Journal des débats (Hansard) of the Committee on Institutions
Version préliminaire
42nd Legislature, 1st Session
(November 27, 2018 au October 13, 2021)
Cette version du Journal des débats est une version préliminaire : elle peut donc contenir des erreurs. La version définitive du Journal, en texte continu avec table des matières, est publiée dans un délai moyen de 2 ans suivant la date de la séance.
Pour en savoir plus sur le Journal des débats et ses différentes versions
Tuesday, September 29, 2020
-
Vol. 45 N° 96
Special consultations and public hearings on Bill 64, An Act to modernize legislative provisions as regards the protection of personal information
Aller directement au contenu du Journal des débats
10 h (version non révisée)
Le mardi 29 septembre 2020 — Vol. 45 N° 96
Consultations particulières et auditions publiques sur le
projet de loi n° 64, Loi modernisant des dispositions législatives en matière
de protection des renseignements personnels
(Dix heures)
Le Président (M.
Bachand) :À l'ordre, s'il vous plaît! Bon
matin. Ayant constaté le quorum, je déclare la séance de la Commission des
institutions ouverte. Je vous souhaite, bien sûr, la bienvenue, en ce beau
matin, et demande aux personnes présentes dans la salle de bien vouloir
éteindre la sonnerie de leurs appareils électroniques.
La commission est réunie afin de
poursuivre les auditions publiques dans le cadre des consultations particulières
sur le projet de loi n° 64, Loi
modernisant des dispositions législatives en matière de protection des
renseignements personnels.
Avant de débuter, Mme la secrétaire, y
a-t-il des remplacements?
La Secrétaire
: Oui, M.
le Président. M. Fontecilla (Laurier-Dorion) sera remplacé par M. Nadeau-Dubois
(Gouin) et M. LeBel (Rimouski), par M. Ouellet (René-Lévesque).
Le Président (M.
Bachand) : Merci. Est-ce qu'il y a des droits de vote par
procuration?
La Secrétaire
: Oui.
M. Lévesque (Chapleau) pourra voter pour M. Lamothe (Ungava), pour
M. Martel (Nicolet-Bécancour) et pour Mme Lecours (Les Plaines)
et Mme Weil (Notre-Dame-de-Grâce) pourra voter pour M. Birnbaum
(D'Arcy-McGee).
Le Président (M.
Bachand) : Merci beaucoup. Je souhaite donc la bienvenue aux
représentants du Bureau d'assurance du Canada. Bienvenue, bon matin, et je vous
rappelle que vous disposez de 10 minutes de présentation, et après ça, on aura
un échange avec les membres de la commission présents. Donc, bienvenue, et la
parole est à vous. Je vous demanderais de vous identifier, cependant, pour
débuter.
(Visioconférence)
Mme Grignon (Marie-Pierre) :
Oui, bonjour. Je suis Marie-Pierre Grignon. Je suis accompagnée de Me Alain
Camirand.
Le Président (M.
Bachand) : Merci.
Mme Grignon (Marie-Pierre) :
Donc, M. le Président, chers membres de la commission, je suis Me Marie-Pierre
Grignon, donc, directrice des affaires techniques et juridiques au Bureau
d'assurance du Canada. Donc, je suis accompagnée, comme je viens de le dire,
avec M. Alain Camirand, vice-président associé, Conformité, chez compagnie
d'assurance habitation et auto TD, une société qui est membre du BAC.
Je souhaite d'abord vous remercier pour
l'invitation faite au Bureau d'assurance du Canada de participer aux consultations
particulières sur le projet de loi n° 64. J'aimerais
aussi vous rappeler que la mission du Bureau d'assurance du Canada est de
représenter les sociétés privées d'assurance de dommages, soit les compagnies
qui assurent les... les habitations et les entreprises. Le BAC est donc le porte-parole
de 100 assureurs, représentant plus de 90 % des parts de marché au Québec
et au Canada. Ces sociétés sont des acteurs de premier plan dans l'économie
québécoise et canadienne, tant au niveau de l'emploi, de la fiscalité que de la
protection du patrimoine des entreprises et des citoyens. Le BAC joue également
un rôle d'importance au chapitre de l'accès à l'assurance et à la
sensibilisation des consommateurs aux risques et aux mesures de prévention des
sinistres.
L'industrie d'assurance de dommages salue
la volonté du gouvernement d'actualiser le cadre législatif qui protège les
renseignements personnels au Québec. Comme nous l'avons déjà mentionné lors de
la sortie du dernier rapport quinquennal de la Commission d'accès à
l'information, nous croyons que le cadre actuel ne répond plus aux besoins tant
des entreprises que des consommateurs.
La récente réforme des règles...
Mme Grignon (Marie-Pierre) :
...le cadre législatif qui protège les renseignements personnels au Québec.
Comme nous l'avons déjà mentionné lors de la sortie du dernier rapport
quinquennal de la Commission d'accès à l'information, nous croyons que le cadre
actuel ne répond plus aux besoins tant des entreprises que des consommateurs.
La récente rétro des règles encadrant
l'utilisation des renseignements personnels au sein de l'Union européenne est
un exemple à suivre selon nous. Il est cependant important de noter que ce
succès est le résultat d'une vision commune de la protection des renseignements
personnels entre les différentes juridictions. Ceci évite de nombreux obstacles
qui peuvent nuire de manière importante aux entreprises dont les activités s'étendent
au-delà de leurs propres frontières nationales.
Notre industrie est composée de sociétés à
charte québécoise ainsi que de sociétés à charte canadienne qui opèrent dans plusieurs
provinces. C'est aussi une des industries les plus réglementées. Et c'est
notamment pour ces deux raisons que nous sommes particulièrement sensibilisés
aux enjeux d'harmonisation entre les lois qui visent les mêmes objectifs, que
ce soit au sein d'une même province ou au niveau fédéral.
Je voudrais aussi mentionner que la nature
même des activités d'assurance nécessite le traitement d'un grand volume de
renseignements personnels et financiers. Pour établir une prime d'assurance qui
est équitable pour chaque assuré, il est essentiel de bien... évaluer, pardon,
le risque que représente chaque individu et chaque bien. Cette appréciation de
taux se base sur des modèles prédictifs qui utilisent de nombreuses variables.
La collecte d'informations est donc au coeur du processus d'assurance depuis
toujours. Et c'est pourquoi les assureurs accordent beaucoup d'importance à la
protection des renseignements personnels de leurs clients. La confiance de ces
derniers et leur réputation en dépendent.
À la page 3 de notre mémoire, vous
aurez vu la liste des principaux enjeux que nous souhaitons vous présenter
aujourd'hui. Parmi eux, on retrouve l'harmonisation de la loi avec l'ensemble
de l'encadrement législatif des assureurs. Aussi nous suggérons certaines
exceptions, mesures transitoires aux droits acquis afin de ne pas nuire indûment
aux opérations. Vous remarquerez qu'il s'agit généralement de problématiques
reliées à l'application de la loi plutôt qu'à son fondement.
Le BAC et ses membres souhaitent par cette
démarche vous proposer de maintenir l'équilibre entre la protection adéquate
des consommateurs et la capacité de conduire des affaires efficacement dans une
économie en pleine évolution, et ce, dans un secteur où le fardeau
réglementaire peut devenir un frein important à l'innovation.
Pour bien comprendre l'enjeu que
représente un manque d'harmonisation avec l'encadrement législatif qui existe
déjà dans la province et le reste du Canada, il faut connaître le contexte dans
lequel les compagnies d'assurance de dommages évoluent. Comme mentionné plus
tôt, les activités des sociétés d'assurance sont déjà rigoureusement encadrées
par le ministère des Finances, par l'Autorité des marchés financiers, et ce, à
travers plusieurs lois, règlements et plus d'une vingtaine de lignes
directrices, et ce, seulement au Québec. Comme la majorité d'entre elles font
des affaires ailleurs au pays, elles sont soumises à un encadrement tous aussi
rigoureux dans...
Mme Grignon (Marie-Pierre) :
…déjà rigoureusement encadrées par le ministère des Finances, par l'Autorité
des marchés financiers, et ce, à travers plusieurs lois, règlements et plus
d'une vingtaine de lignes directrices, et ça, seulement au Québec.
Comme la majorité d'entre elles font des
affaires ailleurs au pays, elles sont soumises à un encadrement tout aussi
rigoureux dans chaque province où elles sont présentes, en plus de devoir
respecter la réglementation fédérale. À titre d'exemple de redondances ou
d'incohérences potentielles, certains aspects visés par le projet de loi
n° 64, comme les incidents de sécurité et les communications à l'extérieur
du Québec, sont déjà encadrés par les lignes directrices émises par l'Autorité
des marchés financiers. Le fait d'ajouter de nouvelles règles ayant le même
objet que celles qui existent déjà peut créer une importante confusion et même
donner lieu à des contradictions. Dans notre mémoire, nous identifions des
articles qui nécessitent à notre avis une harmonisation et nous y proposons
certaines modifications.
Plusieurs de nos recommandations visent
également à ce que la loi soit davantage basée sur des principes, comme le
proposait d'ailleurs le dernier rapport quinquennal de la Commission d'accès à
l'information. Une telle approche permet aux entreprises d'établir leur propre
cadre de gouvernance et d'atteindre les objectifs de protection du consommateur
plus facilement. Elles permettraient également à chaque entreprise d'établir
des mécanismes qui cadrent avec leur culture et leur structure de manière à
rendre les mesures de protection des renseignements plus efficaces et durables.
Pour le consommateur qui veut que son information soit protégée, c'est le
résultat final qui compte et non la façon d'y parvenir.
Les mécanismes proposés dans le projet de
loi n° 64 pour le transfert d'information imposent d'importantes barrières
aux entreprises. Tout d'abord, il est important de faciliter le transfert des
renseignements personnels entre entités faisant partie d'un même groupe
financier… (panne de son) …de transactions commerciales comme des fusions ou
des acquisitions. Le projet de loi propose seulement de limiter les
circonstances pour lesquelles un échange de renseignements personnels entre
entreprises est permis sans obtenir le consentement de la personne concernée au
transfert de propriété. Ceci n'est pas suffisamment large pour inclure toutes
les transactions commerciales entre entreprises qui devraient bénéficier d'une
telle possibilité.
En ce qui concerne la communication de
renseignements personnels entre les provinces, les mesures proposées nous
semblent trop contraignantes et difficiles à justifier étant donné l'existence
de lois protégeant et responsabilisant les entreprises en matière de
renseignements personnels dans les autres provinces canadiennes. Selon nous, il
serait plus approprié que l'obligation d'effectuer une étude d'impact et de
risques ne s'applique qu'en présence d'une transmission de renseignements
personnels à l'extérieur du pays.
J'aimerais aussi vous parler de prévention
de la fraude. En assurance de dommages, la fraude représente plus de 15 %
du montant payé par les assureurs en règlement de sinistre. On parle donc de
plus de 1 milliard de dollars par année à travers le Canada. Les assureurs
doivent donc être vigilants, et c'est l'ensemble des assurés qui finissent par
payer pour ce fléau…
Mme Grignon (Marie-Pierre) :
...en assurance des dommages, la fraude représente plus de 15 % du montant
payé par les assureurs en règlements sinistres. On parle donc de plus de
1 milliard de dollars par année à travers le Canada. Les assureurs doivent
donc être vigilants et c'est l'ensemble des assurés qui finissent par payer
pour ce fléau.
• (10 h 10) •
L'article 18 de la Loi sur le secteur
privé donne déjà aux entreprises le droit de communiquer entre elles des
renseignements personnels lorsqu'elles ont des motifs raisonnables de croire
que la personne concernée a commis ou est sur le point de commettre un crime ou
une infraction à la loi. Ceci n'est pas suffisant pour prévenir la fraude à
grande échelle, de façon significative. Les assureurs doivent pouvoir
collecter, utiliser ou échanger des renseignements avec d'autres organismes ou
entreprises. Vous comprendrez que si on doit obtenir le consentement d'un
individu à cette fin, l'objectif de lutte contre la fraude est compromis. À cet
égard l'industrie de l'assurance de dommages souhaite donc que la communication
entre assureurs de certains renseignements relatifs à la... relative à la
prévention de la fraude soit clairement permise.
En ce qui concerne les sanctions
proposées, nous expliquons mal leur ampleur à la lumière de l'environnement
économique et législatif qui prévaut au Québec. La dissuasion doit bien entendu
faire partie des objectifs des sanctions, mais celles proposées nous semblent
démesurées. Elles s'apparentent à celles qu'on retrouve dans le marché
européen, alors que ce dernier est très différent du nôtre. En effet, la
population de l'Union européenne, qui compte 27 États membres, est de
447 millions d'habitants. Ainsi, nous suggérons que les sanctions soient
davantage de l'ordre de celles que l'on retrouve dans les lois québécoises.
Et finalement, les dispositions
transitoires devraient prévoir des droits acquis, tant pour le traitement des
informations et des consentements obtenus avant l'entrée en vigueur de la loi
que pour les conditions applicables aux relations contractuelles qui sont en
cours. Dans le cas contraire, il en résulterait un fardeau énorme sur les
opérations des entreprises, en plus de créer de la confusion chez les
consommateurs et de l'incertitude dans les relations commerciales.
En terminant, on insiste sur l'importance
d'harmoniser les différentes législations applicables aux assureurs de
dommages, tant au Québec que dans l'ensemble du pays, de mettre en place des
moyens pour contrer la fraude en assurance et de s'assurer que la loi s'adapte
tant à l'évolution technologique, qui ne cesse de s'accélérer, qu'aux besoins
des consommateurs, et ce, en étant basée sur des principes plutôt que sur des
façons de faire. Merci beaucoup pour votre attention. Nous sommes maintenant
prêts à répondre à vos questions.
Le Président (M.
Bachand) : Merci beaucoup, Me Grignon. M. le ministre, s'il
vous plaît.
M. Jolin-Barrette : Oui.
Bonjour, M. le Président, heureux de vous retrouver après cette... en début de
semaine. Me Grigon, Me Camirand, bonjour. Merci de participer aux travaux de la
commission sur le projet de loi n° 64.
D'entrée de jeu, au niveau, là, du Bureau
d'assurance du Canada, là, j'aimerais qu'on revienne, là, sur le concept de...
M. Jolin-Barrette : ...Me
Camirand, bonjour. Merci de participer aux travaux de la commission sur le projet
de loi n° 64.
D'entrée de jeu, au niveau, là, du Bureau
d'assurance du Canada, là, j'aimerais qu'on revienne, là, sur le concept de
décision automatisée, qui ne contient aucune distinction d'application, notamment
sur les contrats et le droit d'opposition. Je voudrais que vous me parliez de
ça, parce que c'était soulevé dans votre mémoire, et vous disiez : Bon,
bien, ça entraîne un fardeau administratif pour les entreprises. Pouvez-vous
nous expliquer précisément ce que vous voulez dire par là?
Mme Grignon (Marie-Pierre) :
Bien, en fait, je pense que ce qui est proposé, c'est... On comprend qu'au
niveau de la transparence, c'est très important, donc il faut informer les
consommateurs, tout ça. Je veux juste, au niveau de votre question, vous voulez
savoir exactement... Est-ce que vous parlez de la télématique puis de ces
choses-là ou... peut-être juste préciser un petit peu votre question.
M. Jolin-Barrette :
Bien, la télématique, c'est les décisions automatisées?
Mme Grignon (Marie-Pierre) :
Pardon?
M. Jolin-Barrette : La
télématique, comme vous dites, c'est les décisions automatisées?
Mme Grignon (Marie-Pierre) :
...parlez... au niveau des décisions automatisées, je vais peut-être laisser
Alain, mon collègue Alain répondre à cette question au niveau de
l'automatisation des réponses. Merci.
M. Camirand (Alain) :
Oui. Bien, je pense que ce qu'il est important de comprendre dans l'environnement
des assureurs, c'est que, de façon générale, toutes les décisions d'assurance
sont... automatisées, là. C'est-à-dire la façon dont on fonctionne, c'est que
les clients nous fournissent un certain nombre d'informations, et on prend
cette information-là et on la met dans nos systèmes, qui vont générer... vont
générer les propositions de couvertures qui seront adaptées aux besoins du
client... Et donc... quand on regarde le libellé du projet de loi, bien, on
note, là... à peu près toutes nos décisions, finalement, là, en tant
qu'assureur seraient sujettes à la disposition, là, du projet de loi concernant
les décisions fondées exclusivement sur un traitement automatisé. Donc, ça
vient alourdir singulièrement, là, nos opérations, là, parce que c'est de la
façon dont on fonctionne. Je ne sais pas si ça répond à votre question?
M. Jolin-Barrette :
Donc, je comprends, là, que vous, là, dans votre modèle d'affaires, là,
supposons que moi, là, je veux avoir une soumission pour une assurance, là,
bien, en fait, je transmets mes informations personnelles et nominatives à
l'assureur avec mon niveau de risque. Et là ensuite, souvent, c'est mis dans un
programme informatique, puis ça me donne ma cotation, mon niveau de risque, sur
lequel vous pouvez me présenter une police d'assurance. C'est un peu ça, votre
crainte, au niveau... parce que vous avez des mécanismes automatisés, puis là
vous dites : Bien, avec la modification législative, nous, ça va entraîner
une problématique au niveau de notre modèle d'affaires parce qu'on traite beaucoup
de renseignements personnels. Est-ce que c'est ça que je comprends?
M. Camirand (Alain) :
Oui, exactement. À peu près toutes les décisions...
M. Jolin-Barrette : ...et
une police d'assurance. C'est un peu ça votre crainte au niveau... parce que
vous avez des mécanismes automatisés puis, là, vous dites : Bien, avec la
modification législative, nous, ça va entraîner une problématique au niveau de
notre modèle d'affaires parce qu'on traite beaucoup de renseignements
personnels. Est-ce que c'est ça que je comprends?
M. Camirand (Alain) :
Oui, exactement. À peu près toutes les décisions qu'un assureur va prendre vont
faire l'objet d'un processus automatisé, là, jusqu'à un certain point. Et on
doute que le but de la disposition soit de rendre sujettes à cette
disposition-là, toutes les décisions qu'un assureur peut prendre concernant son
client. Donc, c'est dans... là qu'on a émis des préoccupations par rapport au
libellé de cette disposition-là sur les décisions automatisées. Ça nous semble
trop large pour les... compte tenu de notre modèle d'affaires.
M. Jolin-Barrette : O.K.
Donc, vous, vous voudriez qu'on ait un assouplissement à ce niveau-là. Mais sur
l'importance de protéger les renseignements et sur la demande de consentement,
ça, vous êtes à l'aise avec ça?
M. Camirand (Alain) :
Bien évidemment, la question de la protection des renseignements, c'est quelque
chose qui nous tient à coeur, là, ce n'est pas du tout l'enjeu, là, pour nous.
Je pense que les assureurs, là, ont à coeur de protéger l'information de leurs
clients, là, pour la simple et bonne raison qu'on est une institution
financière, et la confiance est à la base de nos modèles d'affaires respectifs.
Donc, si les clients n'ont pas confiance en nos organisations pour protéger
leurs renseignements, ils ne nous les confieront pas. Donc, c'est clairement...
de l'industrie de ne pas faire ce qui est nécessaire pour protéger
l'information des clients. C'est vraiment les impacts opérationnels, là, qu'on
essaie de prévenir de façon à éviter d'alourdir inutilement le processus parce
qu'encore une fois, là, il n'y a pas de valeur ajoutée pour nous d'informer le
client à chaque fois, là, qu'on prend une décision sur lui parce que c'est
quelque chose qu'on fait de façon...
Je pense que la disposition visait à
prendre en considération des préoccupations légitimes pour un certain nombre de
transactions qui pourraient être faites, là, à l'insu du client. Mais, dans
notre milieu à nous, ce n'est pas vraiment une préoccupation. Je pense que les
gens s'attendent à ce qu'on utilise leurs informations pour leur proposer des
produits qui sont adaptés à leurs besoins et aussi des produits pour lesquels
la tarification, là, tient compte de leurs circonstances spécifiques, là.
M. Jolin-Barrette : O.K.
Vous proposez également que... bien vous dites que c'est important d'harmoniser
les critères de divulgation d'un incident de confidentialité avec le fédéral.
Donc, vous dites qu'on devrait avoir les mêmes règles qu'au fédéral au niveau
d'un incident de confidentialité.
Mme Grignon (Marie-Pierre) :
En fait, je peux prendre... peut-être répondre à cette question-là. C'est que,
de façon générale, on demande à ce qu'il y ait une harmonisation à travers le
pays. On ne suggère pas qu'il y ait des lois qui soient meilleures, donc que la
loi fédérale soit meilleure que ce qui est proposé. Je pense qu'on est allé
chercher effectivement ce qui est peut-être plus intéressant, puis la loi
fédérale a été modifiée quand même à...
Mme Grignon (Marie-Pierre) :
…qu'il y ait une harmonisation à travers le pays. On ne suggère pas qu'il y ait
des lois qui soient meilleures, donc la loi fédérale soit meilleure que ce qui
est proposé. Je pense qu'on est allé chercher effectivement ce qui est peut-être
plus intéressant. Puis la loi fédérale a été modifiée quand même à plusieurs reprises
au cours des dernières années, donc je pense que c'est important de s'en
inspirer à certains égards.
Donc, ce qu'on dit, c'est davantage qu'il
y ait une harmonisation à travers le Canada de façon à ce que les entreprises
qui oeuvrent dans différentes provinces ne soient pas soumises à des règles qui
sont complètement différentes d'une province à l'autre. Puis on réfère beaucoup
également au RGDP, parce qu'on sait que ce sera probablement de cette loi-là
que les autres provinces vont s'inspirer lorsqu'elles modifieront leur propre
loi. Donc, c'est plus dans ce sens-là.
M. Jolin-Barrette : O.K. À la
lumière de votre mémoire, là, vous semblez être craintifs par rapport aux
sanctions qui pourraient être émises en regard de non-conformité. Comment
est-ce qu'on pourrait minimiser vos craintes relativement aux montants des
amendes, relativement aux sanctions administratives pécuniaires?
Mme Grignon (Marie-Pierre) :
Bien, en fait, je ne vois pas ça comme une crainte, là, comme on l'écrit, on
comprend bien que c'est important qu'il y ait des sanctions.C'est plutôt
l'ampleur de ces sanctions-là, notamment au niveau de sanctions
administratives, si on les compare à ce qu'on retrouve dans d'autres lois au
Québec, bien, on n'est pas du tout, du tout dans le même ordre. Puis,
effectivement si ça se compare à ce qu'on retrouve en Europe, bien, ce n'est
pas les mêmes… on n'a pas le même bassin de populations aussi qui peuvent être
affectées, là, suite à un non-respect de la loi.
Donc, ce qu'on demande simplement, ce
serait de se coller davantage aux dispositions, aux sanctions pénales ou
administratives qu'on retrouve dans d'autres lois au Québec, tout simplement.
M. Jolin-Barrette : Donc,
vous voulez qu'on diminue le montant, parce que les amendes puis les sanctions
administratives sont très élevées, là, dans le cadre du projet de loi
n° 64. Donc, vous souhaiteriez qu'on réduise le montant des amendes puis
des sanctions administratives pécuniaires.
• (10 h 20) •
Mme Grignon (Marie-Pierre) :
Oui, simplement pour, comme je vous dis, les arrimer avec ce qu'on peut
retrouver dans d'autres lois qui sont aussi importantes, que ce soit la Loi sur
la protection de l'environnement. On a déjà la loi sur les assureurs aussi où
on retrouve les sanctions, mais ce ne sont pas des sanctions du même ordre, si
on peut dire.
M. Jolin-Barrette : Mais vous
ne pensez pas que le législateur québécois doit envoyer un signal très clair relativement
aux données personnelles, à la lumière des différents événements qui sont
survenus au cours des dernières années, des derniers mois aussi, et qu'il y ait
une certaine forme, parfois, de négligence aussi par rapport aux données
personnelles des Québécois. Vous ne pensez pas qu'il y a un signal qui doit
être envoyé pour dire : Écoutez, là, c'est primordial, là, ces
informations-là, parce que c'est la vie, c'est les renseignements personnels de
la population, mais qui se retrouvent… puis, après ça, ça mène à la fraude, le
vol d'identité. Puis ça chamboule la vie des individus, là, à partir du moment
où la personne se fait voler ses données personnelles, elles sont utilisées à
mauvais escient.
Mme Grignon (Marie-Pierre) :
Tout à fait. On comprend les impacts, d'ailleurs les impacts sont énormes aussi
sur les entreprises…
M. Jolin-Barrette : …après ça,
ça mène à de la fraude, du vol d'identité, puis ça chamboule la vie des
individus, là, à partir du moment où la personne se fait voler ses données
personnelles, là, et sont utilisées à mauvais escient.
Mme Grignon (Marie-Pierre) : Tout
à fait, on comprend les impacts. D'ailleurs, les impacts sont énormes aussi sur
les entreprises, sur leur réputation, la confiance de leurs assurés. Donc,
certainement que les assureurs comprennent très, très bien l'importance de
protéger les informations personnelles. Ils l'ont toujours fait. Comme Alain
l'a dit, les renseignements personnels, c'est nécessaire au fonctionnement même
de l'assurance, c'est à la base même de la tarification, etc.
Donc, on ne nie pas du tout l'importance
de la protection au niveau de la protection des renseignements personnels. Puis
simplement, on parle en termes d'ampleur des montants, et non pas d'éliminer
ces montants-là qui sont importants, là.
M. Jolin-Barrette : Je vous
remercie.
Le Président (M.
Bachand) : Merci beaucoup. M. le député de Chapleau, s'il vous
plaît.
M. Lévesque (Chapleau) : Oui,
merci beaucoup, M. le Président. J'en profite pour saluer, là, mes collègues,
vous saluer, M. le Président aussi, je suis bien content d'être de retour ce
matin. Me Grignon, merci pour votre présentation. Également,
M. Camirand, merci d'être présent. Peut-être une petite question en lien
avec la fraude, là. Vous proposez certaines mesures pour comprendre, là,
justement, la preuve. Vous proposez notamment que la notion de
dépersonnalisation, là, des données soit ajoutée, là, pour… comme une
possibilité, là, pour ne pas détruire les renseignements personnels. J'aimerais
peut-être vous entendre sur ça, là, d'abord, qu'est-ce que vous entendez par ça
puis comment vous entrevoyez cette possibilité-là.
Mme Grignon (Marie-Pierre) :
Oui, en fait, au niveau de la fraude, bien, comme on l'a dit, c'est sûr que
c'est encore… on peut encore considérer que c'est un fléau au Canada, donc on
demande d'avoir plus de liberté quant à l'utilisation des renseignements
personnels pour réduire la fraude. D'ailleurs, en Europe, la fraude est déjà
considérée comme un intérêt légitime pour lequel on peut utiliser les
informations dans le but de prévenir la fraude.
Vous me parlez également de la
dépersonnalisation ou de l'anonymisation des renseignements. Je vois ça de
façon différente. En fait, c'est que les exigences de la loi en ce qui concerne
la dépersonnalisation puis l'anonymisation, on veut s'assurer que ça ne fera
pas en sorte que les données ne pourront pas être utilisées à des fins
actuarielles parce que c'est essentiel pour être en mesure de mettre en place
ou, en fait, de créer des modèles prédictifs puis des… actuariels qui font en
sorte que les primes sont équitables et qui représentent la réalité. Et donc,
je ne sais pas si ça répond à votre question?
M. Lévesque (Chapleau) : Oui,
oui, tout à fait. Est-ce que vous avez d'autres propositions pour, justement,
réduire les possibilités de fraude ou, du moins, certains outils que vous
aimeriez peut-être voir ajoutés sur le projet de loi ou ailleurs, là, que vous
avez discuté, là, avec vos membres de ces possibilités-là?
Mme Grignon (Marie-Pierre) :
Bien, en fait, peut-être, je pourrais dire que l'important…
M. Lévesque (Chapleau) :
...activité de fraude ou, du moins, certains outils que vous aimeriez peut-être
voir ajoutés sur le projet de loi ou ailleurs, là, que vous avez discuté peut-être,
là, avec vos membres de ces possibilités-là.
Mme Grignon (Marie-Pierre) :
Bien, en fait, peut-être je pourrais dire que l'important, ça serait la
possibilité d'échanger de l'information pour être en mesure, donc... entre
assureurs notamment, pour être en mesure de prévenir la fraude. Je ne sais pas
si, Alain, tu avais d'autres suggestions en termes d'autres mécanismes comme
tels auxquels tu penses, là. Mais, de notre côté, ça serait plus au niveau, effectivement,
d'échange d'information.
M. Camirand (Alain) : Oui, en
fait, effectivement, les assureurs, au cours des dernières années, ont débloqué
plusieurs modèles informatiques, des modèles d'intelligence artificielle, qui
leur permettent de recouper des informations qui permettent d'identifier plus facilement
les cas potentiels de fraude. C'est quelque chose qui est particulièrement
avancé en Ontario. Et la législation canadienne donne... (panne de son)
...c'est important que les compagnies d'assurance puissent continuer d'innover,
à avancer des modèles pour lutter contre la fraude organisée, notamment par
l'utilisation de l'intelligence artificielle.
Et, si le libellé de la loi est trop
restrictif, si le libellé ne permet pas un échange efficace d'information entre
les compagnies d'assurance, ça risque de nous empêcher d'utiliser au Québec ces
modèles-là qui se sont avérés efficaces et qui permettent de lutter plus efficacement
contre des fraudeurs qui sont eux-mêmes de plus en plus sophistiqués et qui
mettent en place des stratagèmes extrêmement audacieux et compliqués, là, qui
sont difficiles de contrer avec les méthodes traditionnelles de lutte contre la
fraude en assurance.
Et le danger qu'on a ici, c'est que, si l'environnement
réglementaire québécois est trop restrictif, il y a un risque que les fraudeurs
s'en rendent compte et éventuellement décident de prendre le Québec pour cible parce
que l'environnement réglementaire leur sera favorable. Ça, c'est quelque chose
choix qui, je crois, là, on doit être vigilants à cet égard-là et s'assurer que
l'environnement réglementaire maintient une balance raisonnable entre le besoin
de protéger l'information des gens mais aussi la nécessité de donner aux
compagnies d'assurance les moyens dont ils ont besoin pour lutter contre la
fraude en assurance qui, rappelons-le, est un véritable fléau, là, qui affecte
tous les Québécois, là. Tous les Québécois... le fait que certaines personnes
malavisées utilisent la fraude en assurance.
M. Lévesque (Chapleau) : Je
comprends. Donc, selon vous, il y aurait un certain équilibre à atteindre
entre, justement, le combat, là, de la fraude, là, chez les assureurs et la
protection des renseignements personnels. Vous avez mentionné, là, la
possibilité de transférer ou, du moins, d'échanger de l'information entre
assureurs ou entre groupes d'assureurs. Vous ne percevez pas un risque, là,
justement, de... Parce que plus que les données vont...
M. Lévesque (Chapleau) : ...un
certain équilibre à atteindre entre, justement, le combat, là, de la fraude,
là, chez les assureurs et la protection des renseignements personnels. Vous
avez mentionné, là, la possibilité de transférer ou, du moins, d'échanger de l'information
entre assureurs ou entre groupes d'assureurs. Vous ne percevez pas un risque,
là, justement, de... Parce que plus que les données vont s'échanger, plus qu'il
va y avoir un risque, justement, là, pour la protection de ces
renseignements-là. Je ne sais pas, je veux juste voir votre opinion par rapport
à ça, là, sur ce risque-là, et où serait cet équilibre-là, là. Donc, parce que,
si on se met à transiger ou, du moins, à échanger des données entre assureurs
et entre différentes entreprises, bien, il y a plusieurs mains, ça passe entre
plusieurs mains. Donc, le risque peut augmenter par rapport à ça.
M. Camirand (Alain) : Bien,
vous avez tout à fait raison, puis je pense que c'est effectivement une
préoccupation des assureurs qui sont impliqués dans ce genre d'initiative là.
Il va de soi que toutes les mesures de protection requises vont... prise, vont
avoir une prise, là, dans l'éventualité où les assureurs, là, développent ce
genre de modèle là, là.
Et il faut comprendre aussi que ce n'est
pas nécessairement toute l'information qui va être échangée, là. On parle de
l'information qui permet d'identifier... (Interruption) excusez-moi, des fautes
potentielles. Donc, ça reste un niveau d'information qui est quand même limité,
là.
M. Lévesque (Chapleau) :
Peut-être en terminant, là, sur la notion, justement... d'anonymisation,
pardon, et de dépersonnalisation des données, il y a plusieurs experts qui nous
ont dit qu'il y avait quand même une crainte ou une possibilité, en recoupant
certaines données, de finalement pouvoir retracer ou retrouver qui était... à
qui appartenaient ces données. Est-ce que vous partagez ces craintes? Est-ce
que c'est quelque chose qui vous préoccupe aussi chez les assureurs?
Mme Grignon (Marie-Pierre) :
Bien, c'est effectivement, en fait, difficile de complètement anonymiser ou
dépersonnaliser, certainement. Au niveau technique, c'est ce que nous aussi, on
a compris.
Par ailleurs, je pense que si les autres
règles, au niveau de la protection des renseignements, sont permises... Nous,
en fait, notre préoccupation, comme je l'ai dit tantôt, était beaucoup au
niveau de l'utilisation au niveau de l'actuariat. Parce que, dans certains cas,
si tu anonymises complètement l'information... Par exemple, les adresses vont
être des informations qui vont être pertinentes pour les actuaires, et ces
informations-là, pour être vraiment utiles et complètes, doivent être utilisées
parfois sur une assez longue période de temps.
Donc, si l'information est complètement
anonymisée, elle devient... puis, si c'est bien fait, selon, j'imagine, les
règles de l'art, à ce moment-là, bien, l'information n'est plus utilisable de
façon efficace par les actuaires pour créer des modèles actuariels.
Le Président (M.
Bachand) : Merci beaucoup.
M. Camirand (Alain) :
Peut-être juste pour ajouter là-dessus, si vous permettez...
Le Président (M.
Bachand) : ...céder la parole à la députée de
Notre-Dame-de-Grâce, M. Camirand. Désolé.
M. Camirand (Alain) : ...les
données actuarielles...
Le Président (M.
Bachand) : M. Camirand, je...
• (10 h 30) •
M. Camirand (Alain) :
...d'innover, de développer des nouveaux produits, de faire une planification
adaptée aux besoins des clients. C'est fondamental pour une compagnie
d'assurance d'être capable d'utiliser les données des clients afin d'évaluer...
10 h 30 (version non révisée)
Le Président (M.
Bachand) : ...à Mme la députée de Notre-Dame-de-Grâce,
M. Camirand. Désolé.
M. Camirand (Alain) : Les
données actuarielles...
Le Président (M. Bachand) :
M. Camirand, je...
M. Camirand (Alain) :
...nous permettent d'innover, de développer de nouveaux produits, de faire une
tarification adaptée aux besoins des clients. C'est fondamental pour une
compagnie d'assurance d'être capable d'utiliser les données des clients afin
d'évaluer les tendances, évaluer... produits...
Le Président (M.
Bachand) : Merci, M. Camirand. Je dois malheureusement
vous couper. Je dois vous couper. Mme la députée de Notre-Dame-de-Grâce, s'il
vous plaît. Désolé, M. Camirand. Mme la députée, s'il vous plaît.
Mme Weil
: Oui, si
vous voulez terminer votre phrase, M. Camirand. Est-ce que vous
m'entendez?
M. Camirand (Alain) :
...que l'information, pour les compagnies d'assurance, c'est capital. Et sans information
on ne peut pas innover. Donc, il faut éviter de se mettre dans une situation où
les assureurs ... utiliser les données de leurs clients pour des fins
actuarielles.
Mme Weil
: Alors,
bonjour, Mme Grignon, M. Camirand. Merci d'être là. Vous avez un mémoire
très riche en recommandations, et c'est sûr qu'on n'aura pas le temps de toutes
les revoir.
Mais on va commencer peut-être par
regarder cette notion d'harmonisation. Évidemment, beaucoup d'autres groupes
l'ont proposé aussi. Je vous dirais, beaucoup ont insisté sur une certaine harmonisation
avec la loi fédérale, le RGPD. Et j'ai compris, dans une intervention de
Mme Grignon, que, si on regardait... bien, dans un premier temps, la loi
fédérale, qui a déjà subi des modernisations au cours des dernières années,
qu'on pourrait imaginer, c'est votre prévision, que les provinces vont, de
toute façon, s'ajuster à la loi fédérale. Donc, je ne pense pas que vous nous
demandiez d'aller voir ce qui se passe dans toutes les provinces et de prévoir.
Mais vous dites : S'il y avait une certaine harmonisation avec le gouvernement
fédéral, éventuellement les systèmes vont s'harmoniser.
Pouvez-vous nous
expliquer — c'est un sujet qui revient souvent — comment y
procéder, quel temps ça prendrait? Est-ce que ça va prendre... c'est tout
simplement carrément de s'inspirer de cette loi, sans plus, et d'avoir des mesures...
si vous rentrez dans le détail des mesures qui sont les plus problématiques
pour vous, puis qu'on pourrait les identifier, puis de voir à ajuster notre
libellé. C'est un peu ce que vous nous demandez, mais ce serait limité à un
exercice de ce genre. Est-ce que c'est bien ça?
Mme Grignon (Marie-Pierre) :
Bien... Alain. En fait, oui, s'inspirer de la loi fédérale, certainement, mais,
en même temps, on sait qu'elle sera peut-être également modifiée et
probablement pour se... au nouveau principe plus international... on parle
beaucoup du RGPD. Donc, c'est pour ça qu'on y réfère également beaucoup dans
notre mémoire parce qu'éventuellement on pense que ça sera cette approche-là
qui sera adoptée, peut-être par l'ensemble des pays, mais, en tout cas, du moins,
on va parler du Canada, donc par le fédéral et les autres provinces
canadiennes. On pense que cette approche-là doit être favorisée parce qu'en
fait elle change un peu l'approche qui, avant, était davantage basée sur le
consentement pour responsabiliser davantage les entreprises...
