est-ce
qu'il y a un aspect... Puis vous m'inspirez cette question-là. Au niveau de la
conservation des données pour x période de temps, suite au dépôt du résultat,
du rapport de recherche, il n'y a pas un aspect aussi de... Donc, quel est
l'état des lieux par rapport à cette capacité de conserver? Y a-t-il une limite
de temps, à l'heure où on se parle?
M. Déziel (Pierre-Luc) :
Normalement, le principe... C'est pour ça que je vous dis que le milieu de la
recherche, c'est un principe... est un domaine assez unique, puis qu'en le
soumettant à des lois qui sont prévues pour d'autres choses il y a certains
problèmes. C'est-à-dire que le principe général, normalement, en protection des
renseignements personnels, si on va chercher des renseignements pour une fin,
une fois que notre fin est atteinte, on détruit les renseignements, où, là,
comme on le propose, mais c'est quelque chose qu'on trouve plutôt au niveau
fédéral, on les anonymise.
Donc, comme je le disais un petit peu plus
tard... un peu plus tôt, l'anonymisation, dans la manière dont elle formulée
dans le projet de loi, à mon sens, elle est presque inopératoire, là. Ça va
être très difficile de s'en servir. Donc, normalement, le principe général,
c'est de faire en sorte que le chercheur, une fois qu'il a collecté ces
données... des fois, ça peut lui prendre très longtemps où il y a eu accès à
ces renseignements-là... une fois que son projet est fini, que ses objectifs
sont atteints, il doit se départir de ces données-là. Et donc, s'il veut faire
une nouvelle recherche, qui serait différente, mais avec ces données-là, il
doit tout repasser par le processus d'autorisation, donc, et ça, ça peut être
une problématique, et ça peut rajouter des délais supplémentaires, encore une
fois.
Donc, la conservation, ce serait quelque
chose...
M. Déziel (Pierre-Luc) : ...partir
de ces données-là. Et donc, s'il veut faire une nouvelle recherche, qui serait
différente, mais avec ces données-là, il doit tout repasser par le processus
d'autorisation.
Donc... Et ça, ça peut être une problématique
et ça peut... ça peut rajouter des délais supplémentaires encore une fois.
Donc, la conservation, ça serait quelque chose de... ou la réutilisation, quelque
chose d'envisageable.
Peut-être un dernier point sur ça, les
trois conseils fédéraux vont dans une direction où on considère que les données
qui sont générées par la recherche en quelque part sont financées par des fonds
publics et devraient, en quelque part, appartenir à la collectivité aussi. Et
donc, de plus en plus, on va demander aux chercheurs, ça va être de conserver
leurs données, de pouvoir les verser dans des dépôts ou dans des grands dépôts,
qui vont permettre la réutilisation de ces données-là.
Publier des catalogues de métadonnées,
savoir quelle donnée est disponible puis essayer de faciliter cet accès-là,
donc le milieu de la recherche essaie d'évoluer dans cette direction-là. À l'Université
Laval, il y a une initiative que vous connaissez peut-être, qui s'appelle
Pulsar, où on essaie de faire une centralisation des données de recherche, des
lacs de données pour une réutilisation ou une utilisation secondaire des
données, une revalorisation des données, mais, encore une fois, comme je vous
expliquais, on est confrontés à plusieurs des contraintes qui sont imposées
dans la loi et qui, à mon sens, sont plus ou moins pertinentes dans un secteur
d'activité comme la recherche.
M. Tanguay
: Et au
niveau des technologies qui avancent rapidement, là, évidemment, c'est un
euphémisme, pour les bons motifs puis, des fois, pour les mauvais motifs, le
piratage.
Au niveau de nos chaires de recherche, au
niveau des chercheurs, chercheuses au Québec, sommes-nous bien outillés,
conscients... Je n'ai pas d'exemple, peut-être que vous en avez où des chercheurs
ont été piratés. Alors, quel est notre niveau de protection là-dessus puis
est-ce qu'il n'y aurait pas, au-delà peut-être de modifications législatives
puis eux, de se pencher sur cette question-là ou pas?
M. Déziel (Pierre-Luc) : Moi,
à ma connaissance, en tout cas, je n'ai pas grand connaissance d'incidents
majeurs, là, ou même mineurs au niveau de la protection des renseignements
personnels par les chercheurs. À mon avis, pour parler avec plusieurs d'entre
eux, bien... et c'est normal, ce ne sont pas des juristes. Donc, les concepts
de la loi sont peut-être plus familiers pour eux. Mais, ce que je vous dirais,
c'est que c'est une population qui est... je dirais, un... C'est des gens qui
sont assez faciles à... peuvent apprendre rapidement, sont sensibilisés très certainement
à ces questions-là et sont... ils sont mus aussi par des intérêts ou des
impératifs qui sont différents des organismes publics, où... les entreprises, c'est-à-dire
qu'un chercheur, par exemple, typiquement, ne va pas avoir besoin de l'identité
des personnes, des données anonymisées ou dépersonnalisées dans la majorité des
cas., va pouvoir servir ces fins.