Mme Grignon (Marie-Pierre) :
...va parler du Canada, donc, par le fédéral et les autres provinces canadiennes.
On pense que cette approche-là doit être favorisée parce qu'en fait elle change
un peu l'approche qui, avant, était davantage basée sur le consentement pour
responsabiliser davantage des entreprises, donc faire en sorte que les
entreprises, lorsqu'elles vont recueillir des données aient intérêt légitime,
collectent des renseignements qui soient nécessaires à leurs activités,
également que les entreprises soient transparentes. Donc, ce sont des principes
importants qu'on retrouve dans le RGPD.
Et en plus on met des mécanismes en place
pour que ça soit respecté. On parle de — vous excuserez les
anglicismes — mais de «privacy by design», «privacy by default». Ça
fait en sorte qu'en fait qu'on change l'approche. Ce n'est plus autant au
consommateur de gérer toutes ces informations-là, à prendre peut-être autant de
décisions au niveau... en donnant une multitude de consentements qui, souvent,
lorsqu'il sera comme assailli de données, bien, les décisions qu'il va prendre
ne seront peut-être plus aussi pertinentes.
Donc, je pense que c'est plus dans ce
sens-là où il faut un peu s'inspirer de cette nouvelle approche là qui fait en
sorte que, oui, le consommateur a certains consentements à donner, mais lorsque
c'est vraiment utile. D'ailleurs, au niveau de l'Europe, les consentements à la
base ne sont pas requis, et c'est seulement dans certaines circonstances qu'ils
le seront. On peut penser au fait que, lorsque c'est pour la préparation ou
l'exécution d'un contrat, le consentement n'est pas requis à la base ou encore
en prévention de la fraude comme je le disais tantôt.
Ça fait que je pense que c'est plus dans
ce sens-là où il faut s'assurer que la législation québécoise respecte ces
grands principes là. Sans que ça soit un copier-coller, certainement qu'il faut
considérer nos réalités, les réalités qui sont propres au Québec. Mais quand on
parle d'harmonisation, c'est dans ce sens-là.
Mme Weil
: Oui.
Merci. Est-ce que vous pouvez donner un exemple? Vous dites que le projet de
loi est trop spécifique dans les cas qui sont visés et devrait s'orienter sur
des grands principes. Pouvez-vous donner des exemples de ça? C'est un... Et je
pense que la loi fédérale va plus dans le sens de grands principes, c'est un
peu ce que vous dites, mais que, bon, les genres de torts que ça peut produire,
vous causer, quand on va sur le très spécifique.
Mme Grignon (Marie-Pierre) :
Bien, en fait, ce qu'on dit, c'est que lorsque la loi est trop... elle n'est
pas basée sur des principes puis qu'elle est trop spécifique, ça ne permet pas
à chaque entreprise de l'adapter en fonction de sa taille, de ses normes de
gouvernance, etc. Donc... Puis aussi, je pense que si la loi est basée sur des
principes ça va lui permettre de passer le temps, d'une part, de traverser les
époques, et ça peut faire en sorte que, justement, surtout dans une loi comme
celle-là qui s'applique à l'ensemble des entreprises du Québec et qui ne tient
pas compte des particularités sectorielles, bien, quand c'est basé sur les
principes, ça permet davantage aux entreprises d'adapter, en fait, la loi pour
qu'ultimement les résultats soient atteints, les obligations soient respectées,
mais en utilisant des moyens qui peuvent être différents...
Mme Grignon (Marie-Pierre) :
…qui s'applique à l'ensemble des entreprises du Québec et qui ne tient pas
compte des particularités sectorielles, bien, quand… (panne de son) …sur les
principes, ça permet davantage aux entreprises d'adapter, en fait, la loi pour
qu'ultimement les résultats soient atteints, que les obligations soient
respectées, mais en utilisant des moyens qui peuvent être différents. Et si on
regarde au niveau… Allez-y.
Mme Weil
: J'allais
vous dire, bien, peut-être si vous pourriez préciser des grands principes que
vous voyez, par exemple, qui seraient notamment, j'imagine, dans la loi
fédérale.
Mme Grignon (Marie-Pierre) :
Oui. Bien, si on regarde des exemples, en fait, où il y a plus de flexibilité
au niveau du RGPD, on peut penser en ce qui concerne la fonction de
responsable, par exemple, on va permettre la mutualisation de la fonction, ce
qui n'est pas prévu présentement dans la p.l. n° 64. On va prévoir
également la possibilité de déléguer la fonction à l'extérieur de
l'organisation pour différentes raisons, si c'est des petites entreprises ou
pour d'autres motifs. On peut penser aussi à l'évaluation des facteurs de
risques. Dans le projet de loi n° 64, on dit que tous les projets doivent
être… sont visés, en fait, par ces telles évaluations là. On pense que ce n'est
pas nécessaire et qu'on devrait regarder ce qui se fait au niveau européen et
prévoir un seuil de matérialité ou d'autres critères comme ceux-là. Ça permet
de moduler les… de moduler, en fait, les exigences en fonction des besoins
réels.
Mme Weil
: Maintenant,
vous faites…
Mme Grignon (Marie-Pierre) :
Je peux vous donner d'autres exemples, là, je peux penser au transfert à
l'extérieur de la province, par exemple, où le projet de loi propose seulement
un modèle. On pense qu'il y a différentes façons qui peuvent être utilisées
pour s'assurer de la protection des renseignements personnels, par
l'utilisation d'obligations prévues dans un contrat, par exemple, donc faire en
sorte que la personne à qui on va envoyer de l'information à l'extérieur de la
province soit quand même obligée de respecter les règles qui s'appliquent au
Québec.
Mme Weil
: Donc,
beaucoup…
Mme Grignon (Marie-Pierre) :
Donc, c'est toutes des choses qui sont… qui, selon nous, offrent plus de
flexibilité.
Mme Weil
: Donc, dans
vos recommandations… parce que je pense que vos recommandations font écho à ces
grandes orientations que vous mentionnez, donc la mutualisation, en fait, ça,
c'est… est-ce que c'est une pratique actuellement dans l'industrie pour… dans
le domaine de protection des renseignements personnels ou ce serait… c'est
quelque chose à développer?
Mme Grignon (Marie-Pierre) :
Je pense que ça existe déjà, mais je vais laisser peut-être Alain répondre
là-dessus au niveau des organisations si, pratiquement, c'est ce qu'on voit, la
mutualisation de la fonction, mais je ne suis pas certaine que c'est permis,
alors ça serait quelque chose d'utile, mais…
M. Camirand (Alain) : Oui, en
fait, dans les grands groupes financiers, on trouve plusieurs différentes
entités juridiques, et donc, évidemment, pour ces entreprises juridiques là, la
plupart des fonctions centrales sont centralisées, de sorte que, mettons, il y
a un ombudsman pour l'ensemble des compagnies qui sont membres d'un même groupe
financier. Pour les fins de la Loi sur la protection des renseignements
personnels, on aimerait ça avoir la possibilité d'avoir une personne responsable
pour l'ensemble du groupe...
M. Camirand (Alain) : ...la
plupart des fonctions centrales sont centralisées, de sorte que, mettons, il y
a un ombudsman pour l'ensemble des compagnies qui sont membres d'un même groupe
financier. Pour les... de la Loi sur la protection des renseignements
personnels, on aimerait ça avoir la possibilité d'avoir une personne
responsable pour l'ensemble du groupe... au lieu d'avoir aucun pour chacune des
entités juridiques, ce qui n'est pas vraiment efficace et ce n'est pas vraiment
dans l'intérêt des clients. Donc, c'est une façon pour la mutualisation telle
qu'on l'explique dans notre prochain mémoire, c'est une façon pour nous d'avoir
une meilleure efficacité organisationnelle qui va aller jusqu'à bénéficier au
client.
• (10 h 40) •
Mme Weil
: Donc, c'est
votre recommandation 3.1, c'est bien ça? Donc, quand vous dites de... vous
recommandez de préciser que c'est la personne ayant la plus haute autorité au Québec
qui est responsable d'office, c'est la personne au Québec, une personne pour
l'entreprise ou un groupe d'entreprises, si vous... on permet la mutualisation,
ce serait une personne, dans un cas comme ça, au Québec?
M. Camirand (Alain) : Oui, ce
serait une personne imputable, mais avec la possibilité de déléguer les
fonctions à une équipe, parce qu'un des enjeux aussi du projet de loi, c'est
qu'on permet la délégation à une seule autre personne et, pour nous, c'est
important, là, que plusieurs personnes soient en mesure... les obligations
prévues dans la loi afin de s'assurer, là, que les requêtes et demandes des
clients soient gérées de façon efficace et dans l'intérêt des clients.
Mme Weil
: Donc, cette
notion de flexibilité, vous y revenez dans d'autres recommandations. Quand le
projet de loi est trop prescriptif vis-à-vis le responsable de la protection,
vous dites qu'il faut être plus flexible et adopter des modèles, comme vous le
dites, avec plus de flexibilité dans la gouvernance. Donc, cette question de
gouvernance, de flexibilité, elle est un peu partout dans votre projet de loi,
je vous dirais, dans les recommandations que vous faites.
Donc, l'approche est à... À quelque part,
l'approche est à revoir, mais sans détruire, selon... Je vous pose la question
parce que vous avez beaucoup, beaucoup de recommandations. C'est des
recommandations, selon vous, qui ne viennent pas miner les objectifs de la loi
et l'urgence, je dirais, d'agir.
Juste la question de l'harmonisation avec
le gouvernement fédéral, le temps presse. Tout ce qui passe par des ententes ou
une conversation avec le gouvernement fédéral, si je comprends bien, ce n'est
pas nécessairement de passer par là mais de s'en inspirer, à quelque part, dans
les domaines les plus importants que vous mentionnez.
Parce que je... Comme législateurs, on
sent, et je pense que vous le comprenez, on sent que ce projet de loi vient,
évidemment...
Mme Weil
: ...par là,
mais de s'en inspirer, à quelque part, dans les domaines les plus importants
que vous mentionnez.
Parce que je... comme législateur, on
sent, et je pense que vous le comprenez... on sent que ce projet de loi vient évidemment
couvrir ou réparer des brèches. On sait que c'est un exercice bien compliqué.
Donc, si vous nous dites «inspirez-vous de la loi fédérale», je pense que
vous donnez quand même des bonnes indications, dans votre projet de loi, sur le
comment on pourrait s'en inspirer. Selon vous, est-ce que votre projet de loi...
ou ça prendrait plus que ça? Dans vos recommandations, on viendrait se
rapprocher du projet de loi fédéral. D'après ce que je comprends, et d'après ce
que connais, c'est cette approche...
Mme Grignon (Marie-Pierre) :
Bien, écoutez, c'est certain... Notre position, c'est qu'au niveau fédéral, étant
donné que les entreprises font affaire dans différentes provinces c'est important
d'avoir l'harmonisation au niveau fédéral. Je pense qu'on est quand même à un
moment, par contre, où il faut avoir une certaine vision, puis s'inspirer également
de la loi européenne, puisqu'on pense que c'est là où va s'en aller également,
fort possiblement, le fédéral, éventuellement.
Puis on réfère au fédéral parce
qu'effectivement il y a des bonnes choses là-dedans. Comme vous l'avez dit, ils
ont révisé à quelques reprises récemment, probablement en tenant compte de
cette nouvelle approche là. Si on pense, par exemple, au consentement, bien,
c'est moins prescriptif quant à... ça doit être implicite, explicite, tout ça.
On y va selon les circonstances, on donne plus de latitude aux entreprises, puis
je pense que ça, ça va dans le sens de la loi européenne.
On voit déjà un changement d'approche, là,
quant à la question du consentement. On fait attention, on ne veut pas obliger
les entreprises à obtenir tel type ou tel type de consentement dans telle ou
telle circonstance. Oui, les renseignements sont... lorsque les renseignements
sont sensibles, on comprend que c'est important d'y porter une attention plus
particulière. Mais il y a quand même un changement d'approche, puis qui a déjà
été... Je pense que le fédéral a déjà emboîté le pas un petit peu à ce
niveau-là, puis c'est pour ça qu'on réfère à certaines dispositions au fédéral.
Puis, si on regarde... Vous avez référé
également à la... aux fonctions de responsable. Bien, on comprend que le responsable
doit être imputable. Le «par ailleurs», certaines parties de la loi, puis on le
précise dans le mémoire, là, laissent entendre que c'est le responsable
lui-même qui doit exécuter certaines tâches. Tout simplement, on vous dit qu'il
faut tenir compte de la structure de chaque entreprise, de tout ça, comment
c'est fait, puis faire en sorte qu'éventuellement l'ensemble des tâches du
responsable puissent être déléguées, là, aussi, ou sous-déléguées.
Mme Weil
: J'aimerais,
si j'ai le temps...
Le Président (M.
Bachand) : Rapidement.
Mme Weil
: Les dommages
et intérêts, donc, vous faites deux points, dans votre mémoire, que vous n'avez
pas dits verbalement. Vous avez dit, tout simplement, vous inspirer de ce qui
se fait dans d'autres lois comparables, comme la loi...
Mme Grignon (Marie-Pierre) :
Excusez... n'entends pas très bien lorsque vous parlez, Me Weil.
Mme Weil
: Ah! Est-ce
que vous m'entendez mieux? Oui? J'aimerais vous amener sur la...
Mme Grignon (Marie-Pierre) :
Ça coupe.
Mme Weil
: Oui? Vous
m'entendez? Non?
Mme Grignon (Marie-Pierre) :
Oui, allez-y.
Mme Weil
: Oui, la
section sur les dommages...
Mme Weil
: ...que
vous n'avez pas dits verbalement. Vous avez dit tout simplement vous inspirer
de ce qui se fait dans d'autres lois comparables, comme la loi...
Mme Grignon (Marie-Pierre) :
Excusez... n'entend pas très bien lorsque vous parlez, Me Weil.
Mme Weil
: Ah! Est-ce
que vous m'entendez mieux? Oui? J'aimerais vous amener sur la...
Mme Grignon (Marie-Pierre) :
Ça coupe.
Mme Weil
: Oui?
Vous m'entendez? Non?
Mme Grignon (Marie-Pierre) :
Oui, O.K. Oui, allez-y.
Mme Weil
: Oui, la
section sur les dommages et intérêts, parce que vous soulevez des points
différents de ce que vous avez dit ici, en commission. Vous avez parlé de
s'inspirer d'autres lois semblables, mais ici vous parlez du Code civil, déjà,
qui prévoit, en vertu des principes de responsabilité civile, une responsabilité,
donc, quand un préjudice est causé. Et vous parlez aussi de l'article 49
de la Charte des droits et libertés de la personne.
Est-ce que vous pourriez donc, peut-être,
aller de... peut-être, en une minute, expliquer un peu les deux arguments que
vous présentez ici?
Le Président (M.
Bachand) : Donc, rapidement, Me Grignon, s'il vous plaît.
Merci.
Mme Grignon (Marie-Pierre) :
Oui. En fait, ce qu'on dit simplement, c'est qu'en vertu des règles du Code
civil, il y a déjà des droits d'action, on peut déjà poursuivre en responsabilité,
et on ne pense pas nécessaire d'en... comme on dit, d'en rajouter dans ce projet
de loi là. Il y a déjà des sanctions administratives, des sanctions pénales qui
sont prévues. On pense que c'est suffisant puis que le cadre législatif au
Québec, là, permettra de toute façon aux consommateurs d'avoir ces recours-là.
Mme Weil
: Merci
beaucoup.
Le Président (M.
Bachand) : Merci beaucoup, Me Grignon, M. Camirand. Merci
de votre collaboration pour les travaux de cette commission.
Je suspends les travaux jusqu'à après les
affaires courantes. Merci beaucoup.
(Suspension de la séance à 10 h 47)
15 h 30 (version non révisée)
(Reprise à 15 h 35)
Le Président (M.
Bachand) : Bon après-midi. À l'ordre, s'il vous plaît! La Commission
des institutions reprend ses travaux. La commission est réunie afin de
poursuivre les auditions publiques dans le cadre des consultations
particulières sur le projet de loi n° 64, Loi modernisant
des dispositions législatives en matière de protection des renseignements personnels.
Cet après-midi, nous allons recevoir
trois groupes. Donc, les gens d'Option Consommateurs, la Pre Céline
Castets-Renard, de l'Université d'Ottawa, mais nous allons d'abord débuter par
les représentants de la Commission de l'éthique en science et en technologie.
Alors, je vous invite à… M. Maclure et M. Cliche, bienvenue.
M. Maclure est au téléphone. Alors, M. Maclure, je vous laisse la
parole, s'il vous plaît.
M. Maclure (Jocelyn) : Merci
beaucoup, M. le Président. Merci et désolé des pépins techniques qui font en
sorte que je ne peux pas me joindre à vous en vidéoconférence. C'est un plaisir
pour nous et un honneur de participer à cette discussion importante pour
l'avenir de notre démocratie.
Donc, je suis Jocelyn Maclure,
professeur de philosophie à l'Université Laval et président de la Commission de
l'éthique en science et en technologie du Québec. Je suis accompagné de Dominic
Cliche, qui est conseiller en éthique à cette même commission. La commission de
l'éthique travaille sur plusieurs dossiers qui sont en lien avec les nouvelles
technologies de l'information et de la communication, en intelligence
artificielle, les données massives…
M. Maclure (Jocelyn) : ...de
la Commission de l'éthique en science et en technologie du Québec. Je suis
accompagné de Dominic Cliche, qui est conseiller en éthique à cette même commission.
La commission de l'éthique travaille sur plusieurs dossiers qui sont en lien
avec les nouvelles technologies de l'information et de la communication, en intelligence
artificielle, les données massives. Et, depuis qu'on a publié en 2018 un avis
sur les enjeux éthiques de la ville intelligente, la question de la protection
de la vie privée est au coeur de plusieurs des dossiers sur lesquels on
travaille aujourd'hui. Et c'est justement Dominic, là, qui s'occupe de
plusieurs de ces dossiers.
On tient, à la commission, à saluer
l'initiative du gouvernement eu égard à cette volonté de moderniser les lois
sur la protection des renseignements personnels et de la vie privée, et surtout
d'avoir une approche qui est ambitieuse en la matière, hein, c'est un de nos
messages les plus importants. Je pense que l'horizon devant nous, là, à moyen
terme pour l'ensemble des sociétés démocratiques, c'est d'élaborer des cadres
normatifs à la fois beaucoup plus clairs et beaucoup plus exigeants envers ceux
qui utilisent les données personnelles. Et que ceux... Bon, je pense que c'est tout
à fait une bonne idée que de vouloir être à l'avant-plan de cette rénovation
des lois de protection de la vie privée.
Si c'est important de protéger la vie
privée et si c'est devenu un droit fondamental, c'est que c'est fondé, hein,
dans des valeurs éthiques absolument fondamentales, hein, dont le droit à
l'autonomie. On ne peut pas être autonome si on n'exerce pas un certain
contrôle sur les renseignements qui nous concernent, hein, que l'on souhaite
partager ou que l'on ne souhaite pas partager, que l'on souhaite garder comme
étant confidentiels. Le respect de la vie privée, c'est nécessaire à l'autonomie,
mais aussi à la protection de l'intégrité de la personne, à la protection de sa
vie privée, hein, parce que, bon, aujourd'hui, avec les nouvelles technologies,
en particulier les systèmes d'intelligence artificielle, on peut avoir accès à
des pans très importants de notre intimité en valorisant, en utilisant les
données, en particulier les renseignements personnels, hein? Par exemple, un
système d'intelligence artificielle, aujourd'hui, peut produire des
prédictions, hein, avec un taux de succès élevé, hein, sur, par exemple, hein,
les opinions politiques d'une personne ou même, hein, dans certains cas, sur
son orientation sexuelle, ou un exemple célèbre montrait qu'un algorithme,
hein, pouvait déduire, hein, qu'une femme était enceinte, hein, en croisant
certaines des données la concernant, et c'est non seulement des données vite
personnelles.
Donc, c'est crucial de rénover ces lois.
La commission salue, entre autres choses, le renforcement des pouvoirs de la Commission
d'accès à l'information qui est prévu dans le projet de loi n° 64. On
salue aussi l'élaboration de normes plus claires qui concernent la
communication des finalités présidant à la collecte et à l'utilisation des
renseignements personnels. On salue aussi le fait qu'il y ait une meilleure définition
de ce qui constitue un renseignement de nature sensible, hein, dans le projet
de loi, et…
M. Maclure (Jocelyn) :
...dans le projet de loi n° 64. On salue aussi l'élaboration de normes
plus claires qui concernent la communication des finalités présidant à la
collecte et à l'utilisation des renseignements personnels. On salue aussi le
fait qu'il y ait une meilleure définition de ce qui constitue un renseignement
de nature sensible, hein, dans le projet de loi, et, en matière de gouvernance,
le fait de prévoir la formation de comités d'accès à l'information et à la
protection des renseignements personnels et obliger la production d'évaluations
des facteurs relatifs à la vie privée. Tout ça nous apparaît comme des pistes
judicieuses pour permettre une gestion responsable des données. Quelques
remarques rapides, on va déposer un document à la commission, dans les
prochains jours, mais quelques remarques rapides, bon, une évaluation éthique
de nouvelles technologies et aussi d'un nouveau cadre législatif, hein, exigent
de comparer les bénéfices, hein, qui peuvent être engendrés dans ce cas-ci par
une plus grande valorisation, un plus grand accès à des données personnelles et
de les comparer aux risques qui sont inhérents à ce plus grand accès aux
données personnelles et des risques sur le plan de la protection de la vie
privée.
• (15 h 40) •
De façon générale, on pense que c'est une
bonne orientation que de prévoir des régimes juridiques différents pour les
organismes publics et les organismes privés, les entreprises, et étant donné,
hein, les finalités différentes de ces organismes, et de prévoir un cadre
juridique, là, qui pourrait permettre à des organismes publics, hein, de mieux
utiliser les données pour offrir des meilleurs services ou élaborer des
meilleures politiques publiques. Hein, si le cadre réglementaire est clair et
les protections suffisantes, ça peut être une excellente idée.
Et je pense qu'il faut prendre au sérieux,
hein, la proposition qu'on a entendue plus tôt dans les travaux de la
commission voulant, par exemple, hein, qu'il serait peut-être judicieux de
prévoir un cadre juridique distinct même pour le monde de la recherche
scientifique pour favoriser la recherche scientifique en se basant, par
exemple, hein, sur l'encadrement offert par les comités d'éthique de la
recherche, en impliquant évidemment aussi la Commission d'accès à
l'information.
Et on pourrait peut-être, hein, comme on
est encore en mode de faire différentes expériences, hein, comment bien gérer
l'accès à ces données une fois qu'on aurait permis, hein, à des organismes
publics d'avoir un plus grand accès à des données, après quelques années, on
pourrait voir, donc, quelles sont les leçons à tirer et voir s'il faut faire
évoluer aussi la Loi concernant la protection des renseignements personnels
dans le secteur privé.
Un mot aussi sur la question de la norme
éthique de consentement dont il a été beaucoup question jusqu'ici dans les
travaux de la commission. Bon, la Commission d'éthique en science et technologie
souhaite tout simplement appuyer, donc, les intervenants qui ont avancé l'idée
que la norme de consentement ne pouvait plus, aujourd'hui, être la pierre
angulaire de nos régimes, hein, de protection de la vie privée, l'idée étant
que, bon, dans...
M. Maclure (Jocelyn) :
...technologie soit tout simplement appuyée, donc les intervenants qui ont
avancé l'idée que la norme de consentement ne pouvait plus aujourd'hui être la
pierre angulaire de nos régimes, hein, de protection de la vie privée. L'idée
étant que... bon, dans plusieurs cas, il faut effectivement demander
l'autorisation, hein, avant d'utiliser des données personnelles et obtenir le consentement,
mais que ce consentement ne peut pas être vu comme une condition suffisante,
hein, pour un usage légitime des données personnelles. Et même dans un cas où
des entreprises, hein, auraient la clairvoyance de simplifier grandement leur
formulaire de consentement, même si on a des formulaires de consentement clairs
et concis, simplement obtenir le consentement ne peut par toujours être
suffisant pour assurer, donc, un usage des données personnelles qui respectent
la vie privée.
Je pense qu'il faut d'abord et avant tout,
hein, que la loi prévoie ce que les organismes peuvent faire et ne peuvent pas
faire avec les données et les renseignements personnels, même après l'obtention
d'un consentement. Étant donné, hein, la complexité des enjeux, il faut que la
loi soit claire sur ce qui est possible de faire et ce qui n'est pas possible
de faire... ce qui ne devrait pas être possible de faire. Puis on souligne,
hein, le bien-fondé de l'article 100 du projet de loi n° 64,
hein, qui cherche à réaliser une approche, hein, qu'on appelle souvent «the
privacy by design», hein, donc cette idée de protéger la vie privée dès la
conception des technologies, étant donné, hein, qu'on suggère, hein, que les
options qui favorisent la protection de la vie privée, hein, soient celles qui
soient choisies, hein, par défaut avant même toute forme de consentement des
individus. On pourra en parler tout à l'heure, on se questionne, hein, de la
complexité de l'article 100 avec l'article 99. On pourra y revenir
dans la discussion si vous le souhaitez.
Un dernier point dans les dernières
minutes qu'il me reste, c'est pour souligner qu'il y a possiblement un angle
mort dans le projet de loi n° 64, hein, malgré toutes
ses vertus. Le projet de loi concerne vraiment les renseignements personnels,
on veut vraiment rendre les protections beaucoup plus robustes, là, pour les
renseignements personnels, mais la définition, la conception de ce qu'est un
renseignement est peut-être un peu étroite et l'angle mort consiste à... réside
dans le fait qu'il est maintenant possible, hein, de... sur la base, par
exemple, des données qui ne sont pas considérées comme étant des données
personnelles. Hein, par exemple, des données qui auraient été anonymisées, il est
tout à fait possible, grâce aux outils d'intelligence artificielle,
aujourd'hui, en recoupant des données, d'inférer, hein, des informations sur
des personnes et des informations qui peuvent être tout à fait sensibles, hein?
Tout à l'heure, je parlais par exemple de l'opinion politique d'une personne,
ou il peut être tout à fait possible aussi de réidentifier une personne sur la
base de données qui ont été entièrement anonymisées au...
M. Maclure (Jocelyn) :
...d'inférer, hein, des informations sur des personnes, et des informations qui
peuvent être tout à fait sensibles, hein? Tout à l'heure, je parlais par
exemple de l'opinion politique d'une personne, ou il peut être tout à fait
possible aussi de réidentifier une personne sur la base de données qui ont été
entièrement anonymisées au départ, hein? Le croisement de plusieurs données,
même anonymisées, permet dans la plupart des cas de réidentifier une personne,
hein? Donc, il y a au moins... donc, c'est ce qu'on appelle le statut des
données dites inférées, hein, c'est-à-dire qu'on infère des informations sur
les personnes sur la base de données qui ne sont pas toujours des données
personnelles et donc qui peuvent échapper à cette... à ces lois. Et donc, ça,
c'est un angle mort, me semble-t-il, important, hein, étant donné les
possibilités des nouvelles technologies, et je pense que, soit dans ce projet
de loi là ou dans un complément, il faudrait se pencher aussi sur comment
gérer, donc, l'accès à ces... ou la production de ces données qui peuvent devenir
des données personnelles même sur la base de données qui n'étaient pas
personnelles au départ. Je vous remercie.
Le Président (M.
Bachand) : Merci beaucoup, M. Maclure. M. le ministre, s'il
vous plaît.
M. Jolin-Barrette : Oui.
Merci, M. le Président. Bonjour, M. Maclure, M. Cliche, merci de participer aux
travaux de la commission parlementaire pour le projet de loi n° 64.
Bien, écoutez, revenons, là, sur l'angle mort du projet de loi que vous
abordez, là, il y a quelques instants, là. Vous dites, bon : Cet angle
mort là... Il faudrait voir peut-être dans le projet de loi n° 64
ou par la suite une façon d'éviter que des données dépersonnalisées... bien,
anonymisées puissent être croisées pour faire en sorte finalement qu'on puisse
réidentifier la personne par des outils technologiques. Notamment, vous faisiez
référence à l'intelligence artificielle. Alors, qu'est-ce que vous nous
proposez concrètement pour éviter cette situation-là, considérant le fait que
dans certaines situations, la donnée pourrait être disponible, mais d'une façon
anonymisée? Vous nous dites : Attention, il ne faut pas faire ça, parce
que ça pourrait faire en sorte que, par des outils technologiques, on puisse
réidentifier la personne. C'est ça?
M. Maclure (Jocelyn) : Oui,
tout à fait, et je vais laisser Dominic, qui est notre grand spécialiste, là,
compléter. Mais je pense que, comme dans le cas des renseignements personnels,
je pense qu'il faut réfléchir à qu'est-ce qu'il devrait être possible de faire
aux organismes, là, qui exploitent les données sur le plan du croisement de
données, même non personnelles, quelles sortes d'inférences, hein, ils peuvent
légitimement faire et utiliser et quelles sont les inférences qui ne devraient
pas être possibles, qui ne devraient pas pouvoir être faites en croisant
différentes données. Parce qu'entre autres, hein, on peut même réidentifier les
personnes et rendre caduque d'une certaine façon la protection offerte par les
lois sur la protection des renseignements personnels. Donc, ce serait de
réfléchir à : Est-ce qu'on est capable d'identifier, hein, des types de
connaissance ou de savoir qui peuvent être légitimement produits en croisant
les données de ceux qui ne devraient pas pouvoir l'être?
Dominic, je ne sais pas si tu veux ajouter
quelque chose.
M. Cliche (Dominic) : Brièvement,
en fait, si on veut aller très...
M. Maclure (Jocelyn) : …de
réfléchir à est-ce qu'on est capables d'identifier, hein, des types de
connaissances ou de savoirs, qui peuvent être légitimement produits en… de ceux
qui ne devraient pas pouvoir l'être. Dominic, je ne sais pas si tu veux ajouter
quelque chose?
M. Cliche (Dominic) :
Brièvement, en fait, si on veut aller très concrètement, premièrement, une des
provisions, par exemple, dans le règlement européen sur la protection des
données est d'intégrer de manière explicite à même la loi une évaluation du
risque de réidentification qui vient avec certains jeux de données dans des
évaluations des facteurs relatifs à la vie privée, ce qui impliquerait, cela
dit, d'intégrer cette obligation-là de faire une telle évaluation aussi pour
d'autres jeux de données qui ceux qui ne sont que des données… des
renseignements personnels.
De manière plus générale, l'idée derrière…
c'est de passer d'un régime qui met l'accent sur la nature du renseignement, un
peu comme c'est le cas du projet de loi qui est devant nous, donc, vraiment,
qui cible des renseignements personnels pour s'intéresser davantage à un régime
qui encadre les usages et les effets des données de manière plus générale.
Là, évidemment, ça… il y a tout un débat
entre juristes à avoir sur l'impact exact en termes de dispositions où, là,
nous ne sommes pas, nous, en mesure de pouvoir le faire maintenant, mais c'est…
dans les idées, là, c'est une des options qui est sur la table. Et sinon, autre
point… Je vais conclure là-dessus et je reviendrai au besoin.
• (15 h 50) •
M. Jolin-Barrette : Mais à la
lumière, là, dans le fond, là, des nouvelles technologies, de l'intelligence
artificielle, de l'importance de la donnée dans la recherche, là, comment est-ce
qu'on fait pour s'assurer de concilier les deux, que, supposons, les données qui
sont utilisées en matière d'intelligence artificielle ou en matière de
recherche, on puisse s'assurer de protéger les renseignements personnels des
individus?
Parce qu'un des objectifs, un, c'est qu'il
n'y ait pas de fuite de données, que les renseignements soient sécurisés, que
les entreprises ou les groupes de recherche, bien, puissent quand même faire
leurs recherches avec le consentement des citoyens québécois, mais sans que
leurs données personnelles soient diffusées ou qu'on puisse même les identifier.
Parce que c'est sûr, moi, si je dis : Je consens à vous donner mes données
ou à partager mes données, mais il ne faut pas que je puisse être identifié,
puis que par la bande, on réussit à m'identifier à cause des outils
technologiques, l'objectif n'est pas atteint. Alors, comment est-ce qu'on fait
pour mettre un cadre clair là-dessus, là?
M. Maclure (Jocelyn) : Bien,
je pense que le principe fondamental, là, si vous me permettez, est celui de
distinguer les types d'organismes en fonction de leur finalité et,
possiblement, de faire… de donner une plus grande marge de manoeuvre à des
organismes, hein, dont la mission première est de servir l'intérêt collectif,
hein? Et c'est clairement le cas, donc, en ce qui concerne, bon, la recherche
scientifique, hein, collectivement, on valorise la recherche scientifique, on
veut favoriser la recherche. Ça peut mener à plusieurs bénéfices collectifs et
ça me semble une bonne sphère, là, pour tester, justement, comment… quel genre
d'accès plus grand, plus large, on peut permettre…
M. Maclure (Jocelyn) : ...bon,
la recherche scientifique, hein? Collectivement, on favorise la recherche
scientifique, on veut favoriser la recherche. Ça peut mener à plusieurs
bénéfices collectifs. Et ça me semble une bonne sphère, là, pour tester
justement comment... quel genre d'accès plus grand, plus large on peut
permettre aux chercheurs, sous contrôle, évidemment, des normes en éthique de
la recherche et, comme mon collègue Déziel l'a dit, possiblement en demandant à
la Commission d'accès à l'information, hein, d'avoir une approche spéciale pour
la recherche. Et, bon, les chercheurs, hein, leur n'est pas de commercialiser
les données et pas de toujours mieux comprendre les utilisateurs, hein, pour
leur offrir ensuite des différents produits commerciaux. Le but des chercheurs
n'est pas de vendre non plus, hein, les données. Donc, il me semble qu'on peut
distinguer, hein, ce type d'utilisation, là, pour la recherche ou pour d'autres
finalités d'intérêt public.
Et, de l'autre côté, bon, avoir un cadre
différent pour les entreprises privées et apprendre, hein, du cadre, par
exemple, pour la recherche scientifique ou d'autres organismes publics et, dans
quelques années, faire le point et dire : Bon, voici ce qu'on devrait
pouvoir offrir à des entreprises privées et voici les contraintes, hein, qui
s'adressent et qui devraient s'adresser spécifiquement aux acteurs privés.
M. Jolin-Barrette : Qu'est-ce
qu'on fait dans le cas où... Vous savez, la recherche parfois sert aussi... il
y a des débouchés commerciaux, il y a des partenariats aussi. Vous dites :
Bon, il faut regarder la fidélité pour l'encadrement. Les normes, là, qu'on va
développer autour, là, supposons des différents intervenants, là, que ça soit
au niveau des chercheurs, que ça soit de la recherche versus ceux qui offrent
purement dans les entreprises commerciales, comment est-ce qu'on fait pour
départager le tout? Parce que parfois c'est difficile, rentrer dans des cases
bien précises, là, pour dire : Bien, moi, je fais uniquement de la
recherche pure. Mais souvent cette recherche-là, l'utilisation des données
pourrait avoir des implications commerciales aussi. Alors, comment est-ce qu'on
fait pour s'assurer de vraiment départager le tout, là, au niveau de la
gouvernance, au niveau de l'éthique rattachée à cela?
M. Maclure (Jocelyn) : Oui,
c'est une très bonne question. Dominic, tu pourras compléter si tu veux. Bon,
on n'a pas fait un examen, là, récemment. Mais je pense qu'il faut en
l'occurrence s'assurer que les normes qui existent déjà pour encadrer les
partenariats aux relations entre le milieu de la recherche et l'industrie, que
ces normes, hein, soient respectées, là, de façon intégrale. Parce que c'est
déjà bien normé, hein, le rapport entre la recherche et l'industrie. Et, bon,
un examen qu'on pourrait faire, là, c'est à la lumière, encore là, des
possibilités offertes par l'intelligence artificielle et l'accès à des données
massives. Est-ce que, bon, il y a lieu de revoir, hein, l'encadrement des liens
entre l'université et l'industrie? Mais, bon, une recherche scientifique, hein,
doit être fondée sur l'idée de la liberté...
M. Maclure (Jocelyn) : …un
examen qu'on pourrait faire, là, c'est à la lumière, encore là, des possibilités
offertes par l'intelligence artificielle et l'accès à des données massives.
Est-ce que, bon, il y a lieu de revoir un encadrement des liens entre l'université
et l'industrie? Mais, bon, une recherche scientifique, hein, doit être fondée
sur l'idée de la liberté académique, doit être… son évaluation doit être basée entièrement
sur des critères scientifiques, hein, et non pas sur la rentabilité ou le
potentiel commercial, ainsi de suite. Et si ses normes sont appliquées… et
ensuite, hein, il y a l'utilisation transfert technologique vers l'industrie,
ça peut être éthiquement acceptable, mais il faut s'assurer que les normes qui
encadrent ces rapports soient respectées, là, de façon scrupuleuse.
M. Jolin-Barrette : Parfait.
Je vous remercie.
Le Président (M.
Bachand) : Merci. M. le député de Chapleau, s'il vous plaît.
M. Lévesque (Chapleau) : Oui, merci,
M. le Président. Merci beaucoup, là, de vos témoignages. Donc, peut-être une
petite question, j'aimerais peut-être revenir, bon, parler des risques liés aux
données, là, anonymisées ou dépersonnalisées en quelque sorte. Vous avez parlé
de la notion de renseignements personnels, c'est revenu chez plusieurs
intervenants, là, cette fameuse définition, la définition notamment, là, du
volet européen, mais également ici, dans le projet de loi.
Avez-vous une idée… avez-vous une
définition que vous mettriez de l'avant ou est-ce qu'elle est conforme, ou
est-ce que c'est un enjeu, là, pour vous? C'est certain, il fallait que ce soit
plus large justement pour inclure davantage, peut-être en lien justement avec
la notion d'anonymisées.
M. Maclure (Jocelyn) : Oui,
Dominic, tu pourras compléter, mais, bon, le problème présentement, c'est que renseignements
personnels, c'est un renseignement qui permet, hein, en ce qui concerne une
personne physique, qui permet de l'identifier. Or, avec l'intelligence
artificielle, ce n'est pas un renseignement, un seul renseignement non
personnel n'en permet pas d'identifier une personne, mais en agrégeant et en
croisant des renseignements qui avaient été dépersonnalisés, on peut arriver à
réidentifier ensuite.
Donc, je ne sais pas, ce n'est peut-être
pas, d'un point de vue conceptuel, la définition de renseignements personnels
qui pose problème, mais les nouvelles possibilités offertes par l'IA qui
permet, en croisant de nombreuses données, de remonter, au fond, à la source de
la donnée. Dominic.
M. Cliche (Dominic) : Oui,
c'est ça, si je peux me permettre là-dessus, peut-être que l'écueil n'est pas nécessairement
comme M. Maclure le soulevait dans la définition même du renseignement
personnel, mais un peu, en fait, dans la dichotomie qu'on établit, de manière
très forte, entre renseignements personnels et les autres renseignements. Et ce
qu'on peut imaginer ultimement, c'est de penser à un régime qui est un peu plus
différencié, hein? On parlait tantôt des résultats d'inférence, est-ce qu'on
veut soumettre les inférences complètement au régime des renseignements
personnels, à un régime qui est aussi restrictif ou qui a exactement les mêmes dispositions,
ou est-ce qu'on doit plutôt penser différents niveaux dans le degré de sensibilité
des renseignements personnels ou non?
Et je pense que justement un des écueils
là-dessus, du projet de loi, est de définir à la fois la notion d'incident de
confidentialité, de préjudice, ainsi que de sensibilité des renseignements
uniquement en référence aux renseignements personnels. Et là on comprend
évidemment que c'est dans le cadre d'un projet de loi sur la protection des
renseignements personnels, mais dans une visée…
M. Cliche (Dominic) : ...ou
non, et je pense que justement un des écueils, là-dessus, du projet de loi, est
de définir à la fois la notion d'incident de confidentialité et de préjudice
ainsi que de sensibilité des renseignements uniquement en référence aux renseignements
personnels. Et là on comprend évidemment que c'est dans le cadre d'un projet de
loi sur la protection des renseignements personnels, mais dans une visée plus
large de protection de la vie privée, on pourrait penser ces catégories-là... par
exemple, justement de sensibilité, il y avait aussi les notions de profilage, par
exemple, qui était lié strictement aux renseignements personnels dans le cadre
du projet de loi, et penser de manière plus large dans différentes catégories
de renseignements qui ont différents niveaux de sensibilité et de
susceptibilité de porter atteinte à des droits et libertés des individus. Et
ça, c'est une piste qui peut être explorée, qui demande néanmoins réflexion supplémentaire,
là, tu sais, qui est peut-être un deuxième pas, si on veut, dans la refonte de
notre encadrement lié à la protection de la vie privée.
M. Lévesque (Chapleau) : Mais
allons-y, justement, c'est fort intéressant, vu qu'on a le projet de loi devant
nous puis qu'on en discute, là, justement, la notion d'inférence, c'est
techniquement, même voire, conceptuellement, c'est assez... vous connaissez
mieux ça que moi, mais est-ce que c'est facile à identifier, est-ce que
c'est... avec l'algorithme, avec la technologie, on pourrait tout de suite le
cibler puis dire : Bon, bien là, il y a eu une inférence, donc on la
protège? Peut-être que vous pouvez m'éclairer, là, avec ce concept-là.
M. Maclure (Jocelyn) : Oui.
Une donnée inférée, c'est une donnée qui n'existait pas avant qu'on arrive à
l'inférer en croisant d'autres données qui, elles, existaient, hein, et qui
pouvaient être, encore là, soit anonymisées ou même des données parfois non personnelles,
hein, c'est-à-dire un historique d'achat, par exemple, hein, ou des traces
laissées sur des moteurs de recherche, ou des interactions sur les réseaux
sociaux. Il ne s'agit pas dans tous les cas de données personnelles, mais en
croisant plusieurs données de la sorte, on peut arriver à produire des
nouvelles données sur la personne. Et donc il y a vraiment une production d'un
savoir, là, sur les personnes, et donc ça, on ne les connaît pas avant, hein,
d'avoir fait le travail par l'algorithme. Mais une façon d'encadrer ça,
c'est de dire, bien, il y a des savoirs que vous ne devrez pas pouvoir produire
sur les personnes, parce que ça, ce sont des données qui sont très sensibles,
là, il y a préjudice, hein, le risque de préjudice est grand. Et, bon, on
s'entend, je pense, à la commission, pour dire qu'il faudrait pousser plus loin
cette réflexion-là, là, sur comment on l'encadre, mais c'est le nouveau type de
savoir sur les personnes qui est produit en croisant des données qui pose
problème, là.
M. Lévesque (Chapleau) :
Merci. Merci de cet éclairage-là. Maintenant, peut-être une question sur le consentement.
Vous semblez privilégier, évidemment, là, de demander souvent, là, le
consentement, là au citoyen. Mais il y a certains groupes qui sont venus nous
dire que le consentement n'est pas la finalité ou n'est pas, justement, là,
l'objectif à atteindre, parce que, bon, souvent, on se retrouve en situation,
là, sur Internet, des pages qui nous offrent de longs cookies ou de longs
textes de consentement qui souvent ne sont pas lus puis qui n'ont pas vraiment
de lien avec le consentement qui est donné par le citoyen ou, du moins... qui
n'a pas une compréhension la plus complète. Voyez-vous un enjeu là, dans cette
situation-là, quant au consentement?
• (16 heures) •
M. Maclure (Jocelyn) : Tout à
fait. Et notre...
16 h (version non révisée)
M. Lévesque (Chapleau) :
...textes de consentement qui souvent ne sont pas lus puis qui n'ont pas vraiment
de lien avec le consentement qui est donné par le citoyen ou, du moins, qu'il
n'a pas une compréhension la plus complète. Voyez-vous un enjeu là, dans cette situation-là,
quant au consentement?
M. Maclure (Jocelyn) : Tout à
fait. Et notre message ici est d'appuyer ceux qui relativisent l'importance du
consentement, non pas pour dire qu'on peut, dans tous les cas, ignorer, hein,
ne pas poser la question aux personnes : Est-ce qu'on peut utiliser vos
données ou pas?, mais ça ne peut pas être la pierre angulaire, d'un point de
vue éthique, là, de notre système d'encadrement de l'utilisation des données.
Donc, je l'ai souvent dit dans le passé,
le consentement est souvent une condition nécessaire à un usage légitime des
données mais rarement une condition suffisante, et ces conditions suffisantes,
c'est de prévoir dans la loi ce qui peut être fait et ne pas fait avec... ce
qui ne peut pas être fait avec les données, peu importe, même si on a obtenu un
consentement au préalable. C'est tout simplement trop complexe pour les
personnes, hein, de savoir exactement ce à quoi ils consentent, et, souvent, le
coût de ne pas consentir, par exemple, est important, si bien qu'il n'y a pas véritablement
de liberté de choix.
Donc, on appuie entièrement cette idée que
le consentement, donc, fait partie de l'équation mais ne joue pas un rôle
central, là, sur le plan des valeurs éthiques.
M. Lévesque (Chapleau) : D'accord.
Merci beaucoup. Vous avez parlé tout à l'heure, là, d'un autre cadre juridique
pour ce qui était de la recherche. J'avais trouvé ça intéressant, là. Peut-être
vous êtes-vous penché également sur la question, là, sur... On a eu la
discussion par rapport aux partis politiques. Je ne sais pas si vous avez
réfléchi à ça, là. Est-ce qu'il y a également matière à ce que ça soit un peu
différent, un peu en lien avec la recherche? Je lance la question comme ça, là,
pour... Si vous n'avez pas réfléchi, ce n'est pas plus grave, là.
M. Maclure (Jocelyn) : Oui.
Non, bien, si j'intervenais à titre de philosophe politique, ça me ferait
plaisir de me prononcer sur la question, mais, comme président de la Commission
de l'éthique en science et technologie, ça ne concerne pas notre mandat. C'est
que ce n'est pas une question qui est... donc, aux nouvelles technologies. Je
pense que mon propos sur les organismes publics et privés, tout ça, pourrait
être... avec certaines modulations, donc, s'appliquer aux partis politiques,
mais ça dépasse mon rôle en tant que président de la Commission de l'éthique en
science et technologie.
M. Lévesque (Chapleau) : Nous
aurions dû vous inviter sous vos deux chapeaux alors, mais pas de souci, là. Je
comprends tout à fait. D'accord. Bien, merci, merci.
Le Président (M.
Bachand) : Merci beaucoup, M. le député. Merci beaucoup. M. le
député de LaFontaine, pour 13 min 36 s.
M. Tanguay
: Merci
beaucoup, M. le Président. Alors, bonjour, M. Maclure et M. Cliche.
Merci de participer à nos débats. C'est réellement très intéressant. Je veux
m'assurer, durant la période de 13 minutes qui nous est allouée, de
l'opposition officielle, de laisser du temps également à ma collègue de
Notre-Dame-de-Grâce qui aura des questions.
L'organisme, MM. Maclure et Cliche,
que vous représentez, donc, la Commission de l'éthique en science et en
technologie, je regarde, les membres possèdent une expertise en éthique et
proviennent de milieux de recherche universitaires et industriels dans les
domaines de sciences sociales et humaines, des sciences naturelles et du génie
et des...
M. Tanguay
: ...M.
McClure et Cliche, que vous représentez, donc la Commission de l'éthique en
sciences et en technologie, je regarde... les membres possèdent une expertise
en éthique et proviennent de milieux de recherche universitaire et industrielle
dans les domaines de sciences sociales et humaines, des sciences naturelles, et
du génie, et des sciences biomédicales, du milieu de l'éthique des milieux de
pratique et de la société civile.
Maintenant, est-ce que votre expertise est
essentiellement ou majoritairement du côté des organismes publics ou vous avez
également une expertise de la vie sur le terrain du côté des organismes privés,
des entreprises?
M. Maclure (Jocelyn) : Oui,
merci de la question. Donc, notre mandat, hein, le premier mandat, c'est de
conseiller le ministre responsable... le ministre de l'Économie et de
l'Innovation et, par extension, de conseiller les autres organismes, hein, du
gouvernement du Québec. Et dans nos 13 membres, effectivement, bon, on a
plusieurs membres, hein qui viennent des différents milieux de la recherche ou
du journalisme scientifique, mais on a habituellement aussi un membre ou deux
qui ont un lien....
Bon, pour revenir à notre discussion de
tout à l'heure, un pied, donc, dans l'industrie, un pied dans la recherche
scientifique. Donc, on a des échos aussi, là, des besoins, par exemple, de
l'industrie sur le plan de la recherche et de l'encadrement de la recherche,
mais ce n'est pas la dominante, là, dans la composition de notre équipe.
Une autre partie de notre mandat, ceci
dit, c'est de susciter la réflexion éthique, bon, dans la société civile et
d'autres... bon, des citoyens en général et d'autres groupes dans la société.
M. Tanguay
: Merci.
Est-ce que... donc, axons-nous du côté public. Est-ce que, dans les organismes
publics, à la lumière de vos travaux, de votre réflexion, j'ai un réflexe, puis
on le voit un peu peut-être à cause de la pandémie, là, au Québec, on a de la
misère à générer de la donnée. Puis je ne vise pas personne, là, je ne fais pas
de la politique avec ça, on a de la misère à gérer de la donnée au Québec.
Est-ce qu'on n'a pas... puis vous allez
voir la pertinence, je pense, je prétends, de la question avec le projet de loi
n° 64, parce qu'au-delà de ce qui est inscrit dans une loi, on veut que,
dans les faits, on puisse l'appliquer de façon tangible puis atteindre les
objectifs. Mais si je fais un pas en arrière, est-ce que, même avec les
obligations légales que l'on a aujourd'hui dans la loi actuelle, pas amendée,
est-ce que les systèmes informatiques, les systèmes par lesquels, ou avec
lesquels, on gère tous les renseignements personnels, est-ce qu'ils sont
suffisamment performants?
Par exemple, est-ce qu'ils sont
suffisamment adaptés à se parler entre eux pour qu'on ait les moyens de nos
ambitions, ou on ne vient pas en rajouter une couche ici, avec le projet de loi
n° 64, puis ça ne donnerait rien, si d'aventure, on n'avait pas des
systèmes plus performants pour atteindre nos objectifs. Parce que l'un des
objectifs clairement identifiés avec le nouveau projet de loi, ce serait
d'avoir un responsable de l'accès puis un responsable de la protection. Mais
pour avoir, dans une ancienne vie, travaillé dans une entreprise privée,
c'était...
M. Tanguay
: …avec le projet
de loi n° 64, puis ça ne donnerait rien si d'aventure on n'avait pas des
systèmes plus performants pour atteindre nos objectifs. Parce que l'un des
objectifs clairement identifiés avec le nouveau projet de loi, ce serait
d'avoir un responsable de l'accès puis un responsable de la protection. Mais
pour avoir, dans une ancienne vie, travaillé dans une entreprise privée,
c'était tout un défi, l'accès et la protection, parce qu'au départ c'étaient des
systèmes qui n'étaient pas adaptés à nos ambitions d'accès et de protection.
J'aimerais savoir votre réflexion là-dessus.
M. Maclure (Jocelyn) : Je
vais laisser Dominic compléter, mais, bon, probablement que, bon, vous savez
que c'est dans les cartons, là, du gouvernement et de l'administration publique
en général, hein, de mobiliser davantage, hein, l'expertise québécoise en
intelligence artificielle pour intégrer, hein, des outils, des algorithmes
d'intelligence artificielle dans l'administration publique pour mieux
valoriser, hein, les nombreuses données, les grands jeux de données auxquels
l'État et différents organismes ont accès.
Et, bon, je pense que c'est tout à fait
normal de vouloir miser sur cette expertise québécoise, mais je pense que ça va
avec… de pair avec, là… comme conditions d'acceptabilité, avec un renforcement
de nos lois, y compris dans le secteur public, là, pour que les citoyens aient
confiance, hein, tant dans les organismes publics que dans les organismes
privés. Il faut qu'ils aient la conviction, hein, qu'un cadre clair et
rigoureux est mis en place sur le plan de la protection des données
personnelles, et je pense que, comme je disais tout à l'heure, hein, comme
l'État a la mission, hein, d'oeuvrer en faveur du bien commun, ça me semble
tout à fait fécond que d'aller de l'avant dans des projets pour mieux utiliser
nos données, pour mieux concevoir nos politiques, pour mieux offrir des
services aux citoyens, mais ça prend absolument un cadre réglementaire clair.
Et, bon, les lois étaient plus adaptées, hein, parce qu'elles ont été conçues
avant ce genre d'innovations technologiques. Donc, je pense que les deux vont
ensemble. Ça va être des défis importants d'un point de vue organisationnel,
mais je pense qu'un plus grand accès aux données via des technologies exige
l'évolution de notre cadre normatif.
M. Tanguay
: Peut-être
juste, M. Maclure, si vous me permettez, juste avant de céder la parole à
M. Cliche, mon point, de façon plus tangible, est le suivant, il y a une
loi qui est modifiée par le projet de loi, Loi concernant le cadre juridique
des technologies de l'information. Ça, c'est une loi, je me rappelle à
l'époque, 2001, 2002, 2003, dans ces eaux-là. Il y a des lois qui sont bien
rédigées sur une base théorique, mais qu'on pourrait prendre, puis c'est moi
qui le dis, là, le législateur, puis on pourrait les encadrer parce que sur le
terrain… ils n'ont aucune application. Pourquoi? Parce qu'on ne peut pas les
appliquer. Desjardins, ce qui est arrivé, c'est qu'ils sont tombés en bas de
leur chaise parce qu'ils se sont rendu compte, notamment, qu'il y avait
quelqu'un qui avait accès à autant d'information, et ce n'était pas su, ce
n'était pas connu et ce n'était pas même justifié en amont.
Donc, au-delà du cadre théorique, moi, ma
préoccupation, puis j'aimerais vous entendre là-dessus, vous, chercheurs sur le
terrain, les systèmes nous permettent-ils d'avoir les moyens de nos ambitions
ou il n'y aurait pas lieu là d'avoir un chantier? Parce que…
M. Tanguay
: ...et ce
n'était pas su, ce n'était pas connu, et ce n'était pas même justifié en amont.
Donc, au-delà du cadre théorique, moi, ma
préoccupation, puis j'aimerais vous entendre là-dessus, vous, chercheurs sur le
terrain, les systèmes nous permettent-ils d'avoir les moyens de nos ambitions
ou il n'y aurait pas lieu là d'avoir un chantier? Parce que l'on sait, puis
vous en êtes témoin, là, il y a des systèmes, il y en a des milliers et des
milliers aux organismes publics, puis ils ne se parlent pas entre eux, puis, si
vous êtes responsables de ça, de l'accès et de la protection, je pense que vous
n'atteindrez pas votre cible. Puis la loi, elle aura beau être écrite de la
plus belle façon, mais socialement on n'atteindra pas notre cible.
• (16 h 10) •
M. Maclure (Jocelyn) :
Dominic.
M. Cliche (Dominic) :
Écoutez, c'est sûr que ce que vous dites, je pense, effectivement, est assez
juste, là. On ne peut pas imaginer un projet de loi comme ça et surtout qui
vient derrière... Je pense que le projet de loi s'intègre de manière plus
générale, de ma compréhension, dans une volonté qui a été nommée, la
transformation numérique de l'administration publique, donc au moins
partiellement. Le projet de loi vient appuyer cette volonté-là du gouvernement.
Et, dans cette optique-là, il y a évidemment des défis à différents niveaux qui
se posent.
Et puis, cela dit, au-delà des questions
d'éthique, je pense que... auxquelles nous, on pourrait répondre, je pense que
c'est davantage quelque chose que nos collègues au Conseil du trésor, là, qui
travaillent sur l'architecture d'entreprise gouvernementale pourraient
détailler davantage.
M. Tanguay
:
O.K. Merci.
Le Président (M.
Bachand) : Merci beaucoup, M. le député de LaFontaine. Mme la
députée de Notre-Dame-de-Grâce.
Mme Weil
: Oui, alors,
bonjour, M. Maclure et M. Cliche. Écoutez, vous nous amenez vers des
enjeux qu'on n'a pas jusqu'à présent regardés, donc parce que vous allez
vraiment sur la question d'éthique. D'ailleurs, j'ai une question pour
vous : Les données inférées — parce que je pense que vous êtes
les premiers peut-être à en parler — comment est-ce qu'on peut se
protéger contre ces données inférées? Parce qu'on ne sait pas comment ces
données ont été créées. Et comment est-ce qu'on peut soit les supprimer ou les
rectifier comme on parle généralement de données personnelles?
C'est une question technique que je vous
pose, parce qu'on le voit quand même dans nos vies personnelles, surtout avec
les photos, nos enfants qui partagent des photos, les choses qu'ils font avec
des photos, puis là soudainement on se rend compte qu'on nous reconnaît, on
reconnaît soi-même et ses enfants, puis on a pris ces photos ensemble, et
ensuite on vous offre quelque chose. En tout cas, tous ces éléments résonnent
un peu dans nos vies personnelles. Et donc est-ce qu'on est rendus là, de
pouvoir même pouvoir en traiter dans un projet de loi? C'est-à-dire comment
est-ce qu'on se protège ou, premièrement, modifie... Comment est-ce qu'on peut
savoir que ces données existent? C'est une question éthique aussi.
M. Maclure (Jocelyn) : Tout à
fait. Dominic, veux-tu débuter?
M. Cliche (Dominic) : Oui,
bien, écoutez, c'est sûr qu'un des points qu'on peut soulever ici, c'est
qu'encore une fois je pense que ça peut démontrer des limites d'une approche qui
se base uniquement sur le consentement individuel parce qu'effectivement, comme
vous le soulignez, ça échappe un peu à l'entendement, tout ce qu'on peut
générer...
M. Maclure (Jocelyn) :
... tout à fait. Dominic, veux-tu débuter?
M. Cliche (Dominic) :
Oui. Écoutez, c'est sûr qu'un des points qu'on peut soulever ici, c'est qu'encore
une fois, je pense, ça peut démontrer des limites d'une approche qui se base uniquement
sur le consentement individuel parce qu'effectivement, comme vous le soulignez,
ça échappe un peu à l'entendement, tout ce qu'on peut générer nous-mêmes par
nos activités en ligne, volontairement ou involontairement, mais aussi ce qui
peut être généré à partir de ces activités-là, à partir des données qui sont
produites. Et évidemment, si on se mettait à devoir évaluer individuellement
l'ensemble des conséquences de nos activités en ligne, je pense qu'on passerait
l'essentiel de notre journée à le faire plutôt qu'à faire les activités
elles-mêmes.
Donc, un des enjeux ici, c'est probablement
d'avoir justement un régime qui... oblige à identifier, hein, qu'est-ce qui est
inféré à partir des données et qui oblige les organisations... et là je pense
un peu tout haut encore une fois, c'est des pistes, mais qui oblige les
organisations à avoir un cadre, qu'il soit prédéfini au moins dans ses grandes
lignes par l'État, sinon, au moins qu'il existe un tel cadre sur comment...
quelles sont les données utilisées, quelles sont les types d'inférence qui sont
faites à partir de ces données-là et que ces inférences-là soient soumises à
des balises qui sont prédéterminées selon, justement, l'intérêt public, par
exemple, le bénéfice manifeste de la personne, certains éléments, donc, des
principes qui sont présents, bien mentionnés dans le projet de loi n° 64,
mais qui pourraient s'étendre justement à d'autres types de renseignements que
les renseignements personnels dans le cadre de régimes intermédiaires, si on
veut, là, de protection des renseignements.
Mme Weil
:
J'aimerais revenir, si j'ai du temps, sur la distinction que vous faites entre
régime public et privé avec, comment dire, à la base cette notion que, si c'est
public, évidemment, le bien public, c'est l'objectif de l'organisme, donc de
traiter différemment peut-être tout ce qui concerne les données collectées,
recueillies dans le secteur privé. Ça, c'est comme une prémisse de base que
vous avez qui conditionne un peu les mesures que vous taillez pour l'un ou
l'autre. Reconnaissez-vous que ça peut-être carrément, dans le secteur privé,
si on pense au secteur pharmaceutique, des innovations en matière de santé pour
aider des personnes handicapées, etc.? Il y a tellement de recherches qui se
font, parfois en partenariat public et privé. Est-ce que cette distinction...
J'essaie de comprendre l'importance de cette distinction dans le travail que
nous, on a à faire en regardant le projet de loi et en analysant...
M. Maclure (Jocelyn) :
Oui, c'est une bonne question, mais je pense que... Et l'idée, ce n'est pas du
tout de diaboliser, hein, les entreprises privées. Les entreprises privées
peuvent contribuer au bien commun, mais ils le font, disons, de façon
indirecte, hein, c'est-à-dire en cherchant d'abord à être profitables et en
souhaitant qu'ensuite, hein, il y ait des retombées positives pour l'ensemble,
et ces souvent le cas.
Mais, bon, on est dans une grande phase,
hein, d'expérimentation sur le plan de la gestion des données numériques, hein,
parce qu'on peut faire beaucoup de choses avec ces données...
M. Maclure (Jocelyn) : …en
cherchant d'abord à être profitable et en souhaitant qu'ensuite, hein, il y ait
des retombées positives, là, pour l'ensemble, et c'est souvent le cas. Mais,
bon, on est dans une grande phase, hein, d'expérimentation sur le plan de la
gestion des données libérées, hein, parce qu'on peut faire beaucoup de choses
avec ces données, et c'est devenu une ressource, hein, économique extrêmement importante.
Et il faut faire des expériences, des tests, là, pour voir comment on peut
donner un plus grand accès, à quelles conditions on peut outrepasser la norme
de consentement, dont on parlait tout à l'heure, hein, pour, par exemple, hein,
des fins qui n'auraient pas été identifiées au départ.
Bien, ça me semble beaucoup plus sage de
le faire dans le contexte, hein, d'organisme public ou la recherche en
particulier, au départ, parce que la recherche, hein, la quête, hein, de
nouvelles connaissances scientifiques contribuent au bien commun de façon très,
très directe, alors que, par exemple, hein, lorsqu'il est question d'entreprise
pharmaceutique privée, bien, ce n'est pas nécessairement, par exemple, les
médicaments qui pourraient améliorer la qualité de vie, hein, de petits… de
groupes, des personnes qui ont des maladies rares, hein, parce que, comme ils
sont peu nombreux, ce n'est pas nécessairement rentable. Souvent, on a souvent
besoin de la recherche universitaire, hein, pour faire des découvertes en la
matière.
Donc, c'est vrai que les entreprises
contribuent à l'intérêt collectif d'une certaine façon, mais de façon plus
indirecte, et je pense que là où on en est présentement, il serait plus sage de
faire des expériences, hein, du côté d'organisme public.
Le Président (M.
Bachand) : Merci, M. Maclure. M. le député de Gouin, s'il vous
plaît.
M. Nadeau-Dubois : Merci, M.
le Président. Bonjour, messieurs. J'ai peu de temps, mais j'ai quelques
questions pour vous. D'abord, sur la question du consentement, vous nous avez
bien dit, et c'est intéressant, qu'il fallait aller au-delà du consentement,
mais néanmoins, et j'y reviendrais dans ma deuxième question, mais sur le
consentement lui-même, plusieurs représentations nous ont été faites sur cette
question-là, certains nous disent : Il faut un consentement assez
scrupuleux où on demande à chaque fois qu'il y a collecte de données, à chaque
fois qu'il y a collecte pour une finalité spécifique, on devrait demander à
nouveau un consentement. D'autres nous ont dit : Il faut faire des
consentements par bloc, des consentements plus généraux.
Sur la question spécifique de la manière,
dont il faut demander le consentement aux citoyens, aux citoyennes, quelle est
votre position?
M. Maclure (Jocelyn) : O.K. Brièvement,
puis je laisse Dominic compléter, lorsqu'il est question de la recherche, hein,
je pense que c'est là où on peut explorer l'idée de ne pas toujours redemander
le consentement lorsque la finalité est toujours, hein, de faire avancer la
science. Lorsqu'il est question d'usages, hein, commerciaux et privés, je pense
que c'est préférable de demander aux entreprises de demander le consentement et
de simplifier, hein, le processus pour donner le consentement, mais ça ne
demeure pas une condition suffisante, là, pour l'usage des données par des
joueurs privés. Dominic.
M. Cliche (Dominic) : Oui, rapidement,
je ne veux pas trop vous prendre du temps là-dessus, je pense qu'effectivement
l'idée… en fait, l'idée, c'est, comme M. Maclure le mentionnait, de donner quand
même aux citoyens le plus grand pouvoir sur ces données personnelles, et ça, le
projet de loi va dans le sens de ce principe-là, avec des demandes de consentement…
M. Cliche (Dominic) : ...oui.
Rapidement, je ne veux pas trop vous prendre de temps là-dessus. Je pense
qu'effectivement, l'idée... en fait, l'idée c'est de, comme M. Maclure le
mentionnait, de donner quand même au citoyen le plus grand pouvoir, là, sur ses
données personnelles. Et ça, le projet de loi va dans ce sens, le sens de ce
principe-là avec des demandes de consentement spécifiques express pour des
renseignements de nature sensible. Cela dit, il demeure un écueil là-dedans,
donc au-delà du principe, plus on multiplie, dans le fond, les consentements
que... les formules de consentement qui peuvent être demandées, plus on court
le risque que ce soit, d'une certaine manière, banalisé et qu'on passe outre,
hein? Donc, juste d'expérience, il faudrait vérifier si le fait d'accentuer,
d'augmenter le nombre de fois où on demande le consentement n'a pas l'effet
pervers de faire en sorte que les gens cliquent «oui» sans même lire. C'est
déjà pas mal le cas dans plusieurs domaines, là, sur Internet.
M. Nadeau-Dubois : Merci.
Merci. Si on va maintenant au-delà — il me reste moins d'une
minute — si on va au-delà de la question du consentement. Vous
dites : Il faut régir également l'utilisation des données
post-consentement, si vous me permettez l'expression. Quel type d'utilisation
faudrait-il encadrer dans le projet de loi n° 64?
M. Maclure (Jocelyn) :
Dominic, veux-tu y aller?
Le Président (M.
Bachand) : Rapidement, M. Cliche, s'il vous plaît.
M. Cliche (Dominic) : Oui. Écoutez,
je n'ai pas d'exemple très spécifique, là, à vous donner, malheureusement,
là-dessus. L'idée est vraiment, dans le principe, de dire : Il y a des
choses auxquelles on peut considérer qu'il n'est pas louable de consentir, là.
En fait, lorsque je veux... lorsque je réponds oui à... ce que je veux dans la
protection des données, ce n'est pas tant de pouvoir régir l'ensemble des
utilisations, c'est d'emblée c'est de ne pas me faire avoir. Donc, l'idée,
c'est, si on est en mesure d'avoir un encadrement supplémentaire, ne serait-ce
que minimal, pour régler certains des usages qui peuvent être problématiques en
amont, on vient de sauver quand même déjà plusieurs risques. Cela dit, il y a
un travail de définition là-dessus, là, je vous l'accorde tout à fait.
Le Président (M.
Bachand) : Sur ce, M. Maclure, M. Cliche, merci
beaucoup d'avoir participé aux travaux de la commission.
Je suspends les travaux quelques instants.
Merci.
(Suspension de la séance à 16 h 20)
(Reprise à 16 h 23)
Le Président (M.
Bachand) :À l'ordre, s'il vous plaît! La commission
reprend ses travaux. Il nous fait plaisir d'accueillir Mme la Pre
Castets-Renard, professeure titulaire à l'Université Toulouse Capitole et à
l'Université d'Ottawa en droit numérique. Alors, professeure, merci beaucoup
d'être encore une fois à la Commission des institutions. Il me fait grand
plaisir de vous recevoir de nouveau. Alors, comme vous connaissez les règles,
10 minutes de présentation et, après ça, nous aurons un échange avec les membres
de la commission. Donc, la parole est à vous, professeure. Merci beaucoup.
Mme Castets-Renard (Céline) :
Merci beaucoup, M. le Président. M. le ministre, Mmes, MM. les députés, il me
fait très plaisir de revenir vous parler, et c'est un très grand honneur pour
moi d'être à nouveau parmi vous. Mon nom est Céline Castets-Renard, je suis
professeure à l'Université d'Ottawa, à la Faculté de droit civil, et je suis
titulaire d'une chaire de recherche sur l'intelligence artificielle,
responsable à l'échelle mondiale.
Et donc, aujourd'hui, il s'agit d'évoquer
le projet de loi n° 64 sur la réforme de la protection
des renseignements personnels, et je voudrais attirer votre attention sur deux
enjeux globaux, deux grands enjeux que le projet de loi évoque et dont il
s'agit évidemment de prendre en considération... et qu'il s'agit de prendre en
considération.
Tout d'abord, l'enjeu de modernisation de
la législation, puisqu'il s'agit de réformer, donc, de réviser, de tenir compte
des évolutions technologiques, et en particulier de l'évolution numérique et
de...
Mme Castets-Renard (Céline) :
...et dont il s'agit évidemment de prendre en considération... et qu'il s'agit
de prendre en considération.
Tout d'abord, l'enjeu de modernisation de
la législation, puisqu'il s'agit de réformer, donc de réviser et de tenir
compte des évolutions technologiques, et en particulier de l'évolution
numérique et de l'intelligence artificielle, donc, ça, c'est un premier enjeu
que je voudrais évoquer avec vous.
Le deuxième enjeu concerne le renforcement
de la protection. Dans un contexte de marchandisation des données, il apparaît
effectivement nécessaire de renforcer cette protection, mais avec un enjeu
quand même de tenir compte d'une certaine souplesse et adaptation au marché québécois.
Donc, le premier enjeu concerne la
révision, la réforme de la loi... des lois de renseignements personnels sur le
secteur public et le secteur privé, avec un certain nombre de points forts par
rapport à la prise en compte des technologies, des points forts par rapport au
fait de considérer les technologies d'identification, de profilage et de
géolocalisation par le fait, en particulier, de reconnaître un droit à
l'information ou encore un droit de désactiver ces technologies. Un autre point
fort aussi concerne les mesures relatives à la prise de décision automatisée,
et avec également une obligation d'information... un droit d'information pour
les personnes concernées et un droit à explication individuelle. Je trouve que
ces dispositions sont particulièrement intéressantes.
Je voudrais plutôt m'arrêter sur des
dispositions qui me paraissent peut-être un peu plus fragiles, et notamment la
définition des données sensibles. Effectivement, la catégorie des données
sensibles rentre dans le projet de loi n° 64, mais la
définition qui est donnée me paraît un petit peu floue et un petit peu fragile,
puisqu'il s'agit de données... de considérer les données sensibles comme étant
des renseignements personnels, qui, par leur nature ou le contexte de leur
utilisation, font courir un certain nombre de risques, et donc pour lesquels il
pourrait y avoir un haut degré d'attente raisonnable en matière de vie privée.
Alors, il me semble que cette définition est trop large et trop souple par
rapport à la technologie et par rapport en particulier au traitement des
données massives. Au sein de ces données massives, on a des renseignements
personnels et des renseignements que... des données qui ne sont pas des
renseignements personnels, et, à l'intérieur de ces renseignements personnels,
si vous considérez les données sensibles, ça me paraît très difficile de les
distinguer dès lors qu'on ne catégorise pas plus clairement, qu'on ne classifie
pas plus clairement les données sensibles. Donc, là, je pense qu'il risque d'y
avoir un raté, enfin, il risque d'y avoir un problème de respect de la loi par
rapport à ce qu'est la technologie aujourd'hui et par rapport à l'utilisation
des bases de données.
Un autre point à améliorer, me
semble-t-il, concerne les pouvoirs et les missions confiées à la CAI, la
Commission d'accès à l'information, parce qu'effectivement la technologie...
les enjeux technologiques sont extrêmement complexes, extrêmement difficiles et
lourds, et donc il faut que l'autorité de contrôle ait une grande capacité avec
notamment...
Mme Castets-Renard (Céline) :
…les pouvoirs et les missions confiées à la CAI, la Commission d'accès à
l'information, parce qu'effectivement la technologie… les enjeux technologiques
sont extrêmement complexes, extrêmement difficiles et lourds. Et donc, il faut
que l'autorité de contrôle ait une grande capacité avec, notamment, un
personnel qualifié par rapport à ces enjeux technologiques avec, évidemment, un
certain nombre de ressources financières pour pouvoir effectuer des contrôles parce
qu'il ne sert à rien d'avoir une loi avec plus de mordant si l'autorité de
contrôle et si le régulateur n'a pas les moyens de vérifier le respect de cette
loi. Donc, les moyens de contrôle vont avec les moyens donnés à cette loi, et
en particulier les sanctions qui ont été renforcées supposent de pouvoir
vérifier ces sanctions, sinon, la loi risque de ne pas être suffisamment
respectée.
Le deuxième enjeu que je voudrais évoquer
est quelque chose d'un peu plus complexe concernant une certaine balance à avoir
entre le renforcement de la protection et, en particulier, la volonté de viser
les grands acteurs du numérique, hein, les GAFA en particulier, mais aussi de
considérer l'application de la loi par les petites entreprises et aussi par les
organismes publics qui n'ont pas tous énormément de moyens, comme… je pense à
des petites municipalités. Et donc, comme la loi canadienne, tout comme la loi
européenne, est une loi large qui vise le secteur public et le secteur privé et
le RGPD en Europe vise aussi l'ensemble des secteurs d'activité, hein, on vise
la matière civile et commerciale au sens large.
Donc, cette loi omnibus doit être
respectée par tous et s'il y a des mesures dures et avec un certain mordant,
par exemple, en matière de sanctions dans le RGPD et dans la loi québécoise,
dans le RGPD, on a aussi des moyens d'assouplir et de prévoir une certaine
gradation dans l'application de la norme, et je pense en particulier aux
mesures d'accompagnement et aux mesures de gradation qui peuvent être mises en
oeuvre dans l'application de la loi en considérant un certain nombre de
facteurs.
Alors, les mesures d'accompagnement, je
pense en particulier au code de conduite, aux lignes directrices qui sont
élaborées par les autorités de contrôle, hein, de protection des données, les
autorités nationales et le Contrôleur européen à la protection des données, et
en fait, ces lignes directrices vont permettre et vont aider à accompagner les
entreprises à se mettre en conformité avec le RGPD. Le RGPD est extrêmement complexe
et lourd, extrêmement coûteux, aussi, à mettre en oeuvre, et pour essayer de
compenser cette charge, eh bien, il y a eu tout ce processus d'accompagnement
par des normes souples qui viennent compléter le RGPD.
• (16 h 30) •
Également, aussi, il faut voir les
différents facteurs d'application des règles en apparence dures du RGPD, un
certain nombre de facteurs. À plusieurs reprises, le RGPD précise qu'il faut
tenir compte du coût, qu'il faut tenir compte de l'état des connaissances, de
la nature, de la portée, du contexte, des finalités…
16 h 30 (version non révisée)
Mme Castets-Renard (Céline) :
...facteurs d'application des règles en apparence dures du RGPD, un certain
nombre de facteurs. À plusieurs reprises, le RGPD précise qu'il faut tenir
compte du coût, qu'il faut tenir compte de l'état des connaissances, de la
nature, de la portée, du contexte, des finalités du traitement, mais aussi des
risques pour les droits et libertés des personnes. Donc, autrement dit, ce
n'est pas simplement une loi aveugle qui va systématiquement s'appliquer, mais il
faudra aussi tenir compte des contextes et voir, en fait, comment faire
respecter ... en fonction des situations. Donc, il faut une appréciation in
concreto. Et donc, il me semble que dans la loi québécoise on ne retrouve pas
ces modérations, et je pense que ces mesures de souplesse doivent être
considérées.