Dans une mesure où il y aurait tentative
de réindentification, il n'y a pas besoin d'aller vers les gens pour leur
vendre un produit, pour leur proposer un service, l'identité lui importe plus
ou moins, donc les risques de réidentification sont... les intérêts qui
mèneraient à une réidentification des personnes à partir de données
dépersonnalisées ne sont pas très élevés. Qui plus est, si jamais il y a un
incident...
M. Déziel (Pierre-Luc) : ...il
n'a pas besoin d'aller vers les gens pour leur vendre un produit, pour leur
proposer un service. L'identité lui importe plus ou moins, donc les risques de
réidentification sont... les intérêts qui mèneraient à une réidentification des
personnes à partir de données dépersonnalisées ne sont pas très élevés. Qui
plus est, si jamais il y a un incident ou il y a quelque chose qui est problématique,
bien, le chercheur n'obtiendra plus ou aura de la difficulté à obtenir les
autorisations auprès de la Commission d'accès à l'information. Et sans données,
bien, ça veut dire un peu... plus de projet de recherche, et la carrière est un
peu terminée.
Donc, moi, plusieurs des chercheurs, ce
qu'ils me disent, c'est : On n'est pas une entreprise, on n'est pas
Facebook, on n'est pas Google, on n'a pas les mêmes intérêts. Moi, il faut que
je fasse attention aux données parce que si je n'ai plus accès, ma carrière est
terminée. Donc, je pense que c'est...
M. Tanguay
: Oui. Je ne
vous poserai pas la question à savoir ce que vous pensez, si on devrait
appliquer la règle applicable aux entreprises privées, aux partis politiques,
je pense qu'on bifurquerait sur un autre domaine à ce niveau-là. Mais ça me
faisait penser, ce que vous avez dit là... effectivement, je veux dire, on
n'est pas Google, on n'est pas... quand vous dites : Nous, les chercheurs,
on a d'autres vocations.
Un concept que je trouvais intéressant,
permettre la programmation de recherche, donc permettre l'accès à des données
pour une programmation de recherche. Pouvez-vous expliciter? Autrement dit,
pour plus... Vous nous l'avez clairement dit, quand on applique, on applique
pour un projet. Là, on pourrait appliquer pour plus d'un projet ou... une sorte
de parapluie de projets. J'aimerais ça vous entendre là-dessus.
M. Déziel (Pierre-Luc) : Oui.
Bien, en fait, c'est que le projet de loi, la terminologie qui est utilisée ou
le terme qui est utilisé en matière... pour les évaluations relatives aux
facteurs d'impact sur la vie privée, c'est le terme de protocole de recherche.
Donc, protocole de recherche, ça veut dire quelque chose de très précis,
exactement mes méthodes de recherche, ma méthodologie de recherche, étape par
étape, qu'est-ce que je vais faire avec les données. Programmation de
recherche, c'est un concept qui est plus large, finalement, c'est-à-dire je
vais mener différents projets de recherche où l'objectif de la recherche, c'est
d'aller faire ça, je risque d'avoir besoin d'à peu près ce type de données là.
Et un des problèmes qu'on a, puis c'est un
petit peu comme je vous expliquais tout à l'heure, c'est le protocole de
recherche, souvent, est tellement précis qu'on va déjà avoir besoin, à quelque
part, des données pour être capable de l'élaborer. Donc, je vous donne un
exemple très rapide, finalement. J'étais dans une rencontre, récemment, entre
un organisme public et des chercheurs en intelligence artificielle. Et les
chercheurs en intelligence artificielle, bien, ils n'avaient pas leur protocole
de recherche encore parce qu'ils ne savaient pas encore quel algorithme ils
allaient utiliser pour traiter les données. Et pour savoir quel algorithme utiliser,
bien, il fallait déjà qu'ils aient une idée générale des données qui se
trouvaient là. Et l'organisme ne peut pas donner les données tant qu'il n'y a
pas le protocole de recherche. Donc, vous voyez qu'on est un peu dans une
confrontation où on ne peut pas faire le protocole tant qu'on n'a pas les
données puis on ne peut pas donner les données tant qu'on n'a pas le protocole.
Donc, programmation, ce serait un terme
peut-être plus flexible, peut-être plus général, qui donnerait un peu plus de
marge de manoeuvre aux chercheurs pour l'accès aux données.
Le Président (M.
Bachand) : Merci beaucoup. Mme la députée de
Notre-Dame-de-Grâce pour deux minutes.
• (17 h 30) •
Mme Weil
: O.K.
D'accord. Donc, pour revenir sur les dispositions du projet de loi qui sont
proposées concernant des renseignements personnels à utiliser sans le
consentement pour des fins d'étude, recherche et production statistique, juste
pour revenir, pour bien comprendre, est-ce que vous avez des recommandations de
modifications ou est-ce que c'est bien libellé, selon vous, la proposition...
17 h 30 (version non révisée)
Mme Weil
: ...donc pour
revenir sur les dispositions du projet de loi qui sont proposées concernant des
renseignements personnels à utiliser sans le consentement pour des fins
d'études, recherche et production statistique, juste pour revenir, pour bien
comprendre, est-ce que vous avez des recommandations de modifications ou est-ce
que c'est bien libellé, selon vous, la proposition?