S'agissant des sanctions, c'est la même
chose, je pense qu'il faut maintenir des sanctions élevées et, bien évidemment,
ce sont des maximums. Et il faut aussi bien prendre en compte le fait que le
Québec ne serait pas le seul territoire d'Amérique du Nord à prévoir des
sanctions élevées puisqu'aux États-Unis aussi on peut voir des sanctions qui
apparaissent également élevées.
Il faudra aussi considérer le consentement
dans une approche plus globale, mais je vais peut-être laisser cet aspect à vos
questions.
Le Président (M.
Bachand) : Merci beaucoup, professeure. M. le ministre, s'il
vous plaît.
M. Jolin-Barrette : Oui, bonjour,
Mme Castets-Renard. Merci de participer aux travaux du projet de loi n° 64
en commission parlementaire.
Bien, reprenons la balle au bond sur la
notion du consentement. Comment doit-on le définir? Depuis le début de la
commission, il y a des gens qui sont... bien, il y a des groupes qui sont venus
nous plaider d'un côté comme de l'autre. Certains nous disent : Bien,
écoutez, vous devriez avoir un consentement qui est explicite à chaque élément,
à chaque donnée ou à chaque renseignement personnel que vous partagez ou même à
chaque fois que vous allez sur une page Web où est-ce que vous laisseriez des
données personnelles. D'autres nous disent : Bon, ça nous prend un
consentement en bloc. D'autres nous disent : Bien, écoutez, il faudrait
qualifier la teneur du renseignement comme tel. Et il y en a d'autres qui nous
disent : Bien, non, écoutez, là, on a besoin de ces renseignements-là, on
va bien les traiter d'une façon corporative. Alors, où la... Bien, en fait, les
bonnes pratiques nous amèneraient à quel endroit? Et, est-ce que le projet de
loi n° 64 répond à ces bonnes pratiques-là, tel que nous l'avons formulé?
Mme Castets-Renard (Céline) :
Alors, c'est une question très difficile, parce que le projet de loi n° 64
se rapproche du RGPD dans sa définition d'un consentement explicite, détaché
de... et donc bien détaché, par exemple, du consentement à un contrat avec un
consentement express à chaque fois. Donc, on a effectivement considéré aussi,
en Europe, que c'était les bons moyens de protéger les personnes concernées. Il
y a eu aussi tout autant des critiques, donc je pense que...
Mme Castets-Renard (Céline) :
...et donc bien détaché, par exemple, du consentement à un contrat, avec un consentement
express à chaque fois. Donc, on a effectivement considéré aussi, en Europe, que
c'était les bons moyens de protéger les personnes concernées. Il y a eu aussi,
tout autant, des critiques. Donc, je pense que c'est un peu difficile de
trancher parce qu'il y a autant de partisans que de queues de critiques. Je pense,
pour ma part, qu'effectivement c'est assez lourd de demander le consentement à
chaque fois, et peut-être que ce n'est pas tout à fait la meilleure façon de
procéder, si on veut, à des dispositions fluides et des modes de fonctionnement
fluides. Parce que, par exemple, on sait très bien que les internautes
consentent en permanence, sans trop regarder et sans trop lire.
Donc, il faut surtout, à mon avis,
considérer l'objectif de ce consentement, qui est d'informer et de protéger. Et
je ne suis pas sûre que consentir en permanence permet véritablement de
protéger les individus. Et ce que je voulais signaler par rapport au règlement
européen, c'est le fait que le consentement n'est pas non plus isolé, et ça,
effectivement, ce n'est pas l'alpha et l'oméga de la protection. Il faut aussi
considérer un certain nombre de droits qui sont accordés aux personnes
concernées, mais aussi des principes directeurs qui viennent encadrer les
obligations des responsables de traitement, comme des principes de finalité, de
minimisation des données.
Et donc il faut peut-être aussi considérer
d'autres moyens pour accompagner ce consentement pour se dire
qu'éventuellement, dans certaines situations on pourra peut-être baisser le
niveau de protection par le consentement, mais on aura d'autres garanties qui
feront que, globalement, le consentement ou, en tout cas, la protection, le
niveau de protection restera élevé. C'est pour ça que j'évoque une... le
consentement dans une approche globale dans mon mémoire.
M. Jolin-Barrette : O.K. Le
fait qu'il y a beaucoup d'éléments, dans le projet de loi n° 64,
qui se rapprochent du règlement européen, vous voyez ça positivement ou
négativement? Parce que certains groupes nous disent : Écoutez, n'oubliez
pas que vous êtes en Amérique du Nord, et donc vous devez tenir compte de
l'environnement nord-américain. Certains nous reprochent d'aller trop loin pour
la protection des renseignements personnels, pour les données.
Même, il y a un certain groupe qui nous a
dit : Surtout, là, surtout, là, ne touchez pas à rien, on veut garder ça
comme ça, attendez que le fédéral agisse, attendez de voir que les autres
juridictions agissent. Dans le fond, il voudrait même que le Québec abdique sa
juridiction. Vous comprendrez que je ne suis tellement en accord avec ce
groupe-là, puis je trouve que c'est une position qui est, ma foi, particulière,
et qui ne démontre pas beaucoup de sensibilité pour l'intérêt public puis
l'intérêt de la protection des données des citoyens. Mais cette organisation-là
fait ce choix-là, par le biais de son représentant.
Mais cela étant, qu'est-ce que vous en
pensez? Est-ce qu'on... C'est une bonne chose de s'inspirer du règlement
européen?
Mme Castets-Renard (Céline) :
Alors, je pense qu'il y a des dispositions intéressantes dans le règlement
européen qui peuvent tout à fait correspondre au contexte québécois. Mais je
pense aussi, et je rejoins le Pr Gautrais... je pense aussi que la protection
des renseignements...
M. Jolin-Barrette : ...mais
cela étant, qu'est-ce que vous en pensez? Est-ce qu'on... C'est une bonne chose
de s'inspirer du règlement européen?
Mme Castets-Renard (Céline) :
Alors, je pense qu'il y a des dispositions intéressantes dans le règlement
européen qui peuvent tout à fait correspondre au contexte québécois. Mais je
pense aussi, et je rejoins le Pr Gautrais, je pense aussi que la protection des
renseignements personnels ou de la vie privée en général, c'est une question de
culture. Donc, il faut quand même considérer la situation du Québec et les objectifs
du Québec. Je crois que c'est surtout ça, à partir de quels objectifs quelles
règles de droit seraient pertinentes.
Et le Canada, en fait, et le Québec dans
le Canada, est un peu entre la législation... il y a des dispositions et des
aspects du système légal de la protection de la vie privée qui ressemblent au
droit américain, et d'autres aspects qui ressemblent au droit européen. Donc,
c'est ce que je dis à mes étudiants, souvent, le Canada est un peu un trait
d'union entre les deux.
Mais ce que je voudrais quand même
souligner, c'est que, si le Québec va de l'avant avec cette loi et notamment
prévoit des sanctions élevées, le Québec ne serait pas du tout isolé en Amérique
du Nord à prévoir des sanctions élevées en cas de violation des renseignements
personnels. En droit américain, la FTC, la Federal Trade Commission prévoit des
sanctions élevées en cas de violation. L'année dernière... rapport, YouTube a
été condamnée à 160 millions de dollars américains pour la violation de la
loi COPPA, donc, c'est la loi... Children Online Protection Pivacy Act, qui
protège la vie privée des enfants sur Internet. Également, au niveau étatique, il
y a des sanctions parfois élevées qui sont prononcées. La Californie, par
exemple, mais aussi l'État de New York, plusieurs États n'hésitent pas à
prononcer des sanctions élevées. Et ce sont les avocats généraux des États qui
portent ces actions et qui poussent les juges ou les contrôleurs et régulateurs
à appliquer ces sanctions. Donc, je crois qu'il faut tordre le cou à l'idée que
vous seriez seuls à imposer des sanctions élevées.
M. Jolin-Barrette : Donc, en Amérique
du Nord, il y en a qui imposent des sanctions élevées. Donc, pensez-vous que si
le Québec va de l'avant avec le projet de loi n° 64,
ça va avoir pour effet d'inciter les autres juridictions canadiennes et le gouvernement
fédéral à légiférer aussi dans la direction du projet de loi n° 64?
Mme Castets-Renard (Céline) :
Je pense que ça aura nécessairement une influence et je pense le Québec
pourrait montrer la voie, et ce ne serait pas la première fois. Et, je pense,
c'est tout à fait intéressant que vous mettiez de l'avant... que vous mettiez
en avant les valeurs que vous voulez défendre. Et je pense qu'on peut tout à
fait avoir une législation protectrice des informations et des renseignements
personnels des citoyens tout en considérant aussi l'évolution technologique,
l'innovation et le poids que cela peut représenter pour les entreprises de
mettre en oeuvre une nouvelle réglementation et de se mettre en conformité. Je
pense qu'un équilibre peut se trouver.
M. Jolin-Barrette : Sur la question
de la Commission d'accès à l'information, là, comment vous voyez ça, là, le
rôle qu'on lui donne, les ressources, l'encadrement? Vous parlez même
d'accompagnement pour...
Mme Castets-Renard (Céline) :
...pour les entreprises de mettre en oeuvre une nouvelle réglementation et de
se mettre en conformité. Je pense qu'un équilibre peut se trouver.
M. Jolin-Barrette : Sur la
question de la Commission d'accès à l'information, là, comment vous voyez ça,
là, le rôle qu'on lui donne, les ressources, l'encadrement? Vous parlez même
d'accompagnement pour les PME, les petites, moyennes entreprises. C'est quoi
votre vision, là, par rapport au rôle de la Commission d'accès à l'information?
• (16 h 40) •
Mme Castets-Renard (Céline) :
Je pense qu'aujourd'hui il y a... les autorités de protection et de contrôle
des renseignements personnels et des données personnelles sont en train de se
moderniser un petit peu partout dans le monde. On l'a vu en Europe, par
exemple, à la suite du RGPD. On passe d'un rôle un peu passif et... enfin,
passif, un peu de... ou de contrôle et un peu de méfiance à un rôle
d'accompagnement justement où finalement ce n'est que si une entreprise vous...
une administration n'obtempère pas que des sanctions sont prononcées. Et donc
on essaie d'aider à la mise en conformité.
Ce qui veut dire qu'il faut, par exemple,
publier des outils de mise en conformité, des lignes directrices, des
explications, faire des séminaires, etc. Et, si je prends l'exemple de la
France, la CNIL, la Commission nationale informatique et libertés, s'est
complètement reconstruite, c'est toute une culture d'administration, en fait,
qui a changé. Et je pense qu'aujourd'hui, pour moderniser cette fonction, il
faut aller de l'avant avec cette idée de partager finalement un certain savoir,
et d'aider, et d'accompagner, et d'avoir... tout en ayant aussi des moyens de
contrôle assez forts, et d'avoir un personnel compétent pour comprendre des
algorithmes des systèmes d'information et des systèmes d'intelligence artificielle
parce que les juristes sont un peu démunis par rapport au contrôle de ce type
de système. Donc, je pense aussi qu'il faut renforcer les compétences en
matière technologique.
Le Président (M.
Bachand) : Merci beaucoup, M. le député de Chapleau, s'il vous
plaît.
M. Lévesque (Chapleau) : Oui,
merci, M. le Président. Bonjour, Pre Castets-Renard. C'est un plaisir de
vous retrouver à la Commission des institutions. Nous avions eu l'occasion
justement d'échanger auparavant et nous brûlions d'envie de parler du projet de
loi n° 64. Donc, on a l'occasion aujourd'hui de le faire.
Vous parlez de souplesse et
d'accompagnement, là, pour les petites et moyennes entreprises. J'imagine que
c'est un enjeu qui vous préoccupe. J'aimerais peut-être savoir quel type de
mesure vous entrevoyez, quel genre d'accompagnement, donc juste pour avoir
votre son de cloche par rapport à ça.
Mme Castets-Renard (Céline) :
Je pense qu'il y a deux types d'outils qui sont intéressants dans le règlement
européen, qui ne sont pas forcément à reprendre comme tel, mais en tout cas
c'est des pistes à explorer. L'accompagnement, ça va effectivement avec
peut-être des guides, des lignes directrices ou des outils même, des logiciels
ou des tableurs pour aider les entreprises, par exemple, à savoir comment gérer
des données sensibles par rapport à des données qui ne seraient pas sensibles,
savoir si elles le sont. Par exemple, ça pourrait être tout simplement des
guides avec des questionnaires pour les aider à qualifier et à s'auto,
finalement, contrôler, et à mettre en place des exigences de la loi, ça, c'est
un aspect possible. Et puis...
Mme Castets-Renard (Céline) :
…gérer des données sensibles par rapport à des données qui ne seraient pas
sensibles, savoir si elles le sont, par exemple, ça pourrait être tout
simplement des guides avec des questionnaires pour les aider à qualifier et à
s'auto, finalement, contrôler et à mettre en place les exigences de la loi, ça,
c'est un aspect possible.
Et puis, quand je parle de souplesse, je
pense qu'effectivement il faut laisser la possibilité au régulateur et
éventuellement au juge de savoir si, dans la situation présente, quand il y a
une règle à respecter, est-ce qu'il faut l'appliquer frontalement, on va dire,
en blocs, un peu aveuglement parce qu'on a à faire à un géant de l'Internet et
qu'on sait très bien qu'il collecte massivement des données, et qu'il y a des
données personnelles, et que ces données sont utilisées sans respect, par exemple,
d'un principe de finalité ou d'un principe de nécessité. Est-ce qu'on a à faire
à ce type de géant ou est-ce qu'on a à faire à une petite entreprise qui n'est
pas de mauvaise foi et qui n'a pas forcément bien compris la réglementation,
surtout si elle est nouvelle, et qui n'en a pas pris toute la mesure? Je pense
qu'il ne faut quand même pas traiter les choses de la même façon, qu'il faut
prendre en considération le coût de la mise en conformité, l'état des
connaissances aussi pour savoir si c'est compliqué de mettre en oeuvre une
technologie, par exemple, ou de mettre en oeuvre une appréciation de cette
technologie, prendre en considération la nature des données, la finalité des
données. Est-ce qu'il y a un risque ou pas pour les données des Québécois et
des Québécoises? Toutes ces questions-là, je pense qu'il faut les… il faut se
les poser, et je pense que c'est aussi bien que ce soit dans la loi parce que,
finalement, même si le juge a l'habitude de se poser ce genre de questions, le
régulateur sera peut-être plus mal à l'aise pour le faire. Et je pense que
c'est un bon moyen d'introduire de la souplesse.
Donc, je pense qu'il faut vraiment
plusieurs niveaux de lecture de la loi et une gradation en fonction des
acteurs. Encore une fois, les GAFA, ce n'est pas la petite entreprise locale
qui va gérer les données de ses salariés.
M. Lévesque (Chapleau) : O.K.
Et en petite sous-question, est-ce que cette logique-là et ce raisonnement-là,
vous l'appliquez également en lien avec les pénalités, lorsque vous faites une
distinction, par exemple, aux grandes entreprises et petites, moyennes? Donc,
vous créeriez une distinction puis une espèce de régime…
Mme Castets-Renard (Céline) :
Ce n'est pas forcément nécessaire. Il me semble que les sanctions sont
considérées comme des maximales. Bien sûr, on ne sera pas obligés d'aller
jusqu'à ce maximum dans toute situation. Donc, voilà, je voulais aussi dire
qu'en droit américain on a l'habitude de considérer une sanction par données
personnelles qui fait l'objet d'une violation, donc quand on a affaire à des
petits fichiers avec peu de violations, bien, la sanction sera plus faible que
si on a affaire à une violation massive avec énormément de données. C'est aussi
une autre façon de raisonner pour avoir cette gradation.
M. Lévesque (Chapleau) :
Parfait. Merci beaucoup. Je crois que le collègue de Saint-Jean a des
questions, M. le Président.
Le Président (M.
Bachand) : M. le député de Saint-Jean, trois minutes.
M. Lemieux : Merci beaucoup,
M. le Président. Bonjour, Pre Castets-Renard. Je voudrais vous amener sur
la question des renseignements dépersonnalisés et anonymisés, puisqu'au fur et
à mesure des gens qu'on rencontre et qu'on écoute, on comprend qu'ils ne sont
pas anonymes…
Le Président (M.
Bachand) : ...M. le député de Saint-Jean, trois minutes.
M. Lemieux : Merci beaucoup, M.
le Président. Bonjour, Pr Castets-Renard. Je voudrais vous amener sur la
question des renseignements dépersonnalisés et anonymisés puisqu'au fur et à
mesure des gens qu'on rencontre et qu'on écoute, on comprend qu'ils ne sont pas
anonymes. Mais je comprends aussi que c'est parce qu'on regarde en avant un
peu, on essaie de deviner l'avenir en se disant : C'est certain que l'intelligence
artificielle va nous donner des moyens qu'on devine maintenant, mais qu'on ne
contrôle pas. Et il est difficile de légiférer pour quelque chose qu'on ne
connaît pas ou en tout cas qu'on n'est pas capable de mesurer. Mais effectivement,
c'est une question qui revient dans à peu près toutes les présentations et, si
ce n'est pas dans la présentation, c'est dans les questions parce qu'on est
curieux.
Alors, j'aimerais que vous nous aidiez à
comprendre où on s'en va avec des renseignements qui, oui, sont
dépersonnalisés, mais ne le resteront peut-être pas. Et, s'ils ne sont pas
anonymisés, alors ils sont quoi et on fait quoi avec?
Mme Castets-Renard (Céline) :
Je pense, sur cette question-là, qu'il faut distinguer entre les données
anonymisées et les données pseudonymisées. La pseudonymisation permet de mettre
en place des moyens pour décorréler l'information personnelle de la donnée,
mais avec toujours une possibilité de recorréler les deux, simplement, on va
utiliser des moyens techniques pour séparer et pour faire en sorte que
l'information ne puisse pas être facilement accessible. Ça va être le cas, par
exemple, de cryptage des données tout simplement.
Et pour vous dire, dans le Règlement
général de protection des données, en fait, on met en avant la notion de
pseudonymisation plutôt que d'anonymisation. L'anonymisation n'apparaît que
dans les considérants du règlement et pas dans le règlement lui-même, parce
que, justement, on a eu exactement les mêmes débats. Et, au départ, on voulait
parler d'anonymisation pour dire que c'était l'objectif à atteindre, et, en
fait, on s'est rendu compte qu'on n'est jamais sûr, enfin, jamais, c'est peut-être
un peu... un grand mot, mais en tout cas, c'est très difficile de garantir
qu'il n'y a pas de possibilité de réidentifier. Et donc on a pris, avec
prudence, plutôt le concept de pseudonymisation qui est alors un moyen de
protéger les données. C'est un moyen de sécurité et ça n'est pas un moyen d'éviter
la réglementation, alors que, si la donnée est anonymisée, on peut sortir du
champ d'application des renseignements personnels. Là, on reste dans le champ
d'application des renseignements, mais on applique une pseudonymisation qui
garantit une certaine sécurité, et qui va quand même donner un peu plus de
pouvoir dans l'utilisation de la donnée. Donc, on a réglé le problème
finalement en ne mettant pas l'accent sur cette donnée... sur cette notion
d'anonymisation.
Le Président (M.
Bachand) : ...
M. Lemieux : Oui. Je veux
juste revenir. J'ai bien compris que, pour ce qui est du consentement, ce que
moi, j'appelle : essayer de protéger le citoyen contre lui-même, vous nous
dites : Oui, il faut le protéger contre lui-même, mais il y a des limites
aussi à, ce qu'on dirait en bon québécois, l'écoeurer avec ça aussi, là.
Mme Castets-Renard (Céline) :
Oui. Oui, parce que, souvent, les services numériques, par exemple, supposent
de consentir à tout. Et, comme tous les utilisateurs de services numériques,
moi la première, quand j'ai envie d'accéder à un service, j'ai envie d'accéder
un service, et je ne me demande pas si je vais lire...
M. Lemieux : ...dirait en
bon québécois, l'écoeurer avec ça aussi, là.
Mme Castets-Renard (Céline) :
Oui. Oui, parce que, souvent, les services numériques, par exemple, supposent
de consentir à tout. Et, comme tous les utilisateurs de services numériques,
moi la première, quand j'ai envie d'accéder à un service, j'ai envie d'accéder
un service et je ne me demande pas si je vais lire les 30 pages avant
d'accepter. Donc, voilà, je pense que c'est un exercice... Lire toutes les
pages, les conditions générales d'utilisation, je pense que c'est un exercice
qu'on fait en faculté de droit peut-être, mais je ne suis pas sûre que le citoyen
fasse cet exercice.
M. Lemieux : Merci
beaucoup.
Le Président (M.
Bachand) :Merci beaucoup. M. le député de
LaFontaine, s'il vous plaît.
M. Tanguay
: Oui. Merci
beaucoup, M. le Président. Bien, merci beaucoup d'être avec nous. Très heureux
de pouvoir discuter, Mme Castets-Renard, de votre expertise en la matière.
J'aimerais faire un peu de droit comparé
avec vous en ce qui a trait à la définition de renseignement sensible que le projet
de loi n° 64 introduit. Pour ce qui est du domaine public et privé, c'est
un copier-coller aux articles 12 et 102. On peut lire : «Pour l'application
de la présente loi, un renseignement personnel est sensible lorsque, de par sa
nature ou en raison du contexte de son utilisation ou de sa communication, il
suscite un haut degré d'attente raisonnable en matière de vie privée.»
Est-ce que les acteurs publics et privés
ont suffisamment d'indications dans cette définition-là pour se gouverner?
Mme Castets-Renard (Céline) :
Moi, ça me paraît difficile de mettre en place... de mettre en oeuvre cette
définition et surtout de la mettre en oeuvre avec certitude et d'avoir une interprétation
unique et certaine. Je signale aussi que la notion d'attente raisonnable en matière
de vie privée, bien, ça renvoie aussi à l'article 8 de la Charte canadienne
des droits et libertés et à la jurisprudence de la Cour suprême du Canada.
Donc, je ne sais pas si c'était l'intention du législateur en évoquant ce
concept. En tout cas, ça crée une interrogation. Et je pense que ce sera
difficile... c'est difficile de savoir par avance, à l'avance si on a affaire à
une donnée sensible ou pas.
• (16 h 50) •
J'avoue que cette définition au premier
abord, m'avait beaucoup séduite parce que je trouvais intéressant de ... le
contexte. Mais, dans un événement technologique très évolutif et avec du
croisement d'informations, avec du traitement massif des données, j'ai peur que
ce soit trop flou, finalement.
M. Tanguay
: Autre
concept également que l'on retrouve dans le RGPD lorsqu'il est question de
données sensibles, et j'aime beaucoup ce concept-là, on l'a dit, considérer une
donnée et sa sensibilité du point de vue des libertés et des droits, donc,
d'une... ce que je déduis, mais corrigez-moi si j'ai tort, d'une certaine
capacité pour un utilisateur-possesseur mal intentionné, de, le cas échéant,
discriminer, j'imagine?
Mme Castets-Renard
(Céline) : Alors, les données sensibles sont prévues à l'article 9
du RGPD. Et la grande différence avec le système qui est prévu avec la loi n° 64, c'est que les données...
M. Tanguay
:
...corrigez-moi si j'ai tort, d'une certaine capacité, pour un utilisateur
possesseur malintentionné, de, le cas échéant, le discriminer, j'imagine.
Mme Castets-Renard (Céline) :
Alors, les données sensibles sont prévues à l'article 9 du RGPD, et la
grande différence avec le système qui est prévu avec la loi n° 64,
c'est que les données sont énumérées. Donc, il y a une liste avec les données
de santé, les données génétiques, les données de géolocalisation, les
préférences sexuelles, etc., les orientations politiques, etc., et donc, déjà,
on a une classification qui est assez précise, et cette classification a été effectivement
déterminée en fonction des risques pour les droits et libertés des individus
et, en particulier, le risque de discrimination.
Donc, on voit aussi que c'est toute
l'approche européenne qui est fondée sur la charte européenne des droits
fondamentaux, la charte de l'Union européenne, avec l'article 7 qui
protège la vie privée, mais aussi l'article 8 qui protège les données
personnelles en tant que telles, parce que, justement, dans la conception
européenne, on considère que les renseignements personnels ne sont pas
simplement liés à la vie privée mais à tous les droits fondamentaux, et y
compris le risque de discrimination. Donc, c'est toute cette philosophie, en
fait, qui se traduit dans les données sensibles à l'article 9.
M. Tanguay
: Est-ce que
vous nous invitez, donc, comme législateurs québécois, à davantage étudier l'article 9
du règlement européen pour peut-être étayer, le cas échéant, ce qui est la
première mouture du projet de loi n° 64?
Mme Castets-Renard (Céline) :
Bien, je vous invite à clarifier, en tout cas, la définition a minima et peut-être
à réfléchir à l'opportunité ou pas, ce n'est pas à moi d'en décider, mais, en
tout cas, réfléchir peut-être à l'opportunité de lister, ce qui simplifierait
les choses et ce qui clarifierait aussi pour les justiciables, et ça, c'est un
aspect, et peut-être aussi de réfléchir à la façon de considérer les
renseignements personnels par rapport aux droits fondamentaux et la charte
québécoise des droits et libertés, de regarder si, finalement, la protection
des renseignements personnels, ça ne va pas au-delà de cette idée de vie privée
aussi. Et, des questions de non-discrimination ou de risques de discrimination,
on en parle beaucoup dans les systèmes d'intelligence artificielle, et ce serait
aussi un moyen d'amener une interprétation en ce sens pour anticiper des
évolutions technologiques et des risques sociaux par rapport aux systèmes d'IA.
M. Tanguay
: Oui, et...
Non, je trouve ça excessivement... Et c'est un chantier excessivement stimulant
intellectuellement, mais on voit qu'on joue avec des notions qui auront des
impacts que l'on veut tangibles pour certains, basés sur l'interprétation de
tout un chacun, les impacts qui risquent d'être différents. Et on a entendu les
gens, les femmes et les hommes d'affaires nous dire : Écoutez, nous, on
veut de la prévisibilité, donnez-nous des guides. Évidemment, on s'est fait
dire que ça allait coûter cher, et tout ça, puis c'est vrai que ça ne sera pas
sans coût, mais, je veux dire, c'est de droit nouveau que ces définitions-là...
Et c'est plus qu'hier, moins que demain, en tout cas, cet appel-là. Je trouve
ça excessivement stimulant, intéressant, mais... Wow! Vous nous invitez, à
l'article 9... Est-ce qu'il n'y a pas d'autre...
M. Tanguay
: ...c'est
vrai que ce ne sera pas sans coûts, mais, je veux dire, c'est de droit nouveau,
que ces définitions-là, et c'est plus qu'hier, moins que demain, en tout cas,
cet appel-là. Je trouve ça excessivement stimulant et intéressant, mais, wow! Vous
nous invitez à l'article 9, est-ce qu'il n'y a pas d'autres PI qui
pourraient nous aider, d'autres exemples qui pourraient nous aider dans cette
rédaction-là?
Mme Castets-Renard (Céline) :
Sur les données sensibles en particulier non, mais je voudrais quand même aussi
dire que la tendance générale dans le monde est de suivre le RGPD. Parce qu'en
raison de la règle de la protection adéquate qui fait que tous les États qui
veulent continuer à échanger des données avec l'Union européenne doivent avoir
une législation en adéquation, donc c'est ce qui fait que le Japon a changé sa législation,
en Asie, il en est question aussi à Singapour, en Malaisie, en Amérique du Sud,
etc., et donc ça va de toute façon entraîner un mouvement mondial. Donc,
l'argument selon lequel ça va coûter cher et ça va constituer un problème pour
les entreprises et une disparité de concurrence, je pense que cet argument lui
vaudra peut-être un temps, mais pas à très long terme. Et je pense aussi que
c'est un argument économique que de pouvoir garantir une protection des renseignements
personnels aux individus, mais aussi pouvoir développer une économie qui soit
stable et qui soit fiable. Montréal est une place de l'intelligence
artificielle et je pense qu'il faut une législation protectrice des renseignements
personnels qui soit moderne et qui aille avec ça. Je pense que c'est un
argument aussi de compétitivité, et je pense que, oui, il faut aussi voir
l'inverse et retourner l'argument finalement, à mon avis.
M. Tanguay
: Oui, tout
à fait, puis on pourrait même le voir sous le prisme du justiciable de la
personne physique qui, elle, pourrait dit : Bien, tu sais, j'ai le goût de
défendre mes droits, ce que je considère être mes droits, mais si ce n'est pas
clair, il y a une non-prévisibilité aussi pour vous-mêmes. L'organisme pourrait
vous renvoyer dans les roses et vous dire : Non. Alors là, c'est ce que
l'on veut éviter.
Deux questions rapides parce que
j'aimerais laisser du temps à ma collègue de Notre-Dame-de-Grâce. Qu'en est-il maintenant
de... vous dites : On a un pied en Europe, un pied aux États-Unis, qu'en
est-il... qu'est-ce qui arrive aux États-Unis, là? Est-ce que... Pouvez-vous
nous faire un petit état de développement récent en droit de renseignements
personnels aux États-Unis? Qu'est-ce qui... What's cooking?
Mme Castets-Renard (Céline) :
Alors, c'est un peu difficile de le faire en un point parce qu'il y a plus de
400 lois sur les renseignements personnels ou les données... les
«personally identifiable information» comme disent les Américains, donc c'est
un petit peu difficile de faire un état des lieux. Mais ce que je peux dire,
c'est que c'est aussi... ces législations se situent au niveau fédéral et au
niveau étatique, mais c'est une approche très sectorielle contrairement à ce
qui se passe au Canada et en Europe, donc c'est la raison pour laquelle il y a
énormément de lois. Mais la petite fracture, le petit changement qui a eu lieu,
c'est avec la loi de Californie, dont tout le monde parle, en 2018, qui a prévu
une législation et un champ d'application un peu...
Mme Castets-Renard (Céline) :
…et au niveau étatique, mais c'est une approche très sectorielle contrairement
donc à ce qui se passe au Canada et en Europe. Donc, c'est la raison pour
laquelle il y a énormément de lois. Mais la petite fracture, là, le petit
changement qui a eu lieu, c'est avec la loi de Californie, dont tout le monde
parle en 2018, qui a prévu une législation et un champ d'application un peu
plus large que d'habitude. Mais je voudrais quand même signaler que, souvent,
on compare cette loi californienne avec le RGPD, ça n'a pas grand-chose à voir
ni dans les droits, ni dans les principes, ni dans les fondements, parce que
cette loi californienne repose sur le droit de la consommation, c'est le
Consumer… d'ailleurs, dans son titre, hein, il y a la notion de Consumer
Privacy Act. Donc, ce n'est pas véritablement une législation uniquement sur
les renseignements personnels, ça, c'est une première différence.
Néanmoins, cette législation est plus
large et plus protectrice que ce qui existait auparavant, et d'autres États ont
suivi, l'État de New York, le Maine, le Vermont, par exemple. Et il y a un
«California effect», donc aujourd'hui, par les États en fait, il y a une espèce
de renforcement de la protection. Et donc, quand on dit que Québec serait
isolé, je ne crois pas, je pense qu'il y a un mouvement de fond qui se met en
place au niveau étatique. Au niveau fédéral, ce sera très certainement plus
difficile compte tenu des majorités en cours, sauf changement dans les
prochaines semaines.
Mais voilà, il faut voir qu'au niveau des
États ça bouge énormément. Il faut voir aussi que les entreprises américaines
ont énormément l'habitude des politiques de confidentialité et de respecter un
certain nombre de principes. Donc, ça fait partie de leur modèle d'affaires, et
je ne crois pas qu'encore une fois le Québec serait seul, et je pense qu'il y a
aussi des choses intéressantes à prendre du côté américain.
Le Président (M.
Bachand) : Merci beaucoup. Mme la députée de
Notre-Dame-de-Grâce, trois minutes.
Mme Weil
: Trois
minutes. Merci beaucoup pour votre présence et votre mémoire fascinant,
vraiment là, très intéressant ce dernier débat. En parlant de protection des
enfants justement, parce que vous avez parlé de peines très sévères. Donc, les
peines sévères, on peut le comprendre avec l'objectif de protéger les enfants
et, aux États-Unis, ils ont beaucoup de lois qui vont dans ce genre, pour
protéger des enfants, les mineurs d'exploitation de toute sorte. Est-ce qu'il y
a une tendance en Amérique du Nord, au Canada de penser à ça justement dans nos
lois pour protéger les renseignements personnels?
Et on entend, c'est la première qu'on
entend même parler d'enfants qui sont… Je sais que la protection du
consommateur, l'Office, a des stratégies pour protéger les enfants justement,
mais on n'est jamais allés aussi loin. Est-ce que ce serait une occasion
d'intégrer justement un des critères, parce que la loi est ouverte, et on n'a
pas ciblé les enfants qui sont les victimes, à quelque part, hein, de ces
entités?
Mme Castets-Renard (Céline) :
Il me semble que, dans le projet de loi n° 64, on prévoit le consentement
pour les mineurs de 14 ans, c'est ça, il me semble bien l'avoir vu, donc il y a
une disposition en ce sens. Je pense que c'est important…
Mme Weil
: La loi,
mais…
• (17 heures) •
Mme Castets-Renard (Céline) :
…de cibler effectivement les mineurs, et je pense que cette disposition va…
17 h (version non révisée)
Mme Castets-Renard (Céline) :
…oui, il me semble que dans le projet de loi n° 64, il y a… on prévoit le
consentement pour les mineurs de 14 ans, c'est ça? Il me semble bien
l'avoir vu, donc, il y a une disposition en ce sens. Je pense que c'est
important de cibler, effectivement, les mineurs et je pense que cette
disposition va dans le bon sens. Le RGPD le prévoit aussi, la loi américaine,
comme je l'ai dit, le prévoit, alors, uniquement pour l'utilisation des données
en ligne dans un contexte particulier, dans la loi COPPA, mais ça fait
longtemps que cette loi existe et c'est d'ailleurs ce qui a influencé le
législateur européen, comme quoi les influences sont quand même multiples.
Et donc, oui, je pense que c'est important
de sensibiliser les enfants et de contribuer aussi à leur éducation. Ça, c'est
l'enseignante qui parle. Je pense que, oui, ça serait aussi intéressant et
important de parler des risques de la vie numérique en particulier aux enfants
dès le plus jeune âge. Moi, je les vois à l'université, ils sont déjà très au
courant et il n'y a pas de difficulté, mais je pense qu'il faudrait parler aux
plus jeunes.
Mme Weil
: Très bien.
Ah! il reste encore un peu de temps?
Le Président (M.
Bachand) : Il vous reste du temps, oui. Allez-y.
Mme Weil
: Oui. Alors,
donc, c'est à la page 5, en parlant de «soft law» comme on appelle. Donc,
il y a plusieurs groupes, surtout des représentants des entreprises, les
petites entreprises, qui demandent justement… bon, qui se plaignent que les
mesures, les peines sont beaucoup trop sévères, etc., et d'autres sont venus,
quand on leur a posé la question, on dit : Il faudrait de
l'accompagnement. Si on veut que tout le monde réussisse, on veut l'adhésion,
la meilleure façon, c'est les accompagner et c'est exactement ce que vous
dites.
Donc, vous dites : Oui, on peut
s'inspirer de la loi européenne, mais en même temps, la loi européenne a des
mesures d'accompagnement. Est-ce qu'on pourrait vous entendre encore là-dessus?
Moi, je pense que c'est un point très important. Sinon, il y aura beaucoup
d'échecs et vous recommandez la CAI comme l'organisme qui pourrait fournir
l'accompagnement.
Mme Castets-Renard (Céline) :
Oui, ça me semble important, effectivement. On voit beaucoup le RGPD parce
qu'il y a énormément de dispositions, il y a 99 articles, c'est un texte
extrêmement complexe, et évidemment, quand le texte est tombé, pour les petites
entreprises, évidemment, il y a eu beaucoup de débats et beaucoup de plaintes
par rapport à ce texte, et donc, ce gros texte lourd et complexe s'est
accompagné de ces mesures d'explication, finalement, et de… en fait, les
concepts clés ont été décortiqués à la fois avec des exemples, à la fois avec
des outils de mise en oeuvre pour aider les entreprises à se poser les bonnes
questions, pour faire le registre des traitements, par exemple, pour faire une
étude d'impact.
Et donc, tous ces outils clés, on n'a pas
du tout parlé des outils, mais il faut voir aussi qu'il faut accompagner par
des outils clairs. Dans le projet de loi n° 64, on
parle d'étude des facteurs de vie privée. Il faut expliquer ce que c'est et ce
qu'on attend dans une étude d'impact. Ça se développe, les études d'impact se
développent un petit peu partout, on parle de Privacy Impact Assessment ou…
Mme Castets-Renard (Céline) :
...il faut voir aussi qu'il faut accompagner par des outils clairs. Dans le projet
de loi n° 64, on parle d'étude des facteurs de vie
privée. Il faut expliquer ce que c'est et ce qu'on attend dans une étude
d'impact. Ça se développe, les études d'impact se développent un petit peu
partout, on parle de Privacy Impact Assessment ou d'étude d'impact de vie
privée ou de renseignements personnels. Et donc, bien, typiquement, il faut un
outil pour ça, il faut expliquer ce qu'on attend, quelles mesures prendre,
comment l'entreprise doit collecter ces données, savoir quels traitements sont
réalisés, à quoi les données sont... bien, pourquoi les données sont
collectées, à quoi elles servent, d'où viennent ces données, est-ce qu'elles
circulent, tout ça. Il faut réussir à faire le point si on veut donner du sens
à la protection.
Mais pour ça, il faut tout simplement effectivement
des tableaux, des questionnaires, des règles très simples pour les aider à le
faire. Et donc, en Europe, ce sont les autorités nationales de protection des données
qui ont fourni ces outils, chacune pour son État membre, mais aussi
collectivement, au sein du comité de protections des données européen, avec des
lignes directrices pour décrypter, pour expliquer le texte, pour expliquer le
RGPD. Donc, on a vraiment deux niveaux, on a un niveau normatif explicatif et
un niveau vraiment d'outils pour mettre en oeuvre la règle et dire ce qu'on
attend, en fait.
Le Président (M.
Bachand) :Merci beaucoup, professeure. M.
le député de LaFontaine, une minute.
M. Tanguay
: J'ai une
dernière question qui m'a été inspirée par votre échange avec le collègue, par
rapport au concept de, bon, dépersonnaliser, projet de loi n° 64,
anonymiser, je crois que vous avez utilisé le terme pseudonommiser... comment
vous aviez dit ça?
Des voix
: Ha, ha, ha!
Mme Castets-Renard (Céline) :
...c'est la pseudonimisation. Voilà.
M. Tanguay
: Ma question,
je vais y aller très court. Là, ça rit autour. Focusez. Alors, ma question. En
matière de droits et libertés, ne pas offrir... pour une compagnie d'assurance
ou une compagnie pharmaceutique, décider de ne pas offrir tel produit
d'assurance ou tel médicament parce que mes études de marché me disent que
coût-bénéfice, ça ne vaut pas la chandelle pour moi, comment pouvons-nous nous
prémunir contre ça? Donc, il y a un aspect de droits et libertés, non-discrimination,
mais c'est surtout sur un aspect plus collectif de la chose. Je ne sais pas si
vous voyez mon enjeu.
Le Président (M.
Bachand) : Très rapidement, Mme la professeure, s'il vous plaît,
très rapidement.
Mme Castets-Renard (Céline) :
Je pense que ce n'est pas une réglementation sur les données personnelles qui
permet de répondre à cet enjeu. La donnée... le renseignement personnel, c'est
lié à des personnes, à des individus, ce n'est pas des choix collectifs. Et ça
tombe bien que vous posiez cette question, parce que je pense que, par rapport
aux évolutions technologiques, et en particulier aux systèmes d'intelligence
artificielle, il y a un certain nombre de risques de discrimination et de
risques sociaux que n'adresse pas le projet de loi n° 64,
mais qu'il ne peut pas adresser parce que ce n'est pas dans le champ des
règlements... ... des renseignements personnels. Il y a aussi des choses qui
ont été laissées de côté dans le RGPD. Et, pour ces enjeux sociétaux là, eh
bien, il faudrait une autre législation ou en tout cas une autre réflexion.
Le Président (M.
Bachand) :Merci beaucoup. Merci beaucoup
de votre participation aux travaux de la...
Mme Castets-Renard (Céline) :
...n'adresse pas le projet de loi n° 64, mais qu'il ne peut pas adresser parce
que ce n'est pas dans le champ des règlements... des renseignements personnels.
Il y a aussi des choses qui ont été laissées de côté dans le RGPD. Et, pour ces
enjeux sociétaux là, eh bien, il faudrait une autre législation ou en tout cas
une autre réflexion.
Le Président (M.
Bachand) : Merci beaucoup. Merci beaucoup pour votre
participation aux travaux de la commission. C'était un grand plaisir.
Et, sur ce, on suspend les travaux
quelques instants. Merci et à bientôt.
(Suspension de la séance à 17 h 6)
(Reprise à 17 h 10)
Le Président (M.
Bachand) :À l'ordre, s'il vous plaît! La commission
reprend ses travaux. Il me fait plaisir d'accueillir les représentants d'Option
Consommateurs. Alors, bienvenue, M. Plourde, M. Corbeil. Alors, je
vous invite à débuter votre présentation de 10 minutes, et après on aura
un échange avec les membres de la commission. Donc, la parole est à vous.
Merci.
M. Corbeil (Christian) : M.
le Président, M. le ministre, Mmes et MM. les députés, je vous remercie de nous
donner l'occasion de vous présenter nos observations aujourd'hui. Je m'appelle
Christian Corbeil, directeur général d'Option Consommateurs. Je suis accompagné
d'Alexandre Plourde, avocat et analyste chez Option Consommateurs.
Créée en 1983, Option Consommateurs est
une association à but non lucratif qui a pour mission d'aider les consommateurs
et de défendre leurs droits. La protection des renseignements personnels
intéresse Option Consommateurs depuis longtemps. Au cours des dernières années,
nous avons produit de nombreux rapports de recherche qui documentent diverses questions
relatives à la protection des consommateurs dans le cadre des nouveaux modèles
d'affaires rendus possibles par le numérique. Nous sommes donc bien positionnés
pour commenter le projet de loi n° 64. C'est sur la base de l'expertise
acquise sur le terrain et dans nos recherches que nous vous présentons nos commentaires
devant cette commission.
D'emblée, nous appuyons fortement le projet
de loi n° 64 qui permettra, selon nous, de rehausser considérablement la
protection des consommateurs. Toutefois, nous croyons qu'un financement adéquat
de la Commission d'accès à l'information sera indispensable pour qu'il atteigne
véritablement ses objectifs. Mon collègue Me Alexandre Plourde vous
exposera ici les grandes lignes de nos observations. Merci.
Le Président (M.
Bachand) : M. Plourde.
M. Plourde (Alexandre) :
Alors, comme l'a mentionné mon collègue Christian, nous accueillons
favorablement le projet de loi n° 64. Selon nous, ce projet de loi innovateur
permettra d'améliorer la protection de la vie privée des consommateurs et
d'assurer une meilleure sécurité de leurs données. Cependant, bien que nous
supportions largement son adoption, il soulève quelques préoccupations.
Je vais brièvement résumer certaines de
nos préoccupations en trois points, soit la protection des consommateurs...
M. Plourde (Alexandre) : ...de
la vie privée des consommateurs et d'assurer une meilleure sécurité de leurs
données. Cependant, bien que nous supportions largement son adoption, il
soulève quelques préoccupations.
Je vais brièvement résumer certaines de
nos préoccupations en trois points, soit la protection des consommateurs face
aux modèles d'affaires numériques, l'importance d'incorporer des sanctions
dissuasives dans la loi, et finalement, l'importance d'accompagner le projet de
loi d'un financement accru de la Commission d'accès à l'information. Je vous
rappelle aussi que nous avons produit un mémoire écrit qui détaille davantage
nos positions sur le projet de loi.
Donc, premier point, la protection des
consommateurs face aux modèles d'affaires numériques. Pour bénéficier des
services des grandes entreprises technologiques, telles que Google et Facebook,
les consommateurs doivent accepter d'être pistés et profilés à des fins
commerciales. La collecte massive de données sur les consommateurs n'a pas
seulement lieu lorsqu'ils utilisent les plateformes de ces entreprises. Grâce à
diverses technologies de pistage, une myriade d'entreprises sont également en
mesure d'enregistrer les activités des internautes presque partout où ils vont
sur Internet, le plus souvent, à leur insu.
En outre, la collecte de données sur les
consommateurs n'est désormais plus confinée qu'à l'ordinateur ou au téléphone
mobile. De plus en plus, des biens courants achetés par les consommateurs sont
des appareils connectés à Internet, qui ont, eux aussi, une large capacité de
collecte de données. Des appareils domestiques, des automobiles, des assistants
vocaux, des caméras, des électroménagers, des technologies prêtes-à-porter, des
jouets, tous ces appareils peuvent maintenant comporter des capteurs qui
recueillent des données, qui pourront être utilisées à des fins commerciales.
Cet environnement, qu'on appelle Internet des objets, est en voie de devenir
omniprésent.
Devant toutes ces technologies, fournir
aux consommateurs l'information claire et adéquate sur ce qu'il advient de
leurs données est la moindre des choses. Nous accueillons donc favorablement le
renforcement des obligations d'information prévu au projet de loi n° 64, qui laisse présager une plus grande transparence des
entreprises. Cependant, nous croyons que des obligations d'information... que
ces obligations d'information pourraient être améliorées. D'abord, nous
estimons que le champ des informations à divulguer est trop étroit. Nombreux
sont les consommateurs qui ignorent la portée de la collecte de données dont
ils font l'objet dans l'environnement numérique. Nous estimons donc que les nouveaux
articles 8 et 8.1 de la loi sur le secteur privé devraient être modifiés pour
que la personne soit également informée des types de renseignements personnels
qui seront recueillis sur elle, sans qu'elle ait à en faire la demande.
Ensuite, nous observons que les
consommateurs ne sont pas informés en temps opportun que de simples appareils
domestiques qu'ils achètent peuvent capter de larges pans de leur vie privée.
On ne trouve généralement aucune information relative à la protection de la vie
privée sur l'emballage de ces biens, ou dans leur boîte. Les fabricants de ces
objets optent généralement pour en vanter les avantages, tels que leur
caractère intelligent, sans évoquer la large collecte de données qu'ils
effectuent. Selon nous, ce manque d'information préalable empêche les
consommateurs qui se préoccupent de leur vie privée de faire un choix d'achat
éclairé. Nous suggérons donc que la divulgation de l'information soit faite
avant que le consommateur ait conclu une transaction commerciale, par exemple,
sous une forme uniformisée, affichée sur l'emballage de l'appareil. Une telle
approche pourrait un tant soit peu contribuer à faire de la vie privée un
véritable argument d'achat.
Cela dit...
M. Plourde (Alexandre) :
...éclairé. Nous suggérons donc que la divulgation de l'information soit faite
avant que le consommateur ait conclu une transaction commerciale, par exemple
sous une forme uniformisée affichée sur l'emballage de l'appareil. Une telle
approche pourrait un tant soit peu contribuer à faire de la vie privée un
véritable argument d'achat.
Cela dit, même si on informe mieux les consommateurs,
l'approche basée sur le consentement de la personne reste, selon nous,
insuffisante pour les protéger. D'un point de vue de protection du public, la
critique principale qu'on peut formuler quant au projet de loi n° 64 est
qu'il ne remet pas véritablement en question les modèles d'affaires reposant
sur le pistage et la collecte massive des données des citoyens à des fins
commerciales. Un consommateur qui utilise les services de Facebook ou de Google
devra continuer d'accepter de fournir ses données à ces entreprises. Sa seule
véritable possibilité de refus consistera à ne pas utiliser leurs services.
Alors que bien des gens dépendent aujourd'hui de ces plateformes omniprésentes,
ce choix reste bien sûr illusoire.
De même, le projet de loi n° 64 ne
confère pas explicitement aux consommateurs le droit de refuser d'être pistés
en ligne sur l'ensemble des sites qu'ils visitent, par exemple en contraignant
les entreprises à respecter un signal «Do Not Track» intégré à leur fureteur.
En somme, bien qu'on informe davantage le consommateur, le choix que permet le
projet de loi reste limité.
Pour aller plus loin dans la protection du
public, nous estimons que le projet de loi n° 64
devrait également encadrer spécifiquement les utilisations que peuvent faire
les entreprises des données qu'elles recueillent. À cet égard, nous estimons
que la loi devrait interdire explicitement toute utilisation des données ayant
des effets discriminatoires illicites, ayant pour effet d'exploiter
économiquement le consommateur ainsi que toute utilisation commerciale des
données des enfants. Manifestement, en l'absence de telles balises, le projet
de loi n° 64 reste une oeuvre inachevée.
Ce qui m'amène au deuxième point, soit
l'importance d'incorporer des sanctions dissuasives dans la loi. Donc, nous
accueillons favorablement l'incorporation dans la loi québécoise d'obligations
de responsabilisation des entreprises. Selon nous, ces dispositions
contribueront au développement d'une approche préventive en matière de sécurité
informationnelle et inciteront les entreprises à investir davantage en
cybersécurité.
Bien entendu, ce nouveau régime ne sera
pas complet si les entreprises qui y contreviennent ne s'exposent qu'à des
sanctions dérisoires. Option Consommateurs appuie donc sans réserve
l'instauration dans la loi de sanctions significativement plus élevées aux
entreprises contrevenantes. Selon nous, il est particulièrement important que
la loi comporte une peine maximale sous forme de pourcentage du chiffre
d'affaires mondial de l'entreprise afin qu'elle ait également un effet
dissuasif sur les grandes multinationales du numérique qui pourraient autrement
estimer qu'une contravention à la loi québécoise n'est qu'un risque gérable.
Les craintes de l'industrie quant à
l'entrave que de telles sanctions pourraient apporter à l'innovation, ou à la
rentabilité, ou à l'investissement ne résistent pas à une lecture attentive du
projet de loi. Rappelons que la loi prévoit que des critères précis de
détermination de la peine devront être considérés avant d'imposer une sanction
pécuniaire à une entreprise pour tenir compte de chaque cas particulier. La loi
donnera même la possibilité aux entreprises de remédier à un défaut leur étant
reproché.
Malgré les sanctions importantes qu'il
comporte, le...
M. Plourde (Alexandre) :
...pas à une lecture attentive du projet de loi. Rappelons que la loi prévoit
que des critères précis de détermination de la peine devront être considérés
avant d'imposer une sanction pécuniaire à une entreprise pour tenir compte de
chaque cas particulier. La loi donnera même la possibilité aux entreprises de
remédier à un défaut leur étant reproché. Malgré les sanctions importantes
qu'il comporte, le projet de loi n° 64 ne menace donc
pas la viabilité économique des entreprises au Québec, il offre plutôt un
régime de sanctions pouvant s'adapter au contexte et permettant de véritablement
dissuader les entreprises faisant preuve de négligence ou d'insouciance quant
aux renseignements personnels des consommateurs.
Et je termine avec le troisième point,
soit le financement de la Commission d'accès à l'information. Donc, pour que le
projet de loi n° 64 parvienne à remplir ses objectifs,
encore faut-il accorder les ressources requises pour le mettre en oeuvre. Malheureusement,
la Commission d'accès à l'information, l'organisme public chargé de veiller à
la protection de la vie privée des Québécois, reste largement sous-financée. En
raison du sous-financement de cet organisme, les consommateurs ont déjà fait
face à des délais inouïs avant d'obtenir une décision de ce tribunal administratif.
Or, le projet de loi n° 64 ajoutera une pression
considérable sur la CAI, qui se trouvera chargée notamment de recevoir les avis
de bris de sécurité, de surveiller l'application de nouvelles normes dans le
contexte numérique et d'imposer des sanctions aux entreprises contrevenantes.
En conclusion, pour que la CAI puisse véritablement
jouer son rôle, nous estimons qu'elle n'a pas seulement besoin de lois plus
modernes, elle doit aussi bénéficier de ressources suffisantes. Au regard du
financement d'autres organismes provinciaux ayant la même mission et des responsabilités
accrues confiées à la CAI, il nous semble tout à fait raisonnable que le budget
annuel de cet organisme soit multiplié par deux.
Donc, merci. Il nous fera plaisir de
répondre à vos questions.
Le Président (M.
Bachand) : M. Corbeil, Me Plourde, merci infiniment. M. le
ministre, s'il vous plaît.
• (17 h 20) •
M. Jolin-Barrette : Oui.
Bonjour. M. Corbeil, Me Plourde, merci à Option Consommateurs de participer aux
consultations sur le projet de loi n° 64. Vous avez
attiré mon attention sur l'élément qui... Vous dites, bon : Il faut éviter
que les entreprises exploitent le consommateur par l'obtention de ces données.
Ce que vous dites, dans le fond, c'est que le fait que le consommateur partage
ses données, avec ou sans consentement, bien souvent sans consentement ou sans
véritable consentement, ça fait en sorte que ça devient un outil commercial
important, là, pour les entreprises.
M. Plourde (Alexandre) : Oui.
Bien, en fait, cette portion-là de notre mémoire, ça réfère en fait à aller
plus loin que le consentement. Donc, nous, ce qu'on dit chez Option
Consommateurs : Oui, c'est important, le consentement, que les
consommateurs soient informés des pratiques des entreprises, aient une information
complète, mais ça ne suffit pas à les protéger, il faut aussi s'attaquer à ce
que les entreprises font ou pourraient faire avec nos données. Puis les
craintes qu'on a par rapport à ça... une des craintes qu'on a par rapport à ça,
ça serait l'utilisation par des grandes entreprises technologiques des données
des consommateurs pour les... bon, pour les exploiter économiquement. Par
exemple, ça pourrait être une situation où un géant technologique, un
commerçant en ligne qui piste un internaute un peu partout sur Internet
réalise...
M. Plourde (Alexandre) : …une
des craintes qu'on a par rapport à ça, ça serait l'utilisation par des grandes
entreprises technologiques des données des consommateurs pour les… bon, je…
pour les exploiter économiquement. Par exemple, ça pourrait être une situation
où un géant technologique, un commerçant en ligne qui piste un internaute un
peu partout sur Internet, réalise : Ah! cet internaute-là recherche un
bien précis, là, ou un médicament précis, par exemple. Donc, ce que je vais
faire, c'est que les prix que je vais afficher à cette personne-là, bien, je
vais les monter, je vais les doubler, je vais les tripler pour profiter de
cette situation de vulnérabilité. C'est des craintes qu'on a par rapport à ça.
Nous, on pense qu'il devrait y avoir des balises dans la loi à cet égard-là.
Il y a aussi tout l'enjeu que les
entreprises technologiques connaissent de larges pans de notre vie… quelles
sont nos préférences, quels sont nos comportements, savent qu'est-ce qu'on
fait, où est-ce qu'on se situe, connaissent notre historique de recherche, bon,
ils savent à peu près tout sur nous. Donc, ces données-là, une fois qu'on les
analyse, bien, on pourrait les utiliser à des fins de… pour développer des
techniques de persuasion qui pourraient être très subtiles, très efficaces.
Donc, c'est le genre de craintes qu'on a par rapport à l'utilisation des
données qui, à notre sens, ça ne serait pas compliqué, ça serait d'inscrire ça
dans la loi, de dire, bien, une utilisation qui exploite les consommateurs
devrait être interdite.
Remarquez qu'il y a peut-être des choses
qui existent déjà dans la loi qui pourraient être invoquées. Le contrat que
j'ai avec Facebook, que j'ai avec Google, c'est un contrat de consommation. La Loi
sur la protection du consommateur, elle prévoit par exemple des choses comme la
lésion, aux articles 8 et 9, donc c'est le genre de choses qui pourraient
peut-être être invoquées. Mais nous, on pense que c'est le genre de choses qui…
même si ça reste un peu spéculatif, ce n'est peut-être pas nécessairement avéré
par la recherche, ça devrait être inclus dans la loi, à mon sens.
M. Jolin-Barrette : O.K.
Donc, juste pour illustrer votre propos, là, c'est l'exemple, là… Moi,
supposons que les frontières étaient ouvertes, je veux un billet d'avion, mais
je ne connais pas encore mes dates, donc je vais plusieurs fois sur le site
aérien… sur le site d'un transporteur aérien ou sur un site Internet qui est un
agent de voyage et qui prévoit la vente de vols ou d'hébergement, et là je fais
ma recherche ce soir, puis là j'en parle avec ma conjointe, je dis : As-tu
envie d'aller à tel endroit? Et là je retourne une autre fois le soir puis je
retourne le lendemain matin, et là le prix monte, monte, monte graduellement
parce que mon intérêt à aller en voyage augmente dans la… suite à mes
discussions.
Alors, est-ce que c'est un peu ça que vous
illustrez? Dans le fond, à cause de ma recherche, à cause de mon intérêt que je
manifeste sur le site de l'entreprise commerciale, on utilise un peu cet
historique-là pour dire : Bien, ah! on a un poisson qui s'en va en voyage,
et donc je vais monter le prix. C'est un peu ça que… pour bien l'illustrer, là?
M. Plourde (Alexandre) : Oui,
c'est ça que j'illustre, mais il faut faire attention par exemple parce que si
je prends le cas des billets d'avion, il y a deux choses qu'il faut distinguer,
il y a la tarification dynamique. Donc, la tarification dynamique, c'est :
J'augmente les prix en fonction du moment de la journée ou le temps qu'il reste
avant que le vol parte, et tout ça, ça, ce n'est pas lié aux informations qui
me sont personnelles à moi. Et là la recherche est assez balbutiante,
actuellement, il y a certaines recherches américaines ou à l'étranger qui ont
été faites qui indiquent que certaines…
M. Plourde (Alexandre) :
…donc, la tarification dynamique, c'est : J'augmente les prix en fonction
du moment de la journée ou le temps qu'il reste avant que le vol parte et tout
ça, ça, ce n'est pas lié aux informations qui me sont personnelles à moi.
Et là, la recherche est assez balbutiante,
actuellement. Il y a certaines recherches américaines ou à l'étranger qui ont
été faites qui indiquent que certaines entreprises auraient pour pratique de
personnaliser les prix en ligne. Ça, personnaliser les prix, ce n'est pas en
fonction du moment de la journée ou, bon, de l'offre et de la demande, c'est
vraiment en fonction de mes caractéristiques propres comme consommateur. Donc,
il y a une personne qui est dans telle localisation géographique, je vais lui
charger plus cher, ou une personne qui a tel historique de recherche, je
pourrais lui charger plus cher. C'est ce genre de pratique là qui nous inquiète
particulièrement, chez Option Consommateurs. Il y a des indications qui
montrent que ça existe peut-être sur Internet, la recherche reste encore à se
développer à cet égard-là, mais oui, ça serait ce genre de situation là, qu'on
utiliserait les données personnelles de quelqu'un… une connaissance très intime
de ses besoins, de ses désirs, pour essayer de profiter au maximum de sa
situation.
M. Jolin-Barrette : O.K. Ça
signifie, supposons que je fais une recherche avec le cellulaire du député de LaFontaine,
le prix sorti serait plus élevé que si je le fais avec mon propre cellulaire.
C'est un peu ça que je comprends. Donc…
Une voix
: …
M. Jolin-Barrette : L'effet…
quand vous dites : Des effets discriminatoires illicites, c'est à ça que
vous faites référence, de dire : On va venir discriminer le consommateur
en fonction de son profil?
M. Plourde (Alexandre) : Oui.
Bien, en fait, je fais référence… quand je parle de discrimination illicite,
là, je fais évidemment référence à la charte québécoise. Il y a des études qui
montrent, par exemple, aux États-Unis, que des gens dans certains quartiers se
voyaient afficher des prix plus élevés pour certains biens ou certains services
en ligne. Et ce qu'on découvrait, c'est que les gens qui habitaient dans ces
quartiers-là, bien, ils appartenaient majoritairement à une ethnie spécifique,
donc ça avait pour effet la personnalisation des prix de l'entreprise, de faire
une espèce de forme de discrimination indirecte.
C'est des pratiques, encore là, comme je
vous dis, c'est peu documenté, c'est peu connu. On sait que… on a des indices
comme de quoi ça existe, mais ce genre de pratique là, à notre sens, devrait
être interdite. Puis comme je le dis, il peut y avoir des choses dans la loi
qui pourraient être utilisées actuellement. Bon, je parlais de la charte, le Code
civil parle, bon, l'emploi des renseignements personnels doit être fait à des
fins légitimes. Il y a peu de jurisprudence là-dessus, donc les tribunaux, avec
l'évolution technologique, on ne sait pas qu'est-ce qui va survenir dans les
prochaines années, il va peut-être y avoir de l'information qui va filtrer
là-dessus.
Bon, les tribunaux vont peut-être parvenir
à déterminer qu'est-ce qui est permis, qu'est-ce qui est interdit, va se
prononcer sur ces questions-là, mais moi, je ne pense pas qu'on devrait
attendre nécessairement que les tribunaux se prononcent là-dessus. On devrait
d'emblée dire : Écoutez, utiliser les données personnelles des
consommateurs pour les discriminer, pour les exploiter, bien, ça devrait tout
simplement être interdit. C'est une fin qui illégitime, là, je ne pense pas
qu'on a besoin d'attendre que les tribunaux se prononcent là-dessus, là.
M. Jolin-Barrette : O.K. Ce
qu'on a sur le déréférencement dans le projet de loi n° 64, est-ce que ça
satisfait votre organisation?
M. Plourde (Alexandre) : Oui.
Oui, c'est… on considère que c'est un bon équilibre. C'est un peu plus…
M. Jolin-Barrette : ...O.K. Ce
qu'on a sur le déréférencement dans le projet de loi n° 64, est-ce que ça
satisfait votre organisation?
M. Plourde (Alexandre) : Oui.
Oui, c'est... on considère que c'est un bon équilibre. C'est un peu plus étroit
que ce qu'on retrouve en Europe. La loi québécoise, elle parle d'un préjudice
grave, donc en partant avec l'idée d'un préjudice grave, bon, là, je ne suis
pas juge, je ne donne pas d'avis juridique, là, mais ça l'a de bonnes chances
de passer le test des chartes, là, la question de liberté d'expression et tout
ça.
Nous, chez Option Consommateurs, cette
question-là, du déréférencement, du droit à l'oubli, il y a généralement deux
situations qui ont été portées à notre connaissance. Ça peut arriver
occasionnellement qu'il y a des gens qui vont nous contacter, qui nous
disent : Écoutez, je voudrais disparaître de YouTube, de Google, parce que
j'ai commis un crime qui est peu grave il y a quelques années. Et, bon, il y a
des crimes mineurs et ces gens-là ne sont pas capables de disparaître. Il y a
aussi tout le phénomène du partage par les parents de renseignements personnels
sur leurs enfants qui peut créer des préjudices aussi. Donc, oui, on trouve que
c'est un équilibre qui est judicieux, ce qui est apporté, puis ça apporte une
solution pour des gens qui vivent vraiment des préjudices.
M. Jolin-Barrette : Je vous
remercie.
Le Président (M.
Bachand) : Merci beaucoup, Me Plourde, M. le député de Vachon,
s'il vous plaît.
M. Lafrenière : Oui. Merci
beaucoup. Merci, M. Corbeil, Me Plourde. Merci pour cette
présentation. Je vais continuer sur ce que le ministre a apporté comme fait,
là. Quand on parle de déréférencement, désindexation, vous avez parlé de deux
situations que vous voyez chez vous, donc les gens qui ont commis un crime
mineur ou les gens qui, bon, je parle de la surmédiatisation de la part des
parents. Mais moi, j'ai un troisième volet que je voudrais vous apporter, puis
on l'a vu nous, dans la Commission spéciale sur l'exploitation sexuelle des mineurs,
c'est les victimes quand on parle se sextorsion, quand des gens peuvent
utiliser ces vidéos-là, les laisser sur YouTube entre autres. C'est pour ça,
tantôt, quand vous avez parlé de Facebook et les médias sociaux, ça m'a
interpellé. Parce que, justement, on a déjà une victime qu'on a rencontrée,
nous, et qui voulait se sortir de là, donc faire en sorte que cette vidéo
disparaisse. Donc, le droit à l'oubli, dans leur cas, c'était des victimes, et
je voulais voir si c'était un des aspects que vous avez regardés chez Option
Consommateurs. Vous avez parlé de deux autres volets que je comprends bien,
mais le volet victime, est-ce que vous l'avez regardé aussi?
• (17 h 30) •
M. Plourde (Alexandre) : Ce
n'est pas un volet que moi, j'ai exploré. Cependant, je ne vois pas en quoi les
victimes ne pourraient pas se prévaloir de ce droit-là, donc je ne vois pas en
quoi ça ne pourrait pas être utilisé par elles. Ce que je soulignerais aussi,
c'est que j'ai entendu un certain nombre d'intervenants au cours des dernières
années dire que, bon, le droit à l'oubli, tel qu'il est proposé, là, soit en
Europe puis dans la loi sur le privé actuellement, il va faire en sorte que les
entreprises vont être des juges et parties, et tout ça. Je ne crois pas que ça
soit vraiment ça qui va se passer en fait. Je crois que, si une entreprise se
trouve surchargée par des requêtes, elle ne va pas devenir un grand censeur et
supprimer toutes les demandes qui lui sont faites. Je crois que ce qui va se
passer, c'est un peu comme ça se passe actuellement, c'est qu'une entreprise
qui ne veut pas gérer ça va juste ne pas répondre à ces requêtes-là. Sauf que,
là, dans ce cas-ci, cet article-là va donner la possibilité que la personne
puisse se retourner vers la CAI, de se retourner vers les tribunaux, d'obtenir
une ordonnance judiciaire...
17 h 30 (version non révisée)
M. Plourde (Alexandre) : ...ne
va pas devenir un grand censeur et supprimer toutes les demandes qui y sont
faites. Je crois que ce qui va se passer, c'est un peu comme ça se passe actuellement,
c'est qu'une entreprise qui ne veut pas gérer ça va juste ne pas répondre à ces
requêtes-là. Sauf que, là, dans ce cas-ci, cet article-là va donner la possibilité
que la personne puisse se retourner vers la CAI, de se retourner vers les tribunaux,
d'obtenir une ordonnance judiciaire dans des circonstances qu'elle n'aurait peut-être
pas pu obtenir par le passé, puis après ça, retourner voir l'entreprise. Donc,
je pense que ça pense effectivement régler certains problèmes, certains
préjudices qui... Actuellement, il n'y a pas de solution à ça dans le droit.
Donc, c'est un peu plate de dire aux gens : Actuellement, bien, votre
réputation est compromise sur Google, sur Internet, puis malheureusement vous
n'avez pas tellement de droits. Donc, ça apporte une solution à certains
préjudices, puis je pense que l'équilibre qui est proposé est assez bon.
M. Lafrenière : Je suis entièrement
d'accord avec vous que la solution n'est pas parfaite, mais c'est beaucoup
mieux que ce qu'on a présentement. Parce que je lance le défi aux gens qui nous
écoutent aujourd'hui d'écrire à YouTube pour retirer une vidéo, je leur
souhaite bonne chance et beaucoup de patience, c'est long et pénible. Alors, merci
beaucoup, merci pour votre contribution bien appréciée.
Le Président (M.
Bachand) :M. le député de Saint-Jean, s'il
vous plaît, pour cinq minutes.
M. Lemieux : Merci beaucoup, M.
le Président. MM. Corbeil, Plourde, bien le bonjour. Fidèles à ce que vous
êtes, Option Consommateurs, vous faites référence beaucoup aux enfants. Et je
serais de voir comment vous associez la responsabilité parentale pour protéger
leurs enfants quand... et c'est ma marotte, excusez, ce n'est pas... Je
n'essaie pas de me répéter d'une fois à l'autre, mais il faut bien qu'on se
rappelle qu'on est en train de protéger le citoyen un peu contre lui-même en
voulant protéger ses droits, mais, en même temps, en ayant besoin, entre autres,
d'être capable de lui faire donner son consentement, même s'il n'est pas toujours
intéressé à le donner, même au bout de quelques lignes, imaginez quelques
pages. Donc, expliquez-moi comment vous intégrez le droit parental sur l'enfant
et la défense de l'enfant dans tout ça, en particulier dans le consentement.
M. Plourde (Alexandre) : Bon,
bien, écoutez, là, le projet de loi n° 64, là, règle
un certain problème, là, il y avait un certain flottement dans la loi, là, c'est-à-dire
que c'est le parent qui consent au partage des renseignements sur l'enfant.
Donc, jusqu'à l'âge, là, je pense que c'est 14 ans, là, qui est écrit dans le projet
de loi, c'est le parent qui doit consentir. C'est ça que prévoit le projet de
loi. Puis, bon, ça formalise ce qui existe déjà.
Nous, ce qui nous préoccupe, puis on a
fait une recherche là-dessus, il y a un an ou deux, c'est que, parfois, le fait
que le parent consent au nom de l'enfant, bien, ça peut permettre, malheureusement,
certains abus, c'est-à-dire que le parent peut surpartager toutes sortes de
photos, de publications, des vidéos concernant son enfant sur les réseaux
sociaux. Puis ce genre de partage là peut porter préjudice à l'enfant. Donc, il
y a un enjeu pareil, c'est le parent qui doit protéger l'enfant puis qui a le
pouvoir de consentir, mais dans certains cas, il y a un surpartage.
Donc, pour protéger l'enfant dans ces circonstances-là,
le projet de loi prévoit quelque chose d'intéressant, c'est un droit à l'oubli.
Donc, les mineurs pourraient revenir par la suite s'ils subissent un préjudice
de ce que leur parent a consenti à publier à leur sujet par le passé. Ils
pourraient revenir puis demander, s'il y a un préjudice grave, la suppression
de ce renseignement-là. Donc, il y aurait une certaine protection. Nous, on
allait...
M. Plourde (Alexandre) :
...dans ces circonstances-là, le projet de loi prévoit quelque chose d'intéressant,
c'est un droit à l'oubli. Donc, les mineurs pourraient revenir par la suite...
s'ils subissent un préjudice à ce que leur parent a consenti à publier à leur
sujet par le passé, ils pourraient revenir puis demander, s'il y a un préjudice
grave, la suppression de ce renseignement-là. Donc, il y aurait une certaine protection.
Nous, on allait plus loin que ça aussi, on
demandait que l'utilisation à des fins commerciales des enfants soit proscrite
aussi, tout simplement. Le projet de loi intègre la notion de renseignement personnel
sensible. Donc, on peut penser que des renseignements personnels sur des
enfants vont être considérés comme des renseignements personnels sensibles,
donc ils vont... peut-être une meilleure protection par rapport à ça. Mais
nous, on voudrait tout simplement proscrire toute utilisation commerciale
aussi. Donc, il y a une certaine protection qui... ce qu'on demandait, par
contre.
M. Lemieux : Parlez-moi
du concept et de ce que vous pensez de la mort numérique. On en a entendu
parler plus en Europe. Mais, dans le contexte du p.l. n° 64,
vous voudriez voir quoi?
M. Plourde (Alexandre) :
Bon. Quand on parle de mort numérique, il faut considérer, là, que c'est le...
c'est qu'est-ce qu'il advient de toutes les photos, de toutes les publications
qu'on a faites sur les réseaux sociaux, sur Google, tout ce qu'on a mis dans le
cloud pendant toute notre vie. Il y a des incertitudes dans le moment dans le
droit sur qu'est-ce qui arrive de toutes ces données-là quand on décède parce
qu'évidemment toutes ces données-là pourraient être considérées comme des
renseignements personnels au sens de la loi sur le privé. Et ce que la loi sur
le privé, elle dit actuellement, c'est que la confidentialité des
renseignements personnels, elle est préservée au-delà du décès d'une personne.
Donc, ça veut dire que toutes mes photos après ma mort, tous les souvenirs de
famille, qui autrefois étaient sous format papier mais qui maintenant sont
numérisés, ils sont dans le cloud, ils sont dans les nuages, bien, mes proches
pourraient avoir toutes les difficultés du monde à y accéder parce qu'ils n'ont
pas un droit d'accès à ce genre de données là.
Bon coup du projet de loi, c'est d'élargir
l'accès aux héritiers puis aux proches d'une personne décédée pour accéder aux
renseignements personnels à des fins de processus de deuil. Donc, on peut
penser que, dans une situation où une entreprise technologique refuserait de
donner accès à ces renseignements-là, bien, il y aurait peut-être une prise,
là, pour le consommateur.
Nous, ce qu'on demandait aussi chez Option
Consommateurs, par contre, c'est la possibilité pour une personne de son vivant
d'émettre des directives sur qu'est-ce que je veux qu'il advienne de mon compte
Facebook, qu'est-ce que je veux qu'il advienne de tous mes comptes en ligne. Je
veux que ça soit supprimé et que ça soit transféré à telle personne. Ça reste
en ligne indéfiniment, bon, selon ce qui est offert par l'entreprise. Il n'y a
pas vraiment ça dans la loi actuellement. Donc, ça, c'est une faiblesse. On
aurait demandé que ça soit intégré. Les entreprises, certaines entreprises
comme Facebook ou Google offrent quand même des options volontairement pour ça,
mais nous, on aurait préféré qu'il y ait vraiment un droit qui soit inscrit
dans la loi par rapport à ça.
M. Lemieux : J'ai dit que
vous étiez fidèles à vous-mêmes en parlant au nom d'Option Consommateurs. Vous
en avez long à dire sur toute la partie des... pas des transactions, mais des
relations entre les agents de renseignements de crédit personnel, et les
dossiers de crédit, et les consommateurs que vous représentez. Donnez-moi un
score, d'abord, par rapport à ce que vous voyez dans le projet de loi. La liste
est longue, je sais, de ce que vous voudriez voir, mais essayer de m'aider à...
M. Lemieux : ...ce n'est pas
des transactions, mais des relations entre les agents de renseignements de
crédit personnels, et les dossiers de crédit, et les consommateurs que vous
représentez. Donnez-moi un score, d'abord, par rapport à ce que vous voyez dans
le projet de loi. La liste est longue, je sais, de ce que vous voudriez voir,
mais essayez de m'aider à comprendre là où il faudrait aller.
Une voix
: ...
M. Lemieux : Oh! désolé.
M. Plourde (Alexandre) :
Bien, rapidement, concernant les agences de crédit, bien, il y a déjà eu un pas
qui a été fait qui intéressant dans le cadre du projet de loi n° 53. Je
mentionnerais qu'il y a deux choses qui devraient être changées dans le projet
de loi n° 64 : garantir un accès gratuit et simple pour les consommateurs
au dossier de crédit par Internet — l'article 78 qui est modifié ne
permet pas ça — puis un plus grand encadrement d'utilisation
secondaire du dossier de crédit en matière d'assurance, en matière de location
de logement puis en matière d'emploi.
M. Lemieux : Merci.
Le Président (M.
Bachand) : Merci, Me Plourde. Vous êtes juste sur la
coche, c'est parfait, ça. Merci, j'apprécie. M. le député de LaFontaine, s'il
vous plaît.
M. Tanguay
: Merci
beaucoup, M. le Président. Merci, M. Corbeil, Me Plourde, pour
être... pour discuter avec nous du projet de loi n° 64 et de ses enjeux.
Vous avez parlé, M. Corbeil, du pistage en ligne, soit la captation ou la
collecte de données, puis vous la qualifiez d'une intrusion importante dans la
vie privée des consommateurs. J'aimerais vous entendre de façon un peu plus
précise sur les moyens que le Québec... les moyens législatifs que nous
pourrions avoir. Vous dites : «Pour aller plus loin dans la protection du
public, nous estimons donc que le projet de loi devrait être modifié pour
donner explicitement le droit au consommateur de refuser d'être pisté en ligne
via des mécanismes technologiques simples et faciles d'accès.» J'aimerais vous
entendre de façon tangible, de façon plus spécifique quels seraient ces
moyens-là technologiques et, dans la réalité d'aujourd'hui, quelle serait leur
efficacité ou pas considérant qu'avec Internet on rouvre l'ordinateur, puis là
c'est le monde. On a accès au monde, mais le monde a accès à nous également.
Donc, point de vue de la territorialité puis de l'effectivité d'une loi
québécoise, j'aimerais vous entendre là-dessus.
M. Plourde (Alexandre) : Oui.
Bon, il n'y a pas de réponse simple, c'est une bonne question que vous
soulevez. Au-delà... Le projet de loi, bon, il permet une meilleure information
des consommateurs sur ce qui va se passer, une meilleure information sur la
collecte et tout ça. Il ne change pas le paradigme de base par contre. C'est,
quand je m'inscris, quand j'ouvre un compte sur Facebook, quand j'ouvre un
compte sur Google, j'accepte de fournir mes informations à ces entreprises-là.
Quand je parle de refuser le pistage, je
parle de la collecte qui n'est pas... qui n'a pas lieu seulement que lorsque
j'utilise cette plateforme-là, pas juste quand je suis sur Facebook, quand je
suis sur Google. Mais ce qu'il faut savoir, c'est que Facebook puis Google, ils
ne suivent juste mes activités quand j'utilise cette plateforme-là, ils suivent
mes activités aussi partout où est-ce que je vais sur Internet. Sur n'importe
quel site tiers ou à peu près, ils ont une très grande empreinte. Et
actuellement on peut penser, là, qu'avec le renforcement du consentement dans
la loi, ça dépend comment que ça va être interprété, mais qu'on va peut-être
être mieux informés de ça. Il va peut-être y avoir plus de «pop-ups» qui vont
apparaître quand on navigue, mais il n'y aura pas de mécanisme simple pour
pouvoir dire aux entreprises technologiques : Moi, quand je navigue...
M. Plourde (Alexandre) : ...et
actuellement, on peut penser, là, qu'avec le renforcement du consentement dans
la loi, ça dépend comment que ça va être interprété, mais on va peut-être être
mieux informés de ça. Il va peut-être y avoir plus de «pop-ups» qui vont
apparaître quand on navigue, mais il n'y aura pas de mécanisme simple pour dire
aux entreprises technologiques : Moi, quand je navigue sur un site tiers,
je ne suis pas sur votre plateforme. Je ne suis pas sur Facebook, je ne suis
pas en train d'utiliser des sites de Google. Je suis ailleurs sur Internet, un
site qui est tiers, je veux refuser d'être pisté. Puis il y a des moyens
technologiques qui ont été développés, qui n'ont malheureusement pas fonctionné
au cours des dernières années, mais un de ces moyens-là, c'est ce qu'on
appelait le signal «Do not track». C'est un paramètre dans le fureteur. Donc,
je cliquais sur un piton dans mon fureteur et ça disait à toutes les
entreprises, la myriade d'entreprises qui peuvent me suivre sur Internet, ça
leur disait : Arrêtez de me suivre, arrêtez de recueillir des données sur
moi quand je navigue sur Internet, je veux être anonyme.
• (17 h 40) •
Et malheureusement, actuellement, il y a
des façons qu'on peut faire pour être anonyme sur Internet, pour essayer de
préserver sa confidentialité. ON peut aller dans les paramètres de Google, très
loin, là, puis désactiver certaines fonctionnalités; il y a certains mécanismes
de l'Industrie, mais c'est à la pièce, ça ne garantit pas un anonymat. Donc,
nous, dans une perspective de protection du consommateur, de simplicité, bien
ce serait de demander aux entreprises de respecter un paramétrage simple et
efficace.
M. Tanguay
: Et est-ce
que ça pourrait être aussi, parce que j'essaie de trouve r la façon que la loi québécoise
pourrait être effective sur le terrain. Est-ce que ça pourrait également, pour
les entreprises quoi ont pignon sur rue au Québec, je donne un exemple, je
pense tout haut, l'obligation de ne pas utiliser, par moyens détournés, ces
informations-là? Qu'il pourrait dire : Bien, ce n'est pas moi qui est à la
source, je n'ai pas eu à demander le consentement, mais j'ai acquis, d'une
manière ou d'une autre, je ne suis pas spécialiste dans le domaine, ces
informations-là, et je peux baser une campagne marketing ou une campagne
mercantile, peu importe laquelle, à partir, donc...
Est-ce qu'il y aurait lieu, donc, de
cibler les entreprises qui ont pignon sur rue au Québec et de limiter leur
accès et utilisation de telles données, j'imagine.
M. Plourde (Alexandre) :
Bien, là, quand je parle des données de suivi en ligne, là, je ne parle vraiment
pas des petites entreprises au Québec. Je parle des géants technologiques. Je
parle de Google, je parle de Facebook puis de tout l'écosystème, là, qu'on
appelle de la publicité comportementale en ligne. C'est ces entreprises-là.
C'est ces entreprises-là qui recueillent vos données, c'est ces entreprises-là
qui les monétisent. Elles ne les partagent pas, ces données-là. Elles les
utilisent pour créer des profils publicitaires, qui servent, par la suite, à
vendre des publicités aux autres entreprises. Mais le problème dans cette
équation-là, ce n'est pas nos PME chez nous, c'est vraiment les géants technologiques,
Au niveau du profilage numérique, ce qui
peut amener évidemment, de la discrimination, comment on peut agir également
comme législateurs québécois, pour avoir des moyens législatifs tangibles?
M. Plourde (Alexandre) : Bien
là, pour ce qui est de... pour ce qui est de l'utilisation à des fins de
discrimination ou, du moins, à de l'utilisation qui a des effets
discriminatoires, là, l'enjeu de ça, c'est que... Nous, ce qu'on propose, c'est
évidemment de prévoir explicitement dans la loi d'interdire aux entreprises de
faire des traitements de données qui peuvent avoir des effets discriminatoires.
Cependant, la grosse difficulté de ça, c'est qu'on connaît généralement très
mal c'est quoi les pratiques des entreprises, c'est quels traitements des
données qui sont faits par les entreprises technologiques de nos données puis
c'est quoi les effets aussi de ces traitements-là, qui peuvent avoir des effets...
M. Plourde (Alexandre) :
...pour ce qui est de l'utilisation à des fins de discrimination ou, du moins,
à de l'utilisation qui a des effets discriminatoires, là, l'enjeu de ça, c'est
que... Nous, ce qu'on propose, c'est évidemment de prévoir explicitement dans
la loi d'interdire aux entreprises de faire des traitements de données qui
peuvent avoir des effets discriminatoires. Cependant, la grosse difficulté de
ça, c'est qu'on connaît généralement très mal c'est quoi les pratiques des entreprises,
c'est quels traitements des données qui sont faits par les entreprises
technologiques de nos données puis c'est quoi les effets aussi de ces
traitements-là. Donc, il y a un gros enjeu. Oui, se donner des lois, mais il va
falloir aussi se donner des ressources pour étudier qu'est-ce qui se passe,
étudier les effets du profilage massif, de la surveillance et tout ça. Donc,
notre recommandation d'augmenter le budget de la CAI, là, va un peu dans cette
direction-là. Il faut se donner des pouvoirs d'enquête et de surveillance du
marché pour voir si les pratiques des géants technologiques ont des effets de
manipulation sur le marché, des effets discriminatoires qu'on ne se serait pas
rendu compte pour pouvoir intervenir. C'est dans cette direction-là qu'il
faudrait aller, à mon avis.
M. Tanguay
: Je trouve
ça intéressant, votre suggestion. Effectivement, comme vous le dites, bien, on
ne connaît pas ou on connaît mal comment les entreprises au Québec utilisent
ça. Le fait d'avoir justement une Commission d'accès à l'information... je vois
l'implication tangible. Ce n'est pas juste une augmentation pour le plaisir,
évidemment, d'augmenter les ressources à la Commission d'accès à l'information,
mais pour que, spécifiquement, peut-être mandat lui soit donné dans la loi pour
faire une veille, je vous dirais, sur le terrain, comment, enquête,
surveillance, puis, le cas échéant, de revenir auprès du législateur pour
suggérer comment on pourrait endiguer tout ça, là. Je vous remercie pour votre
précision. Je vais céder, M. le Président, avec votre permission, la parole à
ma collègue.
Le Président (M.
Bachand) : Merci, M. le député. Mme la députée
Notre-Dame-de-Grâce, s'il vous plaît.
Mme Weil
: Oui. Merci
beaucoup pour votre présentation, beaucoup de passion que vous avez pour la
protection du consommateur et dans un domaine technique qui vous stimule
beaucoup, ça, on le voit.
Est-ce que je pourrais vous amener sur
votre page : Assurer une véritable mise en oeuvre de la loi, l'importance de
mesures dissuasives? Donc, on a eu différents types d'arguments sur les peines
sont trop élevées, mais beaucoup... ça dépend du profil de l'entreprise, les
PME, par exemple, qui n'ont pas les moyens, alors on parle d'accompagnement,
etc. Mais est-ce que... En lisant votre mémoire, si vous... vous avez vraiment
une expérience très pointue avec les entreprises qui... plus que négligeant,
là, c'est presque intentionnel, et donc semblent être insensibles peut-être aux
conséquences, c'est un peu le portrait qu'on a avec... ce que vous, vous voyez.
Et les bris de sécurité, vous parlez du nombre important. Et vous arrivez à
cette question de dommages punitifs. Donc, vous, vous accueillez favorablement,
là, toutes les mesures qui sont proposées dans la loi, des mesures dissuasives,
des dommages punitifs. Est-ce que vous pourriez en parler un peu plus? Parce
qu'on a eu différents points de vue. Évidemment, je pense, ça dépend beaucoup
de l'entreprise. D'ailleurs, celle qui vous a précédée a parlé de la loi européenne
qui, parce que les pénalités sont...
Mme Weil
: ...toutes les
mesures qui sont proposées dans la loi, des mesures dissuasives, des dommages
punitifs. Est-ce que vous pourriez en parler un peu plus? Parce qu'on a eu
différents points de vue. Évidemment, je pense, ça dépend beaucoup de
l'entreprise. D'ailleurs, celle qui vous a précédés a parlé de la loi
européenne qui... parce que les pénalités sont très, très élevées, ils
fournissent un accompagnement aussi aux entreprises pour s'assurer que les entreprises
puissent se conformer à la loi.
Alors, j'aimerais vous entendre sur cet
équilibre, et de votre expérience, et pourquoi vous, vous proposez, justement,
des dommages punitifs.
M. Plourde (Alexandre) : Bon,
plusieurs choses. Bien, première chose, on le constate, là, je pense que c'est
un constat pour tout le monde, là, qu'il y a des enjeux en matière de
cybersécurité, qu'il y a des enjeux en matière de protection des renseignements
personnels au Québec. On a eu un des plus gros bris de sécurité de l'histoire
récemment, bon, avec Desjardins, puis il y en a eu plein qui sont rapportés,
puis il y en a probablement plein d'autres qu'on n'est peut-être pas au courant
non plus. Donc, il y a vraiment un gros enjeu, puis ce que ça trahit, selon
beaucoup d'experts, bien, c'est que les entreprises, bon, n'investissent pas
assez en cybersécurité puis peut-être aussi, dans certains cas, ne prennent
peut-être pas assez au sérieux la protection des renseignements personnels.
Donc, il y a un enjeu de dissuasion. La dissuasion est nécessaire.
Puis, bon, il y a des gens qui se
préoccupent, bon, est-ce que les pénalités sont trop sévères? Est-ce que ça va
atteindre un bon équilibre, et tout ça? Ce qu'il faut mentionner, là, oui, ça a
l'air de des gros montants, 10, 25 millions ou des pourcentages du chiffre
d'affaires, mais là il faut comprendre que ce sont des pénalités qui sont
maximales. C'est pour pouvoir atteindre les plus grosses entreprises, mais il y
a des critères de détermination de la peine dans la loi là, là, puis qui
permettent de tenir compte du contexte, et tout ça. Le but, là, ce n'est pas
d'être des Gargamel, là. Le but, c'est vraiment d'aider les entreprises... de
dissuader les entreprises en tenant compte du contexte, et tout ça.
Et le pourcentage mondial de la peine,
donc, imposer un pourcentage mondial, c'est vraiment important face aux
multinationales, donc, que sont Google, que sont Facebook parce que
10 millions, pour Google ou Facebook, c'est peut-être un risque qui est
tout à fait gérable, là. On parle des entreprises qui sont parmi les plus
riches de l'histoire, là, en ce moment, donc...
Et évidemment, bien, pour ce qui est de la
question des dommages punitifs, bien, les dommages punitifs, ça peut venir un
peu prendre le relais des situations où est-ce que la... ne serait pas
intervenue. Ça laisse un recours civil. Puis ce qu'il faut... Ce qu'il est
important aussi de noter, c'est que ces dommages punitifs là peuvent juste être
imposés en cas de faute lourde ou en cas de faute intentionnelle. Donc, ce
n'est pas pour chaque manquement que ça va pouvoir être imposé, puis le Code
civil prévoit déjà des critères de détermination aussi des dommages punitifs.
Donc, on peut tenir compte aussi de la situation, encore là, lorsqu'on impose
ce genre de dommage là, puis il faut tenir compte aussi de la situation qu'en
protection de la vie privée, malheureusement, la jurisprudence a dit :
Bien, subir un bris de sécurité, ce n'est pas nécessairement indemnisable en
termes de dommages compensatoires. Donc, l'idée d'un montant minimum de
dommages punitifs permet... (panne de son) ...difficulté-là.
Donc, la clause sur les dommages punitifs,
elle me semble importante pour justement...
M. Plourde (Alexandre) : …puis
il faut tenir compte aussi de la situation qu'en protection de la vie privée, malheureusement,
la jurisprudence, elle dit : Subir un bris de sécurité, ce n'est pas nécessairement
indemnisable en termes de dommage compensatoire. Donc, l'idée d'un montant
minimum de dommage punitif… cette difficulté-là. Donc, la clause sur les
dommages punitifs, elle me semble importante pour justement reprendre le
flambeau là où la CAI aurait peut-être… ne serait peut-être pas intervenue.
Le Président (M.
Bachand) :Mme la députée, deux petites
minutes.
Mme Weil
: Oui, est-ce
que… Donc, je ne sais pas si vous avez entendu les intervenants donc parler de justement
des mesures d'accompagnement, et que ce soit la CAI qui y soit investie de
cette autorité, si on veut. Au-delà de faire respecter la loi, comment vous
voyez cette notion d'accompagnement? Évidemment, ce n'est pas le profil exactement
de ce que vous nous présentez où, vraiment, il y a de l'exploitation carrément
du consommateur, mais que vous avez certainement vu d'autres circonstances où l'entreprise
n'avait pas nécessairement une intention malicieuse. Alors, comment vous voyez
donc cette notion d'accompagnement?
M. Plourde (Alexandre) :
Bien, en fait, oui, je pense que c'est… augmenter le financement de la CAI, ce
n'est pas pour la protection du public, mais c'est aussi important pour
l'accompagnement des entreprises. Et, moi, j'ai quand même criblé le projet de
loi n° 64, et je vous dirais qu'il y a quand même des difficultés
interprétatives actuellement là-dedans. Ce ne sera pas toujours simple de
savoir c'est un consentement express, c'est un consentement implicite, bon,
c'est quoi les obligations exactes, comment ça s'appliquait en pratique. Donc,
il va avoir un travail, la CAI, à mon avis, de faire des lignes directrices qui
vont aider les entreprises, les guider un peu là-dedans, leur donner la
possibilité de se conformer assez simplement. Donc, il y a un travail à faire
de la CAI là-dedans, en matière d'accompagnement, puis je suis tout à fait
d'accord avec ça, sinon ça pourrait être très difficile pour les entreprises.
• (17 h 50) •
Donc, oui, il faut donner plus de
ressources pour appliquer la loi, mais appliquer la loi, ça implique aussi
d'aider les entreprises, là, à se conformer. Je suis tout à fait d'accord
là-dessus. Pour revenir maintenant sur le risque à l'égard des PME, faire
attention, faire attention de ne peut-être pas minimiser trop les obligations
envers les PME, parce qu'on risque de quand même créer un maillon faible. Si on
diminue trop nos obligations envers les PME, bien, tous les pirates vont
s'attaquer aux petites entreprises du Québec pour leur prendre leurs données.
Donc, il y a beaucoup à faire, l'accompagnement des PME, et ce n'est pas
nécessairement une raison pour dire qu'on devrait édulcorer la loi à leur
égard.
Le Président (M.
Bachand) : Merci, Me Plourde. M. le député de Gouin, s'il vous
plaît.
M. Nadeau-Dubois : Merci, M.
Plourde, d'être avec nous aujourd'hui en commission parlementaire. Votre
mémoire est rempli d'éléments très intéressants. J'aimerais avoir plus que
trois minutes, je vais vous questionner sur un de ces éléments qui m'apparaît
extrêmement important. Les grandes entreprises numériques ont pris de l'avance
sur le droit, sur les États, sur à peu près… et sur les experts, sur les
scientifiques qui ne travaillent pas pour eux, à savoir ce que font exactement
ces entreprises-là avec les données personnelles qu'elles récoltent. Elles sont
souvent les seules à le savoir. Puis même au sein de ces entreprises-là, il y a
des cultures du secret souvent qui font souvent en sorte que seulement une
poignée de personnes savent réellement ce qui se passe à l'intérieur de la
boîte noire que sont les algorithmes puissants de…
M. Nadeau-Dubois : ...travaille
pas pour eux à savoir ce que font exactement ces entreprises-là avec les données
personnelles qu'elles récoltent. Elles sont souvent les seules à le savoir.
Puis même au sein de ces entreprises-là, il y a des cultures du secret,
souvent, qui font... qui font souvent en sorte que seulement une poignée de personnes
savent réellement ce qui se passe à l'intérieur de la boîte noire que sont les
algorithmes puissants de ces organisations-là.
Et donc vous nous faites une recommandation,
à la page 16, vous nous dites que la CAI devrait avoir le pouvoir, et je cite,
d'obtenir l'accès au code des algorithmes des entreprises, de façon à pouvoir
comprendre les effets et déterminer si les traitements de données effectués
portent préjudice au consommateur. Certaines des technologies qu'utilisent ces entreprises-là
pour cibler les citoyens sont brevetées, d'autres pourraient être protégées par
le secret commercial. Comment on contourne ces obstacles-là? Comment on donne à
la CAI le pouvoir d'ouvrir la boîte noire pour découvrir ce que font ces entreprises-là
avec les données des Québécois?
M. Plourde (Alexandre) : Oui,
effectivement, c'est un bon point, que vous soulevez, puis la question du
secret des algorithmes, c'est plus ancien qu'on pourrait le penser en
protection de la vie privée. Depuis des décennies, face aux agences de crédit, par
exemple, là, le code qui est utilisé pour calculer le pointage de crédit, il
n'est pas connu, puis c'est un secret commercial. C'est le même phénomène, mais
démultiplié dans le numérique, c'est vraiment ça qui se passe.
La façon que ça pourrait être fait pour
pouvoir enquêter, pour pouvoir comprendre qu'est-ce qui se passe, bien, ça
pourrait être simplement que le code soit fait sous le sceau... ça soit analysé
sous le sceau de la confidentialité. Donc, la CAI ne pourrait pas partager ça
publiquement. Ça se ferait assez simplement, à mon avis.
M. Nadeau-Dubois : Est-ce que
ça existe dans certaines législations?
M. Plourde (Alexandre) :
Écoutez, je ne pourrais pas vous dire. C'est discuté dans beaucoup d'endroits
du monde, je ne pourrais pas vous dire jusqu'à quel point ça existe.
Cependant... Puis ce que vous soulevez, en fait, c'est que le projet de loi n° 64, il y a plein de choses intéressantes, là-dedans,
mais ce n'est certainement pas la fin des haricots pour la protection des
renseignements personnels au Québec. Il va falloir revenir là-dessus dans les
prochaines années pour s'intéresser peut-être plus en profondeur au modèle d'affaires
pour éviter des préjudices au public, là.
M. Nadeau-Dubois : Merci
beaucoup. Vous parlez de donner davantage... de préciser la loi sur ce que
serait l'utilisation... une utilisation illicite ou illégitime des données qui
sont récoltées sur les consommateurs en ligne. Comment est-ce qu'on pourrait
définir dans la loi des utilisations illicites? À quoi on pourrait se référer
pour définir ce qui est une utilisation illicite?
M. Plourde (Alexandre) :
Bien, ce serait une utilisation qui cause un préjudice indu au consommateur,
c'est-à-dire qui profite de la symétrie d'information entre la grande firme
technologique puis le consommateur, qui se fait à son insu, qui le fait payer
beaucoup trop cher pour un bien qu'il aurait acheté à un prix courant autrement
par le simple fait... parce qu'on a détecté qu'il avait un besoin de ce
bien-là. Donc, ça, ça pourrait être de l'exploitation économique. Il y a des
critères qui ont déjà été développés en droit de la consommation là-dessus, sur
ce qu'on appelle la lésion, dont on pourrait s'inspirer, par exemple.
M. Nadeau-Dubois : Merci
beaucoup, monsieur.
Le Président (M.
Bachand) : Merci beaucoup. M. Corbeil, Me Plourde, merci
beaucoup d'avoir été avec nous aujourd'hui, c'est plus qu'apprécié. Et
là-dessus, la commission suspend ses travaux jusqu'à 19 h 30. Merci
beaucoup...
M. Plourde (Alexandre) :
...besoin de ce bien-là, donc ça, ça ferait de l'exploitation économique. Il y
a des critères qui ont déjà été développés en droit de la consommation là-dessus,
sur ce qu'on appelle la lésion, dont on pourrait s'inspirer, par exemple.
M. Nadeau-Dubois : Merci
beaucoup, monsieur.
Le Président (M.
Bachand) :Merci beaucoup. M. Corbeil, Me
Plourde, merci beaucoup d'avoir été avec nous aujourd'hui, c'est plus
qu'apprécié.
Et là-dessus, la commission suspend ses
travaux jusqu'à 19 h 30. Merci beaucoup.
(Suspension de la séance à 17 h 54)
19 h 30 (version non révisée)
(Reprise à 19 h 31)
Le Président (M.
Bachand) : À l'ordre, s'il vous plaît! Bon début de soirée à
tout le monde. Merci d'être ici. La Commission des institutions reprend ses
travaux.
La commission est réunie afin de
poursuivre les auditions publiques dans le cadre des consultations
particulières sur le projet de loi n° 64, Loi modernisant
des dispositions législatives en matière de protection des renseignements
personnels.
Ce soir, nous allons entendre la
Commission d'accès à l'information. Mais il me fait plaisir de souhaiter la
bienvenue aux gens de la Régie de l'assurance maladie du Québec. Alors,
bienvenue. Merci beaucoup d'être avec nous ce soir.
Alors, je vous inviterais à vous présenter
et à débuter votre exposé pour 10 minutes. Après ça, nous aurons un échange
avec les membres de la commission. Merci. La parole est à vous.
M. Thibault (Marco) : Merci. Bonsoir,
tout le monde. Marco Thibault, président-directeur général de la Régie de
l'assurance maladie du Québec. Je suis accompagné de Mme Sonia Marceau, qui est
secrétaire générale à la régie.
Merci pour l'invitation, puis on espère
que notre humble contribution saura vous aider dans la suite de vos travaux.
Avant d'aller plus loin dans notre propos,
peut-être vous présenter brièvement ce qu'est la régie, puisqu'elle est connue,
normalement, pour l'administration du programme d'assurance maladie et
d'assurance médicaments... la rémunération des professionnels de la santé qui
sont sous entente avec le ministre de la Santé et des Services sociaux, mais
elle administre pour le compte du gouvernement quelque 40 programmes de toutes
sortes. On pense à l'aide auditive, l'aide visuelle, l'aide pour la déficience
motrice, etc.
Mais elle fait également comme
organisation l'opérationnalisation de diverses banques informationnelles ou de
systèmes d'information pour le compte du ministère, dont le fameux Dossier
santé Québec, le DSQ.
Finalement, il est opportun peut-être
d'avoir à l'esprit tout au long de notre propos que la régie, de par la nature
des renseignements qu'elle détient, doit administrer un régime plus restrictif
que ceux visés par la loi d'accès à l'information puisque la Loi sur
l'assurance maladie et la loi sur le partage des renseignements de santé
imposent, à juste titre, des obligations supplémentaires. On n'est pas loin du
secret fiscal quand qu'on regarde les domaines de protection qu'on doit, nous,
accorder de par notre régime particulier qui nous gouverne...
M. Thibault (Marco) : ...visés
par la loi de l'accès à l'information puisque la Loi sur l'assurance maladie et
la loi sur le partage des renseignements de santé imposent à juste titre des obligations
supplémentaires. On n'est pas loin du secret fiscal, quand on regarde les
domaines de protection qu'on doit, nous, accorder de par notre régime
particulier qui nous gouverne.
En guise de commentaire introductif, étant
une organisation plus sensible à la protection des renseignements personnels,
nous ne pouvons qu'être en faveur des intentions précisées dans le projet de
loi. Notre propos sera davantage sous l'angle des impacts relatifs aux mesures
suggérées en termes d'atteinte à ces mêmes objectifs, mais également sous
l'angle de l'efficience et de l'efficacité. De fait, selon ce que le citoyen
nous mentionne, il s'attend à ce qu'une organisation telle que la régie se
modernise dans ses manières de faire et qu'elle puisse utiliser le capital
informationnel au bénéfice du citoyen dans sa prestation de services.
Afin d'alimenter la réflexion dans la
conduite de vos travaux, nous avons regroupé nos principaux commentaires sous
quelques thèmes. Débutons par la notion de consentement express et distinct.
Tout en reconnaissant les mérites d'un consentement express et distinct, nous
croyons que l'abandon du consentement implicite en santé pose problème et que
le cadre légal actuel assure une protection adéquate. De fait, il nous semble
illusoire de penser créer un consentement qui permettrait dès le départ
d'anticiper toutes les finalités envisagées par ledit consentement. Autrement,
nous craignons que notre capacité de moderniser et d'améliorer l'offre de
services soit ... par la nécessité de requérir un consentement nouveau non
envisagé au départ.
Afin d'illustrer notre compréhension, si
celle-ci est juste par rapport à notre lecture du projet de loi, prenons
l'exemple le consentement utilisé dans le cadre du système de Rendez-vous santé
Québec et pour lequel des renseignements collectés par la régie pourraient exiger
un nouveau consentement si ces mêmes renseignements devaient être communiqués
au ministère pour des fins d'organisation de services et voir si l'accès aux
services souhaités par les autorités ministérielles sont atteints.
Encore, si on voulait utiliser des
renseignements collectés dans un programme aux fins d'application de nouveaux
contrôles, pour s'assurer que c'est géré adéquatement, il serait difficile de
faire la démonstration du bénéfice pour la personne concernée d'obtenir son
consentement puisque, par définition, faire un contrôle, ce n'est pas
nécessairement pour le bénéfice du citoyen ou de la personne avec qui on
demanderait le consentement pour avoir accès à ses données.
Donc, pour nous, il nous semble
questionnable également que, si notre compréhension du projet est juste sur la
portée de cet élément, qu'un organisme qui dispense un service à un citoyen
doive lui demander l'autorisation d'utiliser ses informations afin qu'on puisse
lui rendre un service personnalisé. Pour nous, dans la nature même de
l'organisation... d'être capable d'être le plus proche possible des besoins de
l'individu et, par conséquent, de le connaître et d'utiliser ce que nous avons
sur cette personne-là qui nous demande un service.
En ce qui concerne la gouvernance et
l'imputabilité, le projet de loi introduit diverses responsabilités à
différents acteurs et modifie, de notre compréhension, substantiellement le
rôle de la Commission d'accès à l'information. Les responsabilités sont
distribuées sous différents angles tantôt au responsable d'accès, à un comité
interne sur la sécurité ou à la protection des renseignements...
M. Thibault (Marco) : ...le projet
de loi introduit diverses responsabilités à différents acteurs et modifie, de
notre compréhension, substantiellement le rôle de la Commission d'accès à
l'information. Les responsabilités sont distribuées sur différents angles
tantôt au responsable d'accès, à un comité interne sur la sécurité ou à la
protection des renseignements personnels, à l'organisation ou encore à la
Commission d'accès sur certains pouvoirs. Souvent, la multiplication des
acteurs alourdit les processus, mais si le projet de loi vise un objectif
d'agilité par le simple dépôt des projets d'entente à la commission, elle
risque par contre d'alourdir les processus internes de gestion et de reddition
de comptes.
Par ailleurs, l'absence d'avis formel de
la Commission d'accès, mais un simple dépôt pourrait donner, de notre point de
vue, dans certains cas, une fausse assurance de protection. Devrait-on exiger
une entente-cadre? Est-ce possible d'avoir une telle entente-cadre avec la
multiplicité des organisations potentiellement visées par des ententes de
communication? Pour nous, toutefois, on pense que c'est une avenue qui pourrait
être explorée.
La notion d'entente de communication
obligatoire. Ce mécanisme des ententes de communication de renseignements est
un mécanisme fort connu de la régie puisque toutes les communications passées
ont dû obtenir un avis favorable de la Commission d'accès à l'information.
D'ailleurs, il est important de souligner la qualité de l'expertise qu'a
développée la commission en cette matière au fil des années. De confier
désormais la rédaction des ententes aux organisations, de prévoir les
différents mécanismes de protection exigera de ces organisations de se
développer une expertise rare. Comment pourrons-nous assurer un tel niveau
d'expertise dans toutes les organisations?
De plus, considérant la nature des
renseignements que la régie détient, il nous semble que le mécanisme actuel
d'avis formels préalables à la Commission d'accès nous semble... nous
permettrait de mieux protéger a priori les renseignements qu'un simple dépôt
d'une entente auprès de la commission. Il s'agit, selon nous, d'une police
d'assurance raisonnable, que les renseignements qui seraient transmis le seront
de manière sécuritaire et adéquate.
L'anonymisation des renseignements et la
dépersonnalisation. Malgré que la régie ait adopté des pratiques rigoureuses en
matière de dépersonnalisation, il devient évident qu'avec l'émergence de
l'intelligence artificielle, la constitution de banques propres par diverses
organisations nous rend plus fragiles sur des possibles réidentifications. À
cet égard, la régie a entrepris des réflexions en ce sens, mais celle-là
constituera tout un défi pour les organisations de se doter d'un tel savoir.
Sans en avoir discuté avec mes collègues de l'Institut de la statistique du
Québec ou de la commission, mais qui eux ont développé une certaine expertise
dans les dernières années, est-ce qu'il ne serait pas opportun de confier ce
mandat d'anonymisation auprès, par exemple, de l'Institut de la statistique du
Québec qui, soit dit en passant, présentement pilote une plateforme qui rend
les données disponibles aux chercheurs?
En ce qui concerne l'évaluation des
facteurs relatifs à la vie privée. Sans être contre le principe, nous nous
questionnons sur les efforts relatifs à la documentation et à la journalisation
de ces analyses. Cela nous inquiète davantage lorsque nous regardons la portée
de ce qui devrait faire l'objet d'une telle évaluation, dont notamment la
production de statistiques qui, selon nous, par définition, ne comprend...
M. Thibault (Marco) : ...à la
vie privée. Sans être contre le principe, nous nous questionnons sur les
efforts relatifs à la documentation et à la journalisation de ces analyses.
Cela nous inquiète davantage lorsque nous regardons la portée de ce qui devrait
faire l'objet d'une telle évaluation dont notamment la production de statistiques
qui, selon nous, par définition, ne comprend pas de renseignement personnel. La
volumétrie des demandes de communication de renseignements faites par les
chercheurs des institutions universitaires exigera aussi la régie de développer
une expertise et un rôle jusqu'à présent exercés à notre connaissance par la
Commission d'accès à l'information.
• (19 h 40) •
De plus, la régie a entrepris, à la
demande des personnes qu'elle doit desservir, une modernisation de sa
prestation de services. Ce faisant, soumettre toute amélioration technologique
à une telle évaluation dévierait les efforts considérables dans la
documentation pour des fins de reddition de comptes au détriment, selon nous,
de la création de valeur pour le citoyen. Ici, notre propos vise essentiellement
à assurer un juste équilibre entre documentation et création de valeur.
Finalement, la notion de communication à
un proche parent d'une personne décédée pour motif de compassion. Tout en
louant l'objectif noble recherché, nous souhaitons porter à votre attention la
difficulté potentielle d'application qu'implique de prendre en compte la notion
de «susceptible d'aider le requérant dans son processus de deuil». Comment
l'évaluer? La notion de compassion étant une émotion, il nous apparaît aussi
difficile de la remettre en question. Elle laisse possiblement beaucoup de
place à une interprétation variable d'une organisation à l'autre. Par ailleurs,
nous nous questionnons sur la nature de l'information détenue par la régie qui
serait utile à l'objectif visé. Ce faisant, nous croyons que dans le cadre
actuel légal auquel on se gouverne actuellement serait suffisant en ce qui nous
concerne.
En guise de conclusion, la régie est un
organisme qui possède une bonne expertise en matière de protection de
renseignements personnels. Elle administre un régime de protection plus
restrictif que ce que prévoit la loi d'accès. Plusieurs mécanismes proposés
sont déjà utilisés par la régie dont notamment les ententes de communication.
Toutefois, notre crainte se situe davantage
dans la manière et les responsabilités de ceux qui devront encadrer la qualité
de la pratique et en assurer un respect en amont et non a posteriori. Un dépôt
à la CAI nous semble mince quoique plus agile que l'avis officiel nécessaire
actuellement. Le consentement explicite en santé pourrait accentuer certains
enjeux à la prestation de services puisque la nature de l'information détenue
est directement en lien avec la prestation de ces mêmes services et la qualité
attendue par le citoyen. L'expertise et la surveillance des processus
d'indemnisation seront à mieux définir et encadrer.
La RAMQ est favorable au principe du
projet de loi, mais s'interroge sur la capacité de mettre certaines de ces
dimensions en oeuvre sans une clarification de certains de ces principes. Il
importe de signifier la nécessité de préciser certaines modifications afin de
limiter une application arbitraire ou un écart avec les intentions légitimes ou
encore le risque d'incohérence entre les différentes organisations qui
devraient l'appliquer.
Actuellement, la Commission d'accès à
l'information assure, de par ses processus actuels, un rôle de vigie et de
cohérence gouvernementale. Il pourrait être opportun d'en préserver certaines
fonctions utiles dans la protection des renseignements personnels. Néanmoins,
la régie offre sa pleine et entière collaboration à la commission afin
d'apporter son expertise à la réflexion et à la définition des différents
critères si pertinents. Nous aurions terminé, M. le Président.
Le Président (M.
Bachand) : Merci beaucoup, M. Thibault. M. le ministre,
s'il vous plaît.
M. Jolin-Barrette :
M. Thibault, Mme Marceau...
M. Thibault (Marco) : utiles
dans la protection des renseignements personnels.
Néanmoins, la régie offre sa pleine et entière
collaboration à la commission, afin d'apporter son expertise à la réflexion et
à la définition des différents critères si pertinents.
Nous aurions terminé, M. le Président.
Le Président (M.
Bachand) : Merci beaucoup, M. Thibault. M. le ministre, s'il
vous plaît.
M. Jolin-Barrette :
M. Thibault, Mme Marceau, bonsoir, merci de participer aux travaux de
la Commission des institutions sur le projet de loi n° 64. Bien, je pense,
vous l'avez dit d'entrée de jeu, là, la Régie de l'assurance maladie gère
énormément de renseignements de nature personnelle, que ça soit pour les
usagers du système d'assurance maladie, mais également pour les professionnels,
médecins, qui facturent à la Régie de l'assurance maladie comme payeur unique,
notamment.
Écoutez, je voudrais que vous nous
expliquiez, là, comment vous gérez ça, vous, à la Régie de l'assurance maladie,
les données personnelles? Vous disiez : Écoutez, on ne sait pas si le fait
de déposer à la Commission d'accès à l'information, tel que c'est proposé par
le projet de loi n° 64, ça va aider, ça va être mieux. Actuellement, vous
faites déjà des projets d'entente. Expliquez-nous, là, en gros, là, qu'est-ce
que vous faites avec les données, là. Moi, je vais chez le médecin pour mon rendez-vous
annuel avec le médecin, le médecin passe ma carte d'assurance maladie, comment
ça fonctionne, les données que vous avez chez vous… de moi chez vous?
M. Thibault (Marco) : Bien,
les données que nous avons sont hébergées dans différents systèmes qui nous
permettent, nous, de nous assurer que, par exemple, la personne qui a reçu un
soin et le professionnel qui a donné le dit soin, bien s'assurer que les deux
existent dans nos banques. Donc, on est capables de cette façon-là, nous, de
faire l'appariement et de voir que le professionnel a fait bel et bien l'acte
pour lequel il demande rétribution, et nous, de s'assurer que le citoyen a reçu
le bon service.
Donc, on a des renseignements
identificatoires autant chez les professionnels que chez les personnes, et nous
conservons ces données dans des systèmes qui leur sont propres. La
communication de ces renseignements-là n'est pas possible. Les renseignements
identificatoires ne peuvent pas être communiqués puisque la Loi sur l'assurance
maladie prévoit expressément que tout ce que la régie détient pour ses fins
propres ne peut être communiqué sous réserve d'une entente de communication
approuvée par la Commission d'accès. Et cette entente de communication là,
généralement, ça peut être des chercheurs universitaires qui vont… ou un
ministère, qui en aurait besoin pour les fins de ses attributions, donc c'est
prévu dans sa loi qu'il ait accès, par exemple, aux données d'adresse des
citoyens du Québec, compte tenu que la régie détient cette information-là, va
devoir présenter une entente qui va être avalisée par la Commission d'accès, et
sur la base de cet avis favorable là, par la suite, on va transmettre les
fichiers qui permettent le respect du cadre légal. Ça fait que c'est un peu le
processus, là, à haut niveau, qui a cours lorsque vient le temps de transmettre
ce type d'information là.
M. Jolin-Barrette : Et est-ce
que… la Régie de l'assurance maladie a combien de ce type d'entente là
actuellement?
M. Thibault (Marco) : Une
centaine.
M. Jolin-Barrette : Une
centaine. Et est-ce que ça touche… Ça touche quoi principalement, des
chercheurs, des…
M. Thibault (Marco) : …c'est un
peu le processus, là, à haut niveau, qui a cours lorsque vient le temps de
transmettre de type d'information là.
M. Jolin-Barrette : Et est-ce
que… la Régie de l'assurance maladie a combien de ce type d'entente là
actuellement?
M. Thibault (Marco) : Une
centaine.
M. Jolin-Barrette : Une
centaine. Et est-ce que ça touche… Ça touche quoi principalement, des
chercheurs, des recherches?
Mme Marceau (Sonia) : Tous
les ministères…
M. Thibault (Marco) : Les
ministères, organismes, chercheurs. Et chacune des ententes a ses
particularités propres, l 'objectif étant qu'on ne puisse pas… si… Prenons
l'exemple du ministère de l'Éducation qui, pour les fins de connaître sa
clientèle étudiante et qui pourrait rentrer à l'école l'année qui suit… va
communiquer les renseignements des enfants nés susceptibles d'entrer, mais on
ne communiquera pas les renseignements de santé. Dans ce cas-ci, on va
circonscrire l'information pour permettre au ministère de l'Éducation, dans ce
cas-ci, d'offrir le service qu'il doit rencontrer et qui est prévu dans sa loi.
Si on parle d'un chercheur, le chercheur,
lui, il va souhaiter un domaine, donc il devra préciser dans sa demande à la Commission
d'accès à l'information les domaines ou les données qu'il souhaite avoir. Nous
allons les dépersonnaliser, donc enlever de l'information pour éviter la
capacité de les recouper. On va même s'assurer que, dans certains cas, s'il y a
de trop petits nombres, que ces gens-là soient agglomérés dans un plus grand
ensemble pour éviter qu'on puisse les reconnaître et, par la suite, on les
transmet sous avis favorable de la commission. Donc, c'est toujours la même
mécanique, la transmission est assujettie au préalable de l'avis favorable de
la Commission d'accès.
M. Jolin-Barrette : Parmi la
centaine d'ententes que vous avez, est-ce qu'à certains moments la Commission
d'accès à l'information a dit à la Régie de l'assurance maladie du Québec :
Non, on n'approuve pas cette entente-là, ou veuillez la corriger pour faire en
sorte d'avoir… de sécuriser davantage les renseignements des individus, ou, à
toutes les fois, vous avez eu un avis favorable de la Commission d'accès à
l'information?
M. Thibault (Marco) : Il y a…
Je laisserais peut-être le soin à Mme Marceau de préciser parce que, dans le
détail, elle l'a plus vécu que moi. Je vous dirais que le travail de la
commission amenait… amène les chercheurs à préciser, et à ajouter, et à
s'assurer que c'est pertinent, que c'est correct, que c'est adéquat et que ça
ne va pas trop loin. C'est la même chose pour les ministères et organismes.
Donc, dans ce contexte-là, le tout est travaillé en amont, et lorsque l'avis
est donné, l'avis est donné parce que l'ensemble de l'entente de communication
respecte les critères qui assurent la protection. Donc, c'est comme si ce
mécanisme-là est a priori, comme je le disais dans mon propos, d'entrée de jeu,
il n'est pas a posteriori. On s'assure a priori qu'on a mis en place l'ensemble
des garde-fous pour assurer la protection de ce qui serait transmis comme
renseignements et qu'on ne permettrait pas la divulgation de renseignements
personnels de manière inadéquate.
M. Jolin-Barrette : O.K. Dans
votre mémoire, là, vous dites que vous êtes préoccupés «par l'abandon du
consentement implicite reconnu historiquement dans le domaine de la santé plus
que celui d'exiger un consentement distinct et express». Qu'est-ce que vous
voulez dire par là?
M. Thibault (Marco) : Bien…
M. Thibault (Marco) : ...de
renseignements personnels de manière inadéquate.
M. Jolin-Barrette : O.K. Dans
votre mémoire, là, vous dites que vous êtes préoccupés «par l'abandon du
consentement implicite reconnu historiquement dans le domaine de la santé plus
que celui d'exiger un consentement distinct et express». Qu'est-ce que vous
voulez dire par là?
M. Thibault (Marco) : Bien, le
principe même d'avoir des soins, si on le prend dans le réseau, c'est :
quand que tu arrives, tu as des soins puis tu consens aux soins, bien,
automatiquement, l'ensemble des informations que l'établissement ou que les
cliniciens vont avoir, autant en contactant les systèmes d'information de la
régie ou le Dossier santé Québec, bien, automatiquement, les gens y ont accès.
Ça fait que ça fait partie un peu de... Implicitement, on s'attend à ce que l'établissement
de santé, un professionnel de la santé ou la Régie de l'assurance maladie, dans
ce cas-ci, pour notre propre prestation de services, on s'attend que le citoyen
sache qu'on sait c'est qui et qu'on détient l'information qui est pertinente
par rapport à la relation ou aux services qu'il s'attend d'avoir.
Donc, de demander systématiquement un
consentement express et tacite à chaque utilisation comme... Je vais vous
donner un exemple. Ça pourrait amener une utilisation qui est pertinente. Dans
ce cas-ci, prenons le ministère qui souhaiterait voir l'efficience d'une
mesure, sa performance de cette mesure, bien, souhaiterait avoir accès à
l'information, évidemment... dépersonnalisée, ne pourrait pas l'avoir parce
qu'on ne l'aurait pas prévu d'entrée de jeu.
Donc, automatiquement, ça voudrait donc
dire que, si on ne prévoit pas, d'entrée de jeu, toutes les possibilités
d'utilisation, toujours en protégeant, évidemment, les renseignements
personnels... nous obligerait à retourner en consentement express à chaque
nouvelle utilisation. Et donc vous comprendrez que les chercheurs qui
souhaiteraient avoir accès, on devrait... donc, d'avoir un consentement initial
qui pourrait avoir énormément de portée, énormément... et j'ai peine à croire
celui qui lirait ce qu'on lui demanderait. C'est comme si ce serait peut-être
une police d'assurance, là, qui est en petits caractères, à quoi je viens de
consentir tellement... Il faudrait essayer de prévoir différentes modalités.
Ça fait que c'est le côté opérationnel de
la chose qui nous amène à nous questionner considérant ce qu'on a eu comme
expérience en termes d'utilisation de données et de protection de ceux-ci.
Est-ce que je réponds...
• (19 h 50) •
M. Jolin-Barrette : Oui, je
vous remercie.
Le Président (M.
Bachand) : Merci beaucoup. M. le député de Vachon, s'il vous
plaît.
M. Lafrenière : Je vais
laisser la parole à mon doyen le député...
Le Président (M.
Bachand) : Ah! vous êtes un gentilhomme. M. le député de
Saint-Jean, s'il vous plaît.
M. Lemieux : Mais ça m'a coûté
cher. Merci, M. le Président. Madame, monsieur, bonsoir. La RAMQ travaille déjà
à partir de la Loi sur l'assurance maladie. Sans aller dans tous les détails et
les petits détails, essentiellement, qu'est-ce que le projet de loi n° 64 vient changer pour vous, pas justement dans le détail
mais en termes d'exigences? Est-ce que ce qu'on va vous demander de faire avec
la loi n° 64, si elle est adoptée comme elle l'est en
ce moment, est-ce que ça va être encore plus sévère pour vous ou la loi que
vous avez déjà... qui vous gère est déjà très restrictive à cet égard-là?
M. Thibault (Marco) : Bien,
notre loi est plus restrictive. Elle ne change peu. En termes d'accessibilité à
la donnée, en termes de protection, ce qui est proposé, considérant, nous,
notre cadre...
M. Lemieux : ...plus sévère
pour vous, ou la loi que vous avez déjà, qui vous gère, est déjà très
restrictive à cet égard-là?
M. Thibault (Marco) : Bien,
notre loi est plus restrictive. Elle ne change... peu en termes d'accessibilité
à la donnée, en termes de protection, ce qui est proposé, considérant, nous,
notre cadre particulier, il n'y a pas beaucoup de changements. Les changements
que ça vient induire sont plus d'ordre administratif et clérical, à l'intérieur
de notre organisation, ce qu'on devra documenter, ce qu'on devra rédiger, alors
que c'était fait autrefois par la commission d'accès. Donc, ce sont des responsabilités
nouvelles, mais qui... présentement, elles sont tantôt exercées par la commission
d'accès, tantôt exercées par l'Institut de la statistique. Donc, pour nous, ça
pourrait venir plus lourd administrativement, mais ça ne protègerait pas
davantage.
Puis je vous dirais, à l'instar de ce que
je précisais tout à l'heure, le fait qu'actuellement, quand on regarde les
données de santé et le niveau de sensibilité qu'elles sont, le fait d'avoir,
pour nous, un avis favorable de la commission d'accès avant la transmission,
ça, c'est un acquis, pour nous, qu'il nous semble important de préserver.
Est-ce que cet acquis-là est nécessaire dans l'ensemble des renseignements qui
sont visés par le projet de loi n° 64? Je ne pourrais
pas me prononcer. Mais le niveau de sensibilité des renseignements de santé
m'amène à avoir plus de prudence et m'assurer qu'avant que le tout soit
communiqué... d'avoir une instance neutre, telle que la commission, est un
rempart additionnel qui, à mon sens, pourrait apporter une plus grande sécurité
si celle-ci était maintenue.
M. Lemieux : On a beaucoup
parlé, depuis le début de ces audiences, d'anonymisation des données, et c'est
un sujet qui devient de plus en plus intéressant considérant tout ce qu'on
constate que ça veut dire ou que ça ne veut pas dire. Dans le cas de la
régie... de la RAMQ, sauf erreur, on parle beaucoup de volumétrie. C'est-à-dire
que, si j'ai bien compris, ce n'est même pas une question d'anonymiser, c'est
une question de juste donner des nombres, la volumétrie. Est-ce qu'il y a autre
chose à cet égard-là qui, pour vous, va changer les choses, et est-ce que parce
que vous avez l'habitude de travailler avec ça, vous voyez, dans le projet de
loi n° 64, tel qu'il est écrit, des choses qu'on
pourrait mieux écrire?
M. Thibault (Marco) : Bon.
C'est vrai que la régie produit beaucoup de données statistiques, mais, par
définition, des volumes. Le nombre de chirurgies, le nombre de prescriptions de
médicaments. Il n'y a pas de lien avec l'individu, c'est des volumes. Et dans
ce contexte-là, pour nous, l'enjeu de l'anonymisation ou de la
dépersonnalisation, il est réglé. Quand on parle de données statistiques, il
n'y a pas d'enjeu.
Lorsqu'il s'agit d'ententes de
communication de renseignements, prenons dans... le cas des chercheurs
universitaires, la dynamique qu'il faudrait anticiper, c'est de voir ce qui est
transmis ou ce qui est rendu accessible avec les nouvelles technologies, avec
ce que l'intelligence artificielle, avec ce que les banques que les chercheurs
peuvent eux-mêmes avoir constituées avec d'autres sources... Est-ce qu'ils sont
à même de pouvoir faire des recoupements qui, là, amèneraient une
réidentification. Et c'est là qu'on devra, nous...
M. Thibault (Marco) : ...ce qui
est transmis ou ce qui est rendu accessible avec les nouvelles technologies,
avec ce que l'intelligence artificielle, avec ce que les banques que les
chercheurs peuvent eux-mêmes avoir constituées avec d'autres sources, est-ce
qu'ils sont à même de pouvoir faire des recoupements qui, là, amèneraient une
réidentification? Et c'est là qu'on devra, nous, faire des efforts additionnels
et développer une expertise en anonymisation. Il faut se pratiquer pour dire ce
mot-là, il n'est pas simple. Ça fait que tout ça pour vous dire que ça ne sera
pas simple. Les organisations n'ont pas toutes cette expertise-là. On faisait
beaucoup plus de dépersonnalisation, quelques bribes d'anonymisation, mais
jamais au sens de ce que les experts en témoignent et sur lesquels j'ai pu lire
récemment. Ça fait que je vous dirais que ça, c'est un outil que l'organisation
devra travailler pour faire en sorte qu'on puisse assurer les plus hauts
standards en cette matière.
M. Lemieux : Sauf erreur...
Pardon?
Le Président (M.
Bachand) : ...
M. Lemieux : Oui, merci.
Combien de temps encore?
Le Président (M.
Bachand) : Quatre minutes.
M. Lemieux : Merci. Sauf
erreur, les données de la RAMQ sont propriété du ministère de la Santé et des
Services sociaux. Vrai?
M. Thibault (Marco) : ...Les
données que la régie opère pour le régime d'assurance médicaments, régime
d'assurance maladie sont propriété de la régie. Les données que la régie opère
sur des systèmes, prenons le Dossier santé Québec, le fameux DSQ, ces
données-là appartiennent au ministère, n'appartiennent pas à la régie. La régie
ne peut pas les utiliser. Le cadre restrictif de la loi ne permet pas une
utilisation des données déposées dans le DSQ pour les fins des attributions de
la régie. Donc, quand les données appartiennent au ministère, elles
n'appartiennent pas à la régie, même si elles peuvent être opérées
informatiquement par nous.
M. Lemieux : Pour en revenir à
la première question du ministre qui m'a fasciné parce qu'il y a tellement
d'autres données que vous avez qui se promènent, lui, il a pris l'exemple de
son rendez-vous, de ce que le médecin a facturé, mais prenons l'ensemble du
système, ça en fait de la donnée, ça.
M. Thibault (Marco) :
Énormément.
M. Lemieux : Combien?
M. Thibault (Marco) : Il y a
la donnée que la régie possède, il y a la donnée que le ministère possède et il
y a la donnée que les établissements possèdent, et il y a la donnée que les
cliniques médicales possèdent. Et tous ces univers-là sont des univers
distincts qui, dans certains cas, communiquent entre eux, mais pas tout le temps
et il n'y a pas nécessairement d'interrelation. Donc, dans certains cas, la
régie aimerait pouvoir utiliser certaines données cliniques pour éviter de
demander aux médecins ces informations, demander aux pharmaciens les
informations qu'on possède déjà dans le DSQ, mais on n'a pas le droit. Idem
pour le ministère. Le ministère aimerait peut-être, pas peut-être, aimerait
certainement avoir accès à certaines données qui lui permettraient de voir
l'évolution de l'organisation des services que la régie possède, mais ne peut
pas la communiquer selon le cadre actuel, en raison des règles très
restrictives. Ça fait que ce n'est pas... c'est assez étanche et c'est un peu
ce qu'on essayait de faire voir dans notre mémoire qu'on vous a déposé.
M. Lemieux : Il a beaucoup été
question de consentement dans les mémoires qu'on a reçus. Vous, vous n'avez pas
besoin de ça, un consentement?
M. Thibault (Marco) : Oui.
Oui, on aime le consentement. On l'exige à peu près dans 95 %... 99 %
des cas. Ça fait que l'enjeu, c'est de prévoir le consentement...
M. Lemieux : ...Il a beaucoup
été question de consentement dans les mémoires qu'on a reçus. Vous, vous n'avez
pas besoin de ça, un consentement?
M. Thibault (Marco) :
Oui. Oui, on aime le consentement. On l'exige à peu près dans 95 %...
99 % de cas. Ça fait que l'enjeu, c'est de prévoir le consentement express
et distinct à chaque utilisation. Et c'est là que ça amène un défi de
conceptualisation pour nous de le faire à chaque fois.
M. Lemieux : Mais ma
boutade ne se voulait pas drôle mais se voulait un constat que, de la même
façon que quand j'ai 25 pages à lire pour installer ma mise à jour... des
grosses chances que je ne me rende pas à la deuxième ligne, quand je suis à
l'hôpital, quand je suis chez le médecin, il n'y a pas grand chance que je
commence à regarder où ça s'en va, là.
M. Thibault (Marco) : Ça,
c'est un... Je faisais l'allégorie des polices d'assurance en petits
caractères. Je vous rejoins sur cette préoccupation-là, M. le député.
M. Lemieux : Et vous y
voyez quoi comme perfectibilité, à ce consentement? Vous me dites que là, 99 %,
vous me disiez, c'était express, que vous...
M. Thibault (Marco) :
...express, rt que l'utilisation n'était pas circonscrite à un usage unique. Ça
fait que c'est express à chaque utilisation. Ça fait qu'est-ce qu'on pourrait
penser une formulation qui permet un usage plus étendu, toujours en exigeant le
consentement? Moi, je pense que ça, il y a quelque chose... à moins que la
personne soit dans l'incapacité, là, on comprend que s'il y a un accident
d'auto puis que la personne n'est pas capable de consentir, on ne se pose pas
la question. Mais, au-delà de ça, moi, je pense que le consentement devrait
être exigé, mais express et distinct à chaque utilisation, c'est là-dessus que
je mettrais des nuances, notamment en santé. Pour les autres sphères d'activité
de l'État, je ne suis pas prêt à avoir une opinion, je ne l'ai pas réfléchi,
honnêtement, je ne serais pas capable de vous...
Le Président (M.
Bachand) : 30 secondes.
M. Lemieux : O.K. Oui.
Au-delà d'y réfléchir, de toute façon, on n'a plus le temps de réfléchir. Mais,
comme vous connaissez ça, les données, puis vous en... vous jonglez avec beaucoup...
puis vous êtes sous le coup... pas sous le coup, mais vous êtes sous une loi
qui est encore plus restrictive que ce qu'on est en train de considérer, elle
est-u bonne, notre loi?
Le Président (M.
Bachand) : Rapidement, M. Thibault.
M. Thibault (Marco) :
Oui. Il y a des éléments... Il y a beaucoup d'éléments là-dedans qu'on pratique
déjà. Et on pense qu'on ne peut pas jouer avec la sécurité des renseignements
personnels. Comment réussir à mieux encadrer et mieux protéger sans trop alourdir
en se donnant une fausse illusion que, parce qu'on a mis en place bien des
mécanismes, on est mieux protégés? C'est là qu'est le défi. C'est toujours le
défi de la juste mesure. Je vous dirais que ce serait ça, ma préoccupation.
M. Lemieux : Merci
beaucoup. Merci.
Le Président (M.
Bachand) :Merci beaucoup. Je me tourne maintenant
vers l'opposition officielle. Mme la députée de... Notre-Dame-de-Grâce, pardon.
Mme Weil
: Oui.
Alors, bonjour, M. Thibault, Mme Marceau. Bienvenue ce soir à cette consultation.
Oui.
Est-ce qu'on peut revenir sur cette question
de consentement implicite? Vous avez parlé de consentement implicite. D'après
ce que je comprends, puis vous disiez : Si quelqu'un vient pour un
service quelconque, évidemment, on n'a pas à demander expressément son consentement
parce qu'en arrivant pour le service il y a comme un consentement implicite.
• (20 heures) •
Pourriez-vous nous expliquer les
situations où... Comment vous traitez le consentement différemment dépendant des
situations et quand est-ce que le consentement bien exprimé est nécessaire et
quand est-ce que c'est...
20 h (version non révisée)
Mme Weil
:
...expressément son consentement, parce qu'en arrivant pour le service, il y a
comme un consentement implicite. Pourriez-vous nous expliquer les situations
où... comment vous traitez le consentement différemment, dépendant des situations,
et quand est-ce que le consentement bien exprimé est nécessaire, et quand est-ce
que c'est implicite?
M. Thibault (Marco) : Bien,
je vous dirais que... Prenons l'exemple d'un service qui serait consommé à la
régie. La personne souhaite avoir accès au programme Mieux voir pour réussir,
donc l'acquisition des lunettes avec la contribution de 250 $ sur deux
ans. Quand on... quand la personne demande le remboursement, elle consent à ce
que nous puissions regarder l'ensemble des informations, c'est-à-dire est-ce
qu'il y a eu une consultation auprès d'un optométriste, est-ce qu'on peut
vérifier la facture, on peut voir si c'est un commerçant qui a pignon sur rue,
avec un numéro de TPS, TVQ? Donc, on ne lui demande pas l'ensemble de toutes
ces dimensions-là. On lui donne... on lui demande de consentir à ce que, dans
le fait d'avoir une contribution de l'État, il consent à ce qu'on puisse
utiliser d'autres informations, dont son adresse, pour être sûr qu'il y a une
bonne correspondance entre le parent et l'enfant. Donc, on ne lui demande pas
chacun des détails de ce que nous possédons, on se sert de l'ensemble pour
s'assurer, d'une part, que le versement soit fait rapidement, efficacement, peu
de tracasseries administratives, pas demander au citoyen de nous donner une
information qu'on possède déjà, mais de surcroît, s'assurer qu'en contrôle, on
donne l'information, on donne le paiement à la bonne personne qui en a vraiment
droit.
Donc, vous comprendrez que de demander un
consentement express sur chacune des dimensions prévues à la demande, c'est là
que ça devient plus complexe dans la compréhension qu'on en a, du projet de
loi. Peut-être qu'on en fait une lecture erronée, mais là, on voyait :
express et distinct à chaque utilisation, c'est là que ça nous semblait plus
complexe.
Mme Weil
: Et
qu'express et distinct, oui, c'est ça qu'il faudrait, d'après votre
compréhension, la manière que le projet de loi est libellé, vous devriez
expliquer, comme vous avez dit, expliquer chaque étape pour avoir un
consentement pour chacune de ces étapes. Donc, vous demandez une reformulation
pour tenir compte, justement, du service que vous fournissez puis le
consentement implicite.
Est-ce que vous avez eu l'occasion d'avoir
des consultations avec le gouvernement ou la ministre à l'époque ou le ministère
quand ça a été... souvent, il y a des discussions, hein, entre les organismes
pour s'assurer que dans le secteur public, on n'ait pas de conséquence non
prévue, disons ça comme ça. Il n'y a pas eu de consultation dans votre cas par
le ministère de la Santé.
M. Thibault (Marco) : Non.
Mme Weil
: Donc, est-ce
que vous voyez d'autres changements? Qu'est-ce que vous demandez de faire ou
comment voulez-vous que la loi soit adaptée à votre réalité, et certainement,
l'expertise que vous avez? Comme vous dites, vous avez déjà le système le plus
sécuritaire qu'on peut imaginer, votre inquiétude, c'est les conséquences sur
la lourdeur administrative, etc. Donc, ce n'est pas un souhait, certainement,
je ne pense pas qu'avec le collègue ni le ministre on...
Mme Weil
: …et certainement
l'expertise que vous avez, comme vous dites, vous avez déjà le système le plus
sécuritaire qu'on peut imaginer, votre inquiétude, c'est les conséquences sur
la lourdeur administrative, etc. Donc, ce n'est pas un souhait, certainement,
je ne pense pas qu'avec le collègue ni le ministre on souhaiterait vous
ralentir, vous avez un travail extrêmement important à faire fondamental. Donc,
il faut trouver, quant à moi, une solution. Donc, au-delà de cette question de
consentement, qu'est-ce que vous nous demandez de faire pour corriger ce que
vous percevez comme… la situation et les conséquences néfastes sur votre
fonctionnement? Est-ce qu'il y a d'autres dimensions que le consentement?
M. Thibault (Marco) : Pour
moi, je le regarderais d'une façon circonscrite aux renseignements de santé.
L'avis préalable de la commission avant la transmission, avant la communication
de renseignements, me semblerait un plus. La nature de ces renseignements-là
sont tellement sensibles que je pense qu'un petit délai additionnel, aussi
administratif soit-il, vaut la peine considérant le préjudice que cela pourrait
entraîner s'il y avait une erreur. Première recommandation que je pense qu'il
faudrait retenir.
Deuxième recommandation, je pense qui est
importante, c'est dans la clarification de qui est imputable vraiment :
Est-ce qu'un comité à l'interne? C'est-u le plus haut dirigeant? C'est-u la
responsable de l'accès? Moi, personnellement, je trouve que la personne qui est
désignée dans nos organisations comme étant responsable de l'accès devrait être
l'entité imputable. C'est une délégation de nos hauts dirigeants, on en est,
mais ce n'est pas un comité qui est responsable. Il faut qu'il y ait une
imputabilité qui ne soit pas diffuse, un comité, pour moi, ce n'est pas
responsable, c'est une personne qui est responsable, c'est un dirigeant, c'est
une personne en autorité sur une fonction.
Dernier élément, les éléments de
documentation sur l'évaluation des facteurs relatifs à la vie privée, je pense
qu'il y a quelque chose là de simple dans ce qui est amené dans le projet de
loi. Comment on le garde simple pour pouvoir avancer? Donc, je pense qu'il y a
un élément de documentation, on se doit d'être probablement… toutes les
organisations ont besoin d'être plus rigoureuses là-dedans. Mais est-ce qu'on
doit aller autant dans le détail, avec autant de lourdeur? J'ai l'impression
qu'on va faire plus de documentation puis on va créer moins de valeur dans la
transformation de nos organisations. Ça fait que c'est un peu cet équilibre-là
que j'essaie de trouver et le juste équilibre par rapport aux risques qu'on
vit.
Mme Weil
: Est-ce que
vous avez regardé peut-être d'autres régimes dans d'autres provinces, OHIP, par
exemple, et comment eux fonctionnent dans ce même genre de cadre? Bon. Ils
n'ont peut-être pas une loi comme ça, mais ils ne sont peut-être pas rendus… ce
n'est peut-être pas une question possible, là. Donc, actuellement, est-ce que
ça fonctionne en Ontario de façon similaire au Québec?
M. Thibault (Marco) : Je vous
donnerais un exemple, les renseignements… quand la régie… elle a 50 ans, cette
année, la régie, lorsqu'elle a été créée, la façon, dont leur législateur de
l'époque a réfléchi, a dit : Tout ce qui va arriver à la régie doit être
traité de la même…
Mme Weil
: …que ça
fonctionne en Ontario de façon similaire au Québec?
M. Thibault (Marco) : …je vous
donnerais un exemple. Les renseignements… quand la régie — elle a
50 ans cette année — la régie, lorsqu'elle a été créée, la façon
dont le législateur de l'époque a réfléchi, a dit : Tout ce qui va arriver
à la régie va être traité de la même façon. Et c'est à ce point vrai que ce que
nous détenons pour les personnes assurées a le même niveau de protection que ce
que nous détenons chez les professionnels. Et vous avez probablement vu dans
les médias, je pense, c'est il y a un an et quelques, en Ontario, on a pu
divulguer le niveau de rémunération des médecins. Au Québec, notre cadre légal
ne le permet pas.
Donc, il y a des grandes distinctions
entre les deux régimes. Ça fait qu'on n'a pas fait une analyse de droit
comparé, avec les temps impartis, on n'aurait pas pu le faire, mais on a un
régime qui a été pensé pour vraiment protéger ce que la régie détient comme
information. Ça fait que pour nous, on ne sent pas qu'on va être plus protégés,
considérant ce qu'on a. On se dit juste : Les éléments qui sont amenés pour
améliorer… il y a des choses qui sont très bien dans le projet de loi, il ne
faut pas les mettre trop contraignantes ou trop lourdes administrativement
parce que ça va nous mettre plus de temps à faire ça… créer de la valeur ou de
rendre des services aux citoyens.
C'est plus cette préoccupation-là qu'on
tenait à vous adresser à vous, les membres de la commission.
Mme Weil
: Merci. Merci
beaucoup, monsieur.
Le Président (M.
Bachand) : Merci. Ça va? M. le député de Gouin, pour
2 min 50 s, s'il vous plaît.
M. Nadeau-Dubois : Merci, M.
le Président. Bonjour, merci d'être avec nous, merci, M. Thibault, d'être
là. J'ai peu de temps, je vais aller droit au but. Est-ce qu'il y a, en ce
moment, des ententes de communication qui permet à la Régie de l'assurance
maladie du Québec de partager des données médicales directement ou
indirectement avec des entreprises privées?
M. Thibault (Marco) : Non, pas
à ma connaissance, il n'y en aurait pas eu dans l'histoire.
M. Nadeau-Dubois : Merci.
Est-ce que vous connaissez le projet Precinomics?
M. Thibault (Marco) : Non.
J'en ai entendu parler, je l'ai vu dans les médias, mais non.
M. Nadeau-Dubois : O.K. Est-ce
qu'il y a des ententes entre la Régie de l'assurance maladie du Québec,
directement ou indirectement, pour transférer des données vers le projet
Precinomics?
M. Thibault (Marco) : Aucune
entente avec la Régie de l'assurance maladie du Québec avec ce projet.
M. Nadeau-Dubois : Est-ce
qu'il y en a, des ententes, avec l'Institut national d'excellence en santé et
en services sociaux?
M. Thibault (Marco) : Tout à
fait.
M. Nadeau-Dubois : Est-ce
qu'une de ces… est-ce qu'en vertu d'une des ententes entre la RAMQ et l'INESSS,
il serait possible à l'INESSS de transmettre des données au projet Precinomics?
M. Thibault (Marco) :
Normalement, non. Normalement, non. L'entente que nous lui donnons, c'est pour
l'usage exclusif de l'INESSS.
M. Nadeau-Dubois : Donc, il
n'y a aucune clause…
M. Thibault (Marco) : Et
l'INESSS doit rendre compte, si vous me permettez…
M. Nadeau-Dubois : Oui,
allez-y.
M. Thibault (Marco) : L'INESSS
doit rendre compte de l'utilisation des renseignements que nous lui proposons
par entente. Elle le fait de façon annuelle à la Commission d'accès à
l'information.
M. Nadeau-Dubois : Parfait.
Donc, il n'y a aucune clause d'aucune entente entre la RAMQ et l'INESSS qui
permettrait à l'INESSS de transmettre des données au projet Precinomics?
M. Thibault (Marco) : À ma
connaissance, non.
M. Nadeau-Dubois : O.K.
Connaissez-vous le projet ARCHI?
M. Thibault (Marco) : Pardon?
M. Nadeau-Dubois :
Connaissez-vous le projet ARCHI?
M. Thibault (Marco) : Je l'ai
vu, je pense, dans les médias, mais nous, on n'est pas associés.
M. Nadeau-Dubois : Donc, il
n'y a aucune collaboration entre… la RAMQ n'est pas impliquée d'aucune manière
dans le projet ARCHI?
M. Thibault (Marco) : Projet
ARCHI, c'est… non, ce n'est pas la régie, on n'a pas d'entente dans ce
projet-là…
M. Nadeau-Dubois : ...ARCHI
M. Thibault (Marco) : Pardon?
M. Nadeau-Dubois :
Connaissez-vous le projet ARCHI?
M. Thibault (Marco) : Je l'ai
lu, je pense, dans les médias, mais nous, on n'est pas associés.
M. Nadeau-Dubois : Donc, il
n'y a aucune collaboration entre la... La RAMQ n'est pas impliquée, d'aucune
manière, dans le projet ARCHI?
M. Thibault (Marco) : Projet
ARCHI, c'est... Non, ce n'est pas... La régie, on n'a pas d'entente dans ce
projet-là.
• (20 h 10) •
M. Nadeau-Dubois : Parfait. Est-ce
que le cadre légal actuel, celui qui vous régit actuellement, permettrait à la
RAMQ de transmettre des informations soit directement, soit via l'INESSS, au
projet Precinomics?
M. Thibault (Marco) : Il
faudrait que je voie la nature du projet, qui est le détenteur; il faudrait
qu'il passe à travers un projet d'éthique... comité d'éthique d'un chercheur;
il faudrait qu'il passe l'étape de la Commission d'accès à l'information en
termes de règles, probité. Ça fait qu'honnêtement, je n'en ai aucune idée, s'il
passerait ces étapes-là ou pas, je ne le connais pas, ça fait que je
m'aventurerais sur un terrain très glissant.
M. Nadeau-Dubois : Merci. Est-ce
que vous avez... Est-ce que la RAMQ a déjà été approchée par des entreprises
privées pour transmettre des données? Est-ce qu'il y a un intérêt du secteur
privé pour les données que vous détenez?
M. Thibault (Marco) : Moi, je
n'ai pas été rencontré. Ça fait deux ans que je suis ici, je n'ai pas été
rencontré; Mme Marceau non plus. L'entreprise privée, ce qu'elle nous a demandé — et
ça, c'est vrai, parce que c'est disponible — ce sont des données
statistiques, aucun renseignement. Donc, on n'envoie pas des banques. Les gens
vont nous demander : Combien il y a eu d'arthroplasties du genou? Combien
il y a eu d'arthroplasties de la hanche? Combien il y a eu de valves aortiques
qui ont été posées? Donc, c'est des choses de cette nature-là, très
statistiques, sur des tableaux formatés, qu'il n'y a pas... il n'y a pas de
données de renseignements personnels.
M. Nadeau-Dubois : Est-ce
que... Dans un article du...
M. Thibault (Marco) : Et ça,
c'est le même genre de demandes que parfois les parlementaires nous font ou les
médias. Ça fait que c'est identique.
M. Nadeau-Dubois : Parfait.
Oui. J'ai peu de temps. Dans un article du 28 août publié dans le Journal de
Montréal, on parle... on cite une déclaration du cabinet du ministre
délégué à la Santé à l'effet qu'il y aurait des échanges entre l'INESSS et le
projet Precinomics. Est-ce que je comprends de vos réponses à mes questions
aujourd'hui que ces échanges-là n'ont pas lieu?
M. Thibault (Marco) : Bien, en
ce qui nous concerne, la régie, nous. Mais là, je ne peux pas témoigner sur cet
élément-là.
M. Nadeau-Dubois : Parfait.
Merci.
Le Président (M.
Bachand) : Merci, merci. M. le député de René-Lévesque, s'il
vous plaît.
M. Ouellet : Merci. On va
continuer dans la même veine. Messieurs, mesdames, merci de votre présence
tardive ce soir. Je voudrais savoir : si effectivement il y avait échange d'information
entre la RAMQ et d'autres chercheurs, est-ce que ces données-là devraient être
détenues au Québec seulement ou elles pourraient être transférées sur des
serveurs ailleurs?
Mme Marceau (Sonia) : Bien, en
fait, si je peux me permettre, au niveau des chercheurs, première des choses, jusqu'à
maintenant, on fait affaire seulement avec des chercheurs du public, et les
chercheurs passent par un processus qui est déjà très rigoureux, comme M.
Thibault disait, auquel cas il y a déjà un comité d'éthique qui est habituellement
attaché à une institution universitaire...
Mme Marceau (Sonia) : ...la
parole, si je peux me permettre. Au niveau des chercheurs, première des choses,
jusqu'à maintenant, on fait affaire seulement avec des chercheurs du public, et
les chercheurs passent par un processus qui est déjà très rigoureux, comme
M. Thibault disait, auquel cas il y a déjà un comité d'éthique qui est
habituellement attaché à une institution universitaire la plupart du temps. Et
donc ils passent au travers d'un comité éthique, ensuite ils passent à la Commission
à l'accès à l'information qui est toujours celle qui s'occupe de rédiger les
ententes avec les chercheurs. Toutefois, une fois que la CAI a donné son
autorisation, elle passe chez nous après pour une deuxième autorisation, dans
le fond, considérant notre régime restrictif. Donc, habituellement, dans ces
ententes-là, est regardé l'hébergement des données et tout. Et, jusqu'à ce
jour, ces données-là sont conservées, là, au Canada, là, ou au Québec dans les
institutions qu'on a reconnues.
Donc, à notre connaissance, non. Il y a
des règles préétablies et tout qu'ils doivent respecter, là, pour... et qui
reviennent à eux de respecter, là, dans le cadre de la protection des
renseignements. Et il y a aussi des règles de destruction des données après un
certain temps aussi, là. Donc, on respecte vraiment notre politique de cycle
d'information. Donc, jusqu'à ce jour, on n'aurait pas eu connaissance qu'il y
aurait eu des informations qui auraient pu être transmises, là, à l'extérieur.
M. Ouellet : Je comprends que
ce n'est pas arrivé, mais est-ce que ça pourrait arriver? C'est-à-dire que les
gens qui demandent effectivement accès, vous faites référence à des demandes
passées pour lesquelles la demande publique était sur des serveurs canadiens,
mais est-ce qu'on pourrait penser qu'il y aurait effectivement des demandes qui
transiteraient ces informations-là sur des serveurs ailleurs dans le monde?
Mme Marceau (Sonia) : Bien,
moi, je pense que des consortiums de chercheurs pourraient, là, à un certain
point, avoir un partage, mais...
M. Thibault (Marco) : ...à ce
moment-là de voir si c'est applicable en fonction de nos règles à ce moment-ci
si ça ne s'est pas présenté. Mais c'est difficile de vous dire est-ce que c'est
permis ou pas à ce moment-ci.
M. Ouellet : Est-ce que vous
auriez l'expertise justement?
M. Thibault (Marco) : Je sais
qu'il a une volonté gouvernementale, si vous me permettez, de vouloir garder
l'ensemble des données et renseignements au Québec, en sol québécois.
M. Ouellet : Donc, est-ce que
vous auriez l'expertise pour évaluer le régime de protection des données hors
Québec?
M. Thibault (Marco) : Est-ce
que?
Mme Marceau (Sonia) : On
serait l'expertise.
M. Thibault (Marco) : Est-ce
qu'on serait l'expertise, nous?
M. Ouellet : Oui, oui.
M. Thibault (Marco) : Non. On
ne détient pas cette expertise-là.
M. Ouellet : O.K. Donc, ça
serait la Commission d'accès à l'information qui serait le premier filtre?
M. Thibault (Marco) : Bien,
c'est un de ceux qui peuvent nous aider là-dedans pour être capable d'établir
ces éléments-là, indéniablement.
M. Ouellet : O.K. Le temps?
Le Président (M.
Bachand) : ...allez-y rapidement, oui.
M. Ouellet : Donc, vous
comprenez notre interrogation à savoir si dans le projet de loi en question il
ne serait pas lieu d'intervenir pour s'assurer que minimalement les données qui
seraient échangées avec des compagnies tierces ou des chercheurs tiers soient
faites sur des serveurs sur le territoire québécois ou exclusivement canadien.
Est-ce que vous seriez d'accord avec ça?
M. Thibault (Marco) : Bien,
oui, et l'enjeu, c'est... Votre question soulève un autre élément et qui... là,
qui mériterait d'être débattu par les parlementaires, à savoir, jusqu'où on veut
ouvrir ailleurs qu'à ces instituts de recherche publics. Et, à ce moment-ci,
c'est l'orientation avec laquelle nous, nous travaillons, rester à l'intérieur
du...
M. Thibault (Marco) : ...Bien,
oui, et l'enjeu, c'est... Votre question soulève un autre élément qui... d'être
débattu par les parlementaires, à savoir, jusqu'où on veut ... ailleurs que
dans les... de recherche public. Et à ce moment-ci, c'est l'orientation avec
laquelle nous, nous travaillons, rester à l'intérieur...
Le Président (M.
Bachand) :Merci beaucoup.
M. Thibault (Marco) : ...avec
laquelle nous travaillons.
Le Président (M.
Bachand) : Merci. Sur ce, M. Thibault, Mme Marceau, merci
beaucoup de votre participation à la commission, c'est fort apprécié. Et je
vous souhaite une supersoirée.
Et la commission suspend ses travaux pour quelques
instants. Merci beaucoup.
(Suspension de la séance à 20 h 15)
(Reprise à 20 h 18)
Le Président (M.
Bachand) : À l'ordre, s'il vous plaît! La commission reprend
ses travaux. Ça nous fait plaisir d'accueillir les représentants de la
Commission d'accès à l'information du Québec. Alors, comme vous savez, vous
avez 10 minutes de présentation, mais j'aimerais d'abord que vous vous...
(Reprise à 20 h 18)
Le Président (M.
Bachand) :À l'ordre, s'il vous plaît! La
commission reprend ses travaux. Ça nous fait plaisir d'accueillir les
représentants de la Commission d'accès à l'information du Québec. Alors, comme
vous savez, vous avez 10 minutes de présentation, mais j'aimerais d'abord
que vous vous présentiez pour que vous puissiez débuter votre exposé, et après
on aura un échange avec les membres de la commission. Donc, merci d'être avec
nous ce soir, vous êtes nos derniers invités. Alors, donc, très heureux de finir
avec vous. La parole est à vous. Merci.
Mme Poitras
(Diane) : Merci, M. le Président. Alors, Bonjour, bonsoir, en
fait, je suis Diane Poitras, présidente de la Commission d'accès à
l'information et je suis accompagnée de Me Jean-Sébastien Desmeules,
secrétaire général et directeur des affaires juridiques. C'est avec plaisir que
nous avons accepté l'invitation d'échanger avec vous au sujet du projet de loi
n° 64 visant à moderniser les lois de protection des renseignements
personnels au Québec.
La commission a maintes fois souligné que
ces lois, adoptées aussi en… dernier, ne protègent pas adéquatement les
citoyens à l'aire du numérique. D'emblée, la commission se réjouit du dépôt de
ce projet de loi qui propose une réforme majeure s'inspirant de lois modernes
adoptées ailleurs dans le monde et de recommandations qu'elle a formulées dans
ses rapports quinquennaux. Les modifications proposées sont audacieuses,
ambitieuses mais nécessaires. Bien que notre mémoire formule plusieurs
recommandations, notre appréciation générale du projet de loi est positive. Ces
recommandations sont plutôt le reflet de notre enthousiasme à contribuer à
bonifier cette réforme. Ces lois sont au coeur de notre mission, et nous les
interprétons tous les jours depuis 38 ans dans le secteur public et 26
dans le secteur privé. Un régime clair et complet simplifie son application et
favorise le respect des obligations et des droits qu'il contient.
Le projet de loi propose des solutions
concrètes à plusieurs enjeux de protection des renseignements personnels. Par
exemple, on introduit les éléments visant à responsabiliser les organisations
et à améliorer la transparence de leurs pratiques en matière de protection des
renseignements personnels. De telles obligations sont déjà incluses dans les
autres lois canadiennes applicables au secteur privé. Cela rejoint donc la
préoccupation d'uniformisation des règles que certains intervenants ont
exprimée. On ne saurait négliger l'importance de pratiques transparentes,
respectueuses et loyales sur la confiance des citoyens. Selon un sondage
réalisé pour la commission, 91 % des répondants se préoccupent de la
protection accordée à leurs renseignements, au point de faire davantage affaire
avec des entreprises qui possèdent une bonne réputation dans ce domaine.
• (20 h 20) •
Un autre aspect positif du projet de loi
est l'assujettissement des partis politiques à des règles de protection des
électeurs, des renseignements au sujet des électeurs. Toutefois, l'encadrement
proposé est limité. Il ne vise pas tous les partis politiques ni tous les
renseignements personnels qu'ils détiennent. Par souci de concision, je dirai
simplement que nous abondons dans le sens des recommandations formulées par le
Directeur général des élections.
Aussi, bien qu'elle propose certaines
améliorations, la commission salue les nouveaux droits offerts aux citoyens et
les mesures relatives aux incidents de confidentialité. Ces dernières
permettront à la commission…
Mme Poitras
(Diane) : ...par souci de concision, je dirais simplement que
nous abondons dans le sens des recommandations, formulées par le Directeur
général des élections.
Aussi bien qu'elle propose certaines
améliorations, la commission salue les nouveaux droits offerts aux citoyens et
les mesures relatives aux incidents de confidentialité. Ces dernières
permettront à la commission de s'assurer que les mesures essentielles soient
prises rapidement pour protéger les renseignements des citoyens. Elles lui
permettront aussi d'avoir un portrait plus juste des causes, des incidents de
sécurité pour mieux intervenir auprès des organisations afin de les prévenir.
Au chapitre du consentement, maintenant,
la commission souligne la pertinence des modifications proposées. Toutefois,
vous l'avez constaté, plusieurs remettent en question l'efficacité du
consentement dans certaines situations. C'est pourquoi la commission propose de
limiter, voire d'interdire la collecte ou l'utilisation de renseignements
personnels en certaines circonstances, particulièrement préjudiciables ou
intrusives, par exemple certaines utilisations des renseignements génétiques ou
biométriques.
J'ouvre ici une parenthèse pour préciser
qu'au Québec, même si le consentement conserve une place importante, la loi
prévoit déjà d'autres bases juridiques autorisant la collecte, l'utilisation ou
la communication de renseignements personnels. Les modifications proposées par
le projet de loi vont dans le même sens. Par exemple, le consentement n'est pas
requis pour recueillir un renseignement auprès de la personne concernée. Une
entreprise doit avoir un intérêt sérieux et légitime pour recueillir des
renseignements personnels. Elle doit déterminer, avant leur collecte, à quelles
fins elles serviront et ne recueillir que les renseignements nécessaires à ces
finalités. Elle en informe la personne concernée. Ce n'est donc que si une
entreprise souhaite utiliser les renseignements personnels qu'elle détient à de
nouvelles fins ou les communiquer à des tiers qu'elle doit obtenir le
consentement de la personne concernée. La loi prévoit déjà plusieurs
communications qui peuvent être effectuées sans consentement. Le projet de loi
en propose de nouvelles. Il propose aussi de permettre l'utilisation à des fins
compatibles à celles de leur collecte.
Pour la commission, ces mesures permettent
un équilibre entre les droits des citoyens et les obligations des entreprises.
Toutefois, le libellé de l'article qui prévoit les modalités de ce consentement
pourrait effectivement être clarifié afin de respecter l'objectif poursuivi
sans imposer de fardeaux inutiles aux entreprises.
Au chapitre des améliorations sur
lesquelles j'aimerais insister, j'en soulignerai quatre. D'abord, la commission
formule des recommandations concernant les définitions de renseignements
personnels dépersonnalisés et anonymisés. Puisqu'elle détermine quelles règles
sont applicables à chacune de ces catégories, il importe qu'elles soient
clairement définies.
Deuxièmement, la commission formule
plusieurs recommandations concernant les enjeux soulevés par le recours à
l'intelligence artificielle et la biométrie. Leur utilisation répandue comporte
des risques accrus pour la vie privée qu'il importe de considérer davantage
dans la présente étude du projet de loi. Par exemple, en matière d'intelligence
artificielle, les dispositions proposées pour...
Mme Poitras
(Diane) : ...concernant les enjeux soulevés par le recours à l'intelligence
artificielle et la biométrie. Leur utilisation répandue comporte des risques
accrus pour la vie privée qu'il importe de considérer davantage dans la
présente étude du projet de loi. Par exemple, en matière d'intelligence
artificielle, les dispositions proposées pour l'encadrement des décisions
entièrement automatisées nous apparaissent insuffisantes pour assurer des décisions
transparentes et équitables, bien qu'elles soient intéressantes.
Les dispositions visant plus de
transparence de la part des entreprises qui recueillent des renseignements à
des fins de profilage pourraient aussi être améliorées. En effet, le profilage
constitue une pratique comportant un haut risque d'atteinte à la vie privée des
individus et à d'autres droits fondamentaux.
Quant à la biométrie, la législation
actuelle ne permet pas d'encadrer adéquatement certaines de ses utilisations.
Le caractère intime, unique et permanent des renseignements biométriques en
fait des renseignements particulièrement sensibles dont la collecte et
l'utilisation posent des risques importants pour les individus. Les nombreuses
critiques formulées au sujet de l'utilisation de la reconnaissance faciale à
des fins de surveillance témoignent de la nécessité de profiter de ce projet de
loi pour baliser certaines utilisations de la biométrie et de l'intelligence
artificielle.
Troisièmement, au chapitre de la
communication de renseignements personnels, le projet de loi introduit de
nouvelles exceptions à l'obtention du consentement dans le secteur public. Sans
remettre en question la légitimité des objectifs poursuivis, elle tient à
souligner que ces exceptions doivent être limitées, suffisamment encadrées et
viser une finalité clairement définie dans la loi. Aussi, il importe d'évaluer
l'impact des exceptions prévues aux lois sectorielles, qui prévoient des
régimes de protection plus stricts. Le respect de la vie privée n'est souvent
pas le seul objectif poursuivi par la confidentialité plus grande accordée à
ces renseignements sensibles.
Mais, surtout, la question de l'accès aux
données à des fins de recherche doit trouver une solution complète dans ce
projet. C'est pourquoi la commission propose un régime similaire à celui des
entités prescrites qui prévaut en Ontario. Il permettrait de simplifier l'accès
aux renseignements de santé pour les chercheurs tout en protégeant les
renseignements personnels de manière optimale.
Enfin, bien que la commission propose
quelques modifications au régime de sanctions administratives, pécuniaires et
pénales, la possibilité que de telles sanctions dissuasives soient imposées aux
organisations qui ne protègent pas les renseignements personnels est
essentielle. Face aux inquiétudes soulevées par certains intervenants, elle
tient à souligner qu'elle continuera à utiliser avec discernement les
différents outils à sa disposition dans le seul objectif de favoriser le
respect des lois qu'elle est chargée de surveiller. Ceci dit, la commission
propose de prévoir des montants fixes pour certains manquements précis tout en
conservant l'approche générale retenue par le projet de loi de pouvoir imposer
un montant maximal pour les manquements les plus graves.
En conclusion, la commission considère que
le projet de loi envoie un message clair de l'importance qu'accorde le Québec à
la protection des renseignements personnels de ses citoyens. Cette...
Mme Poitras
(Diane) : ...tout en conservant l'approche générale retenue par
le projet de loi de pouvoir imposer un montant maximal pour les manquements les
plus graves.
En conclusion, la commission considère que
le projet de loi envoie un message clair de l'importance qu'accorde le Québec à
la protection des renseignements personnels de ses citoyens. Cette importance
doit aussi se traduire dans les ressources accordées à l'organisme de contrôle
chargé de voir à son application. Comme l'ont souligné plusieurs intervenants,
la commission doit pouvoir disposer des ressources nécessaires pour accomplir
de manière efficace l'ensemble des volets de sa mission, qui sont nombreux. Au
31 mars dernier, elle pouvait compter sur 67 personnes. C'est le même
nombre qu'il y a 10 ans, et à peine plus qu'il y a 20 ans.
Or, le nombre et la complexité des
dossiers soumis à la commission ne cessent d'augmenter. Le sous-financement de
la commission nuit à une mise en oeuvre efficace et effective de ces lois.
Comme en témoigne son dernier rapport, la commission a démontré que l'ajout de
sommes supplémentaires influence directement sa capacité à traiter les dossiers
qui lui sont soumis. Par exemple, en un an, elle a pu réduire de quatre mois
les délais de traitement de certains dossiers de la section juridictionnelle et
doubler le nombre de plaintes traitées par la section de surveillance.
J'en profite pour souligner
l'extraordinaire travail accompli par l'équipe de la commission, et je les
remercie chaleureusement. Je vous remercie de votre attention, et il me fera
plaisir d'échanger avec vous au cours des prochaines minutes.
Le Président (M.
Bachand) : Merci beaucoup, Me Poitras. M. le ministre, s'il
vous plaît.
M. Jolin-Barrette : Oui.
Bonjour, Me Poitras, Me Desmeules. Merci de participer à l'étude... bien, en
fait, aux consultations du projet de loi n° 64.
Me Poitras, pour reprendre la balle au
bond, vous dites, vous avez un nombre limité de ressources relativement à votre
financement. Là, je sais qu'il y a 3 millions sur, je pense, trois ans qui
vous a été octroyé l'an... il y a deux ans aussi.
Combien de ressources supplémentaires ça
vous prendrait en lien avec le projet de loi n° 64 pour ne pas avoir de
retard et réaliser le mandat qui vous est confié... qui vous sera confié?
Mme Poitras
(Diane) : Je vous remercie pour la question. Ce n'est pas une
analyse qu'on a faite actuellement. Il nous fera plaisir de faire cette analyse
et de... Je ne voudrais pas lancer un chiffre comme ça, mais c'est sûr que ça
prend un financement... un rehaussement important du financement de la
commission.
M. Jolin-Barrette : O.K.
Mais, quand vous me dites : Ça nous prend un rehaussement important, mais
vous ne l'avez pas évalué. Actuellement, là, supposons que vous nous
dites : Bon, bien, les ressources n'ont pas suivi, mais vous n'êtes pas
capable de nous chiffrer combien de plus ça vous prend.
Mme Poitras
(Diane) : Non, en effet. Pour nous, on attend de voir le projet
de loi. Tant que le projet de loi n'est pas adopté, on... pour voir quelles
sont de façon effective les nouvelles fonctions qui nous seront attribuées, on
n'a pas fait cette évaluation, évaluation qu'on fera avec tout le sérieux...
quand le temps sera... quand ce sera requis.
• (20 h 30) •
M. Jolin-Barrette : O.K.
Mais sous réserve de l'adoption du projet de loi, sous réserve du travail des
parlementaires, qui sera effectué au cours des prochaines semaines, des
prochains mois. Le projet de loi a été déposé...
20 h 30 (version non révisée)
Mme Poitras
(Diane) : ...cette évaluation, évaluation qu'on fera avec tout
le sérieux quand le temps sera... quand ce sera requis.
M. Jolin-Barrette : O.K.
Bien, sous réserve de l'adoption du projet de loi, sous réserve du travail des
parlementaires qui sera effectué au cours des prochaines semaines, des
prochains mois. Le projet de loi a été déposé en juin. J'invite la Commission
d'accès à l'information à faire cette réflexion-là, surtout que ça fait depuis
le mois de juin qu'il est déposé. Donc, je vous entends sur le fait que vous
souhaitez davantage de ressources. Ça aurait été bien de le dire dans le cadre
de la commission ce soir... si vous dites «ça nous prend davantage de ressources
supplémentaires», peut-être de faire une évaluation, lorsqu'on réclame des ressources
supplémentaires.
Bon, vous souhaitez qu'on assujettisse
tous les partis politiques à la loi sur le secteur privé. Incluant les partis
politiques municipaux?
Mme Poitras
(Diane) : Bien, en fait, je dirais, un peu à l'instar de ce que
fait la Colombie-Britannique, la... dont la loi, là, sur le secteur privé a des
dispositions qui ressemblent essentiellement à ce qu'on peut avoir au Québec.
On pense que ça peut être bien de protéger les renseignements personnels, tout
en permettant aux partis politiques d'accomplir les différentes fonctions ou
d'entrer en contact avec les citoyens.
M. Jolin-Barrette : O.K. Vous
souhaitez qu'on assujettisse les partis politiques à l'égard de l'ensemble des
renseignements personnels qu'ils détiennent, et pas juste en fonction de ceux
des électeurs. Et vous ne voulez pas qu'on prévoie d'exceptions applicables aux
partis politiques, en ce qui concerne la destruction, l'utilisation aussi?
Mme Poitras
(Diane) : En fait, on part du principe que, si le régime
général peut s'appliquer comme il se fait en Colombie-Britannique ou même dans
d'autres juridictions... on part du principe que le régime général pourrait
s'appliquer. Puis quant à la portée des renseignements personnels, les partis
politiques détiennent aussi des renseignements au sujet des bénévoles, des
employés, des candidats, par exemple. Donc, on pense que ces renseignements
personnels qu'ils détiennent méritent la même protection.
M. Jolin-Barrette : O.K. Je
comprends de cela que vous ne voulez pas avoir de régime distinct pour les
partis politiques. Dans le fond, il faut que ce soit traité de la même façon
que n'importe quel tiers privé qui aurait accès à des renseignements
personnels.
Mme Poitras
(Diane) : En fait, c'est sûr que, s'il y a une particularité de
parti politique qui nécessite... ou qui fait qu'une disposition de la loi n'est
pas applicable à un parti politique, c'est sûr qu'on pourrait en faire une
exception. Mais on pense que ce serait plus simple de les assujettir à la loi
générale, au régime général, puis, le cas échéant, de faire des exceptions.
Mais encore une fois, on part du principe que la plupart de ces dispositions-là
s'appliquent dans d'autres juridictions sans que ça nuise au travail des partis
politiques.
M. Jolin-Barrette : O.K. Vous
invitez aussi à préciser la définition de renseignements personnels. Parce
qu'elle est trop large, cette définition-là? Qu'est-ce qui... Comment est-ce
que vous pensez qu'on devrait la préciser?
Mme Poitras
(Diane) : En fait, c'est... On constate qu'il y a une certaine
confusion. Comme elle détermine le champ d'application de la loi, elle est très
simple, hein, «qui concerne une personne physique permet de l'identifier». On
pense qu'on pourrait... on devrait la préciser, à l'ère...
M. Jolin-Barrette :
...définition-là? Comment vous pensez qu'on devrait la préciser?
Mme Poitras
(Diane) : En fait, c'est... On constate qu'il y a une certaine
confusion. Comme elle détermine le champ d'application de la loi, elle est très
simple, hein, qui concerne une personne physique permet de l'identifier. On
pense, on pourrait... on devrait la préciser à l'ère du numérique, parce qu'on
constate qu'il y a une certaine confusion de la part des organisations qui
pensent simplement en retirant des identifiants directs, on ne peut plus
identifier une personne, donc que les dispositions de la loi ne s'appliquent
pas.
Alors, on constate qu'il y a une
proposition de parler de renseignements dépersonnalisés, mais on pense qu'on
devrait préciser, en s'inspirant, par exemple, de la définition du RGPD.
Qu'est-ce qu'on a à faire par permettre d'identifier dans cette définition-là?
Par exemple, directement? Indirectement? On pense aussi qu'elle devrait inclure
les renseignements qui sont inférés, c'est-à-dire qu'un renseignement qui
concerne une personne physique et permet d'identifier, les renseignements qui
sont inférés ou déduits par les systèmes d'intelligence artificielle, par
exemple, devraient clairement être identifiés comme étant visés par le champ
d'application de la loi.
M. Jolin-Barrette : O.K.
Sur un autre sujet, là, vous dites :
On devrait intégrer les dispositions de la loi concernant le cadre juridique
des technologies de l'information concernant la biométrie dans la loi sur
l'accès et la loi sur le secteur privé.
Donc, ça fait un petit bout qu'on n'a pas
touché à cette loi-là, là, concernant le cadre juridique des technologies de l'information.
Donc, vous voulez qu'on importe ça et qu'on amène ça dans les deux lois, dans
la loi publique dans la loi privée? Pourquoi?
Mme Poitras
(Diane) : En fait, d'abord, parce que l'objectif... La première
raison, c'est parce qu'on constate qu'il y a beaucoup d'entreprises qui ne sont
pas au courant qu'il y a des règles relatives à la protection des
renseignements personnels qui sont contenus ailleurs que dans la loi générale
et la loi-cadre est une loi dont les objectifs ne sont pas la protection des
renseignements personnels, mais bien l'équivalence des documents, bon, etc.,
pour assurer une certaine sécurité juridique de... les équivalences des
documents électroniques, mais ce qui fait que les entreprises et les
organismes ont tendance à ne pas être au courant de ces dispositions-là, on
pense que ça bénéficierait aussi que ça soit dans les lois, parce qu'on
pourrait... ces dispositions sont assez importantes pour bénéficier de la
prépondérance qui est accordée aux dispositions des lois publiques, privées.
M. Jolin-Barrette : O.K.
Juste avant vous, on a eu la Régie de l'assurance maladie du Québec, qui disait
qu'il y avait plus d'une centaine d'ententes de communication et qui étaient
ensuite approuvées par la Commission d'accès à l'information. Vous, vous
dites que vous devriez avoir le pouvoir de suspendre l'entrée en vigueur
d'une entente ou d'interdire la communication. Comment ça se passe, là,
présentement, là, avec les organismes publics qui ont des renseignements et qui
veulent faire une entente entre ministères, tout ça? Expliquez-nous...
M. Jolin-Barrette :
…accès à l'information. Vous, vous dites que vous devriez avoir le pouvoir de
suspendre l'entrée en vigueur d'une entente ou d'interdire la communication.
Comment ça se passe, là, présentement, là,
avec les organismes publics qui ont des renseignements et qui veulent faire une
entente entre ministères, tout ça? Expliquez-nous un petit peu la mécanique,
là, de l'approbation par la Commission d'accès à l'information. Comment ça
fonctionne chez vous?
Mme Poitras
(Diane) : En fait, présentement, le projet d'entente est soumis
à la commission. Il y a un analyste enquêteur de la direction de la
surveillance qui va analyser le projet, qui va entrer en contact aussi avec les
organismes. Et, un peu comme on vous l'a mentionné, il y a beaucoup de travail
qui se fait à ce niveau-là pour peaufiner l'entente. S'il voit qu'il y a un
problème, que l'entente n'est pas tout à fait conforme, que les mesures de
sécurité ne sont pas suffisantes, il va faire un travail pour inciter les deux organismes
à régler ces problèmes-là, ce qui fait qu'au final, effectivement, souvent,
l'avis de la commission est favorable. Parce que la deuxième étape, c'est qu'il
y a l'avis. Une fois que l'enquêteur considère que le dossier est complet,
c'est soumis à un commissaire en surveillance, qui va autoriser… avis favorable
ou défavorable au sujet de l'entente.
M. Jolin-Barrette : Puis
est-ce que c'est déjà arrivé à la Commission d'accès à l'information d'émettre
des recommandations défavorables par rapport aux ententes?
Mme Poitras
(Diane) : À tout le moins, je sais qu'on a sûrement déjà émis
des avis d'intention parce qu'avant d'émettre un avis défavorable, on émet un
avis aux organismes en indiquant qu'est-ce qu'on trouve qui est… qu'est-ce
qu'on pense qui n'est pas conforme. Et donc, s'ils ne corrigent pas la
situation, on pourrait émettre un avis défavorable. Je pense que dans la
plupart… la plupart du temps, ils vont se corriger, mais peut-être…
Me Desmeules?
M. Desmeules
(Jean-Sébastien) : C'est déjà arrivé à de rares occasions,
effectivement, que des avis défavorables ont été émis.
M. Jolin-Barrette : O.K.
Et puis maintenant vous voulez, dans la loi, qu'on prévoie un pouvoir
d'interdire la communication puis de suspendre l'entrée en vigueur.
Mme Poitras
(Diane) : En fait, c'est que vous proposez que l'avis de la
commission ne soit plus requis... Le projet de loi propose que l'avis de la
commission ne soit plus requis et qu'on nous envoie simplement l'entente,
qu'elle entre en vigueur dans les 30 jours.
Si on prend pour acquis qu'on envoie
l'entente, le projet d'entente à la commission, c'est sûr qu'on s'attend qu'il
faut réagir dans les 30 jours si on voit qu'elle n'est pas conforme ou
encore si l'évaluation de ... à la vie privée, là, ne serait pas suffisamment
sérieuse, on va le dire comme ça. Donc, il faut qu'on puisse intervenir avant
que la communication ait lieu. Sinon, il est un peu tard.
M. Jolin-Barrette : O.K.
Vous voulez aussi qu'on retire la possibilité qu'une plainte puisse être
déposée sous le couvert de l'anonymat.
Mme Poitras
(Diane) : En fait, on s'interroge plutôt sur l'objectif qui est
poursuivi. Est-ce que l'objectif est de permettre à une personne de déposer une
plainte anonyme? Auquel cas, tout ce qu'on dit, c'est que certaines plaintes,
on pourrait avoir de la difficulté à les traiter si la personne sous...
M. Jolin-Barrette : ...puisse
être déposée sous le couvert de l'anonymat.
Mme Poitras
(Diane) : En fait, on s'intéresse plutôt sur l'objectif qui est
poursuivi. Est-ce que l'objectif est de permettre à une personne de déposer une
plainte anonyme? Auquel cas, tout ce qu'on dit, c'est que certaines plaintes,
on pourrait avoir de la difficulté à les traiter si la personne, sous le
couvert de l'anonymat par rapport à nous, nous dit : Bien, moi, on a
communiqué des renseignements à mon sujet de façon illégale. C'est très
difficile si c'est le couvert de l'anonymat.
Si l'objectif est que la commission assure
l'anonymat dans le cadre de l'enquête, ça, on peut le faire et on l'assure déjà
dans certaines circonstances si c'est demandé et que l'enquête peut le
permettre.
• (20 h 40) •
M. Jolin-Barrette : O.K. Je
vous remercie.
Le Président (M.
Bachand) : Merci. M. le député de Vachon, s'il vous plaît.
M. Lafrenière : Merci beaucoup.
Me Poitras, Me Desmeules, merci. Une petite question de précision
pour moi, s'il vous plaît. La loi fédérale permet déjà à une entreprise
d'informer une autre entreprise lorsqu'il survient un incident, un bris de
confidentialité. Je voyais, dans vos recommandations, vous suggérez de ne pas
aller de l'avant avec la loi provinciale, j'aimerais comprendre le pourquoi, s'il
vous plaît.
Mme Poitras
(Diane) :En fait, on s'interrogeait sur
quel était l'objectif visé par cet ajout-là. Et si c'était, par exemple, pour
informer la police, on pense qu'on devrait le préciser, on s'interrogeait sur
qu'est-ce qu'on vise exactement, quel genre d'entreprise on vise. On a vu avec
les fuites récentes que, quand les entreprises proposent de faire affaire, par
exemple, avec agents de renseignements personnels, Equifax ou TransUnion, ce
n'est pas tous les citoyens qui veulent profiter de cette protection ou qui
veulent que leurs renseignements soient communiqués sans le consentement à ces
entreprises-là, je pense que certains souhaitent avoir le choix.
Alors, c'était juste… on s'interrogeait
sur l'objectif qui était poursuivi et quel genre de communication, quel genre d'entreprise
ou d'organisme, qu'est-ce qu'on avait en tête quand on a rédigé cette disposition-là.
M. Lafrenière : Justement,
vous faites allusion à une fuite de données, je pense qu'on a tous l'exemple en
tête, mais si on allait avec la notion d'urgence justement, que cette information-là
soit transmise pour éviter que la fuite continue dans le temps avec d'autres
organismes, vous ne croyez pas que ce serait important de rajouter cet
élément-là pour limiter la fuite, justement de limiter les dommages?
Mme Poitras
(Diane) : De mémoire, la disposition parle qu'on peut
communiquer les renseignements concernant la personne concernée. Alors, je
m'interroge sur est-ce que… quel genre d'information on doit communiquer,
est-ce qu'on doit juste dire : Attention, on a été victimes d'hameçonnage
ou de quel genre d'incident, attention à vous, entreprises, vous risquez d'être
victimes du même genre d'incident?
Alors, encore une fois, on essaie de voir
quel est l'objectif poursuivi et simplement de le circonscrire. On parle de
gens qui ont été victimes d'un incident de sécurité et d'une possibilité de
communiquer sans leur consentement des renseignements à une autre entreprise.
On veut juste s'assurer que les circonstances et l'objectif qui est poursuivi
est bien circonscrit dans la disposition.
M. Lafrenière : C'est plus une
interrogation qu'une objection de ce que je comprends, c'est bien ça…
Mme Poitras
(Diane) : ...et simplement de le circonscrire. Parce qu'on
parle de gens qui ont été victimes d'un incident de sécurité et d'une possibilité
de communiquer, sans leur consentement, des renseignements à une autre entreprise.
On veut juste s'assurer que les circonstances et l'objectif qui est poursuivi
est bien circonscrit dans la disposition.
M. Lafrenière : C'est plus une
interrogation qu'une objection, de ce que je comprends. C'est bien ça?
Mme Poitras
(Diane) : Oui, et une... peut-être une invitation à préciser la
disposition, dans quelles situations, ou quel genre d'entreprise est visé.
Le Président (M.
Bachand) : Merci. M. le député de Chapleau, s'il vous plaît.
M. Lévesque (Chapleau) : Oui, merci,
M. le Président. Me Poitras, Me Desmeules, bonsoir. Bien heureux d'être avec
vous ce soir... ou que vous soyez avec nous, c'est-à-dire. Un peu en lien avec
la question du ministre concernant les ressources et le financement, est-ce
qu'au-delà de sommes que vous allez calculer il y aura d'autres ressources ou
d'autres dispositions dont vous auriez besoin pour bien remplir le mandat qui
vous serait confié, le cas échéant?
Mme Poitras
(Diane) : Au niveau des ressources?
M. Lévesque (Chapleau) : Oui,
au-delà du financement, les autres choses que vous pensez. Est-ce qu'il manque
quelque chose dans le projet de loi? Est-ce qu'il manque quelque chose dans
votre structure, ou ainsi de suite?
Mme Poitras
(Diane) : En fait, c'est sûr qu'on a formulé quelques
recommandations au niveau des pouvoirs, bien que... d'améliorations au niveau
des sanctions administratives, pécuniaires ou pénales pour bien préciser les
régimes, de manière à ce qu'il n'y ait pas de contestation susceptible de venir
paralyser l'efficacité du régime.
On a aussi fait des recommandations sur la
possibilité de réfléchir à des façons de prévoir d'autres modalités de
financement pour la commission. Est-ce que l'utilisation des amendes, des
sommes récoltées pour les amendes, un peu comme ça se fait en environnement,
pour un fonds spécial pour indemniser les victimes, pour faire de la recherche,
pour faire de la promotion, de l'accompagnement... Et ça, évidemment, il
faudrait que ce soit prévu dans la loi.
M. Lévesque (Chapleau) : O.K.,
merci, c'est intéressant. Vous avez parlé, donc, de la question de la
définition de renseignements personnels. Il y a un grand débat, là, bon, toute
la question d'anonymité, de dépersonnalisation. J'aimerais peut-être vous
entendre là-dessus, puis également sur la question d'inférence, là. Il y a eu
des groupes qui sont venus nous parler que, malgré le fait que les données
soient anonymes ou dépersonnalisées, il y a peut-être un risque, dans
l'inférence, de retracer ou de retrouver qui était cette personne ou qui était
cette entreprise derrière ces données-là. Peut-être vous entendre là-dessus.
Est-ce que vous avez des craintes? Est-ce que c'est quelque chose qui vous
occupe?
Mme Poitras
(Diane) : En fait, oui. La plupart des experts s'entendent sur
le fait qu'il est difficile... le critère qui est dans le projet de loi,
c'est-à-dire qu'il puisse être anonymisé de façon irréversible et pratiquement
impossible à atteindre. Alors, on vous proposerait l'approche qui est dans le
RGPD. Mme Castets-Renard en a parlé plus tôt. Ils ont eu ce même débat et ils
ont décidé de ne pas inclure la notion d'anonymiser dans les règles, de... Eux,
ils ont prévu pseudonimiser. Ici, on parle de dépersonnaliser. C'est un petit
peu la même approche.
Donc, notre besoin est de clarifier la
définition de renseignements personnels, peut-être de clarifier quelles...
Mme Poitras
(Diane) : …de ne pas inclure la notion d'anonymiser dans les
règles. Eux, ils ont prévu pseudonymiser. Ici, on parle de dépersonnaliser,
c'est un petit peu la même approche. Donc, notre besoin est de clarifier la
définition de renseignements personnels, peut-être de clarifier quelles
utilisations on peut faire au niveau de la… des renseignements dépersonnalisés.
M. Lévesque (Chapleau) : Merci
beaucoup.
Le Président (M.
Bachand) : Merci beaucoup. M. le député de LaFontaine, s'il
vous plaît.
M. Tanguay
: Oui, merci
beaucoup, M. le Président.
Le Président (M.
Bachand) : 13 min 36 s.
M. Tanguay
:
13 min 36 s. Merci beaucoup. Alors, bonsoir, merci d'être là
pour répondre… bonsoir, Me Poitras, Me Desmeules, de répondre à nos questions.
Je vais y aller, moi également, en rafale. D'abord, premier élément, j'aimerais
vous entendre sur votre recommandation n° 15, à la page 31 du
mémoire. Sans lire la recommandation, vous dites : De plus en plus, en
effet, d'employeurs et associations intègrent la vérification d'antécédents
judiciaires, ou l'obtention d'un certificat de bonne conduite ou d'habilitation
sécuritaire dans leurs pratiques, que cette exigence soit ou non prévue par la
loi. Puis vous demandez, donc, de limiter les circonstances. Quels problèmes
essayez-vous de régler ici?
Mme Poitras
(Diane) : En fait, on a constaté qu'il y a des pratiques à
géométrie variable. C'est que les antécédents judiciaires sont demandés
parfois… on va demander… des demandes sont très élargies par rapport à
l'objectif qui est poursuivi. Alors, c'est… Dans, par exemple, en matière
d'emploi, ce n'est pas toujours clair que la vérification des antécédents est
liée à une exigence spécifique du poste, qui est un critère qui est dans la
charte, premièrement.
Deuxièmement, on trouvait intéressante
l'approche ontarienne dans laquelle ils encadrent les situations où on peut
faire des vérifications. La portée de ces vérifications, est-ce qu'on va juste
dans le punitif ou on va les fichiers des policiers… et surtout de s'assurer
que la personne, en… de qui on va prendre une décision sur la base de ces
vérifications puisse avoir accès à l'information. On a vu des cas dans les
demandes de révision où des citoyens se font refuser la possibilité d'adopter à
l'international, un emploi, un permis pour l'exercice d'une fonction
quelconque, et ils ne savaient pas pourquoi, qu'est-ce qu'il y avait dans leur
dossier qui faisait qu'on avait pris cette décision-là.
M. Tanguay
: O.K. Donc,
un encadrement… un resserrement des cas de figure. Recommandation 17,
page 33 du mémoire… Recommandation 17 : «La commission
recommande au législateur dans le respect de la décision de la Cour suprême,
Loi concernant la non-discrimination génétique et des compétences de chaque
palier de gouvernement, d'encadrer la collecte, l'utilisation, la
communication, la conservation et la destruction des renseignements
génétiques.» Dans le cas de la compétence du Québec, ici, ça prendrait quelle
forme, on voudrait, donc, toucher à quelle réalité, de façon tangible?
Avez-vous des exemples?
Mme Poitras
(Diane) : En fait, oui, c'est d'interdire plus spécifiquement
l'utilisation de renseignements génétiques ou d'exiger à une personne de
consentir à la communication de renseignements de nature génétique à des fins
d'emploi ou d'assurance.
M. Tanguay
: O.K…
M. Tanguay
: …réalité,
de façon tangible, avez-vous des exemples?
Mme Poitras
(Diane) : En fait, oui, c'est d'interdire, plus spécifiquement,
l'utilisation de renseignements génétiques ou d'exiger à une personne de
consentir à la communication de renseignements de nature génétique à des fins
d'emploi ou d'assurance.
M. Tanguay
: O.K. Et
vous avez vu des cas où il y avait de la discrimination qui pouvait en
découler, c'est ce qu'on veut empêcher, c'est ça?
Mme Poitras
(Diane) :Tout à fait.
M. Tanguay
: O.K. Et
également, j'imagine, aussi, c'est des informations hautement sensibles, donc
tout ce qui en suit, là, évidemment, on peut… quand on le communique, on ne le
contrôle plus, alors j'imagine qu'en l'encadrant, bien, on diminue le risque.
La recommandation 24, j'aimerais
avoir vos commentaires, peut-être, de façon un peu