M. Déziel (Pierre-Luc) : Oui,
non, c'est ça. Bien, ma recommandation, mes recommandations plus précises,
bien, ça serait de prendre le domaine de la recherche, un peu comme je disais à
votre collègue, de manière comme un secteur différent. Mais je vais répondre
très rapidement. J'aurai des recommandations précises, mais je n'ai pas eu le
temps de terminer mon mémoire, donc je vous enverrai mon mémoire. Donc, je suis
désolé, la rentrée a été très occupée, on fait des cours en ligne. Donc,
j'aurai des recommandations précises dans les prochains jours, j'ai presque
terminé la rédaction mais j'ai préféré attendre de vous envoyer quelque chose
d'exhaustif et de final avant au lieu de précipiter les choses. Je suis
vraiment désolé pour ça.
Mme Weil
: Non, pas du
tout. Et je vous remercie beaucoup, M. Déziel, parce que votre
présentation est très, très riche, très riche. Et donc pour nous, de saisir
tout ça sans avoir un écrit, ce n'est pas évident. On peut aller écouter votre
témoignage. Mais vous avez... Je regardais vos recherches, il y a des choses
intéressantes. Vous avez écrit sur le droit à l'oubli, hein? Le droit à
l'oubli.
M. Déziel (Pierre-Luc) : Oui.
Mme Weil
: Est-ce que
vous avez quelque chose à nous dire sur... Vos perspectives sur ce droit à
l'oubli, c'est applicable? L'autre, c'est dans cette époque d'intelligence
artificielle, est-ce qu'il y a des limites du droit à la vie privée dans cette
ère d'intelligence artificielle? C'est les deux autres questions, mais en une
minute, ça va peut-être être impossible, mais peut-être dans votre mémoire...
Le Président (M.
Bachand) : Il reste quelques secondes, Pr Déziel.
Mme Weil
: ...votre
mémoire, peut-être vous allez pouvoir y répondre.
M. Déziel (Pierre-Luc) : ...peut-être
répondre un peu plus dans le mémoire. Peut-être rapidement sur le droit à
l'oubli, disons, là. Le droit à l'oubli, pour moi, c'est un outil... Il y a beaucoup
de débats. Est-ce que c'est vraiment quelque chose qu'on pourrait être capable
d'appliquer? Est-ce que la version européenne est applicable au Québec? Est-ce
que ça ne serait pas trop un impact important sur la liberté d'expression,
l'enjeu de la territorialité. À mon sens, j'aime beaucoup même la façon dont le
commissaire à la protection de la vie privée du Canada aborde cette problématique-là,
c'est-à-dire un déréférencement qui serait local.
À mon sens, peut-être que ce n'est pas nécessairement
de la protection de la vie privée, le droit à l'oubli, mais c'est quelque chose
d'intéressant, moi, je n'ai pas de problème à ce que ça soit dans une loi sur
la protection des renseignements personnels. Et, à mon avis, sur l'enjeu de la
liberté d'expression, je pense que les tribunaux vont être très bien capables
de l'appliquer dans une manière que va respecter la liberté d'expression au Québec,
au Canada même si c'est dans une façon qui est différente d'en Europe.
Le Président (M.
Bachand) :Merci beaucoup, Pr Déziel.
Très appréciée, votre collaboration à la commission. J'avais le député de LaFontaine
pour une demande de directive.
M. Tanguay
: Oui, merci
beaucoup, M. le Président. Je ne veux pas allonger notre séance plus que
raisonnablement. Demande de directive, M. le Président, notre secrétaire, que
je salue, très efficace, secrétaire de la commission nous a envoyé un courriel
cet après-midi spécifiant : «Le Commissaire à la santé et au bien-être
réitère sa demande d'être entendu sur le projet de loi n°64», pour vous
souligner, M. le Président, que nous avons, selon l'horaire, une plage horaire
de disponible la semaine... la semaine prochaine, pardon. Pourrions-nous donner
suite à cet acteur, Commissaire à la santé et au bien-être, qui réitère, ce
n'est pas peu dire, là...
M. Tanguay
: ...réitère
sa demande à être entendu sur le projet de loi n° 64
pour vous souligner, M. le Président, que nous avons, selon l'horaire, une
plage horaire de disponible la semaine... la semaine prochaine, pardon.
Pourrions-nous donner suite à cet acteur Commissaire à la santé et au bien-être
qu'il réitère, ce n'est pas peu dire, là... il veut être entendu puis on a une
place la semaine prochaine. Pouvons-nous, M. le Président, demande de la
directive, s'assurer qu'il pourra combler ladite place libre?
Le Président (M.
Bachand) :M. le ministre... Écoutez, il y
a une place. Je vais prendre ça en considération. Effectivement, il y a une
opportunité pour mardi après-midi. Alors, je prends ça en considération et je
vous reviens très rapidement. Merci beaucoup.
M. Tanguay
: Merci, M.
le Président.
(Fin de la séance à 17 h 34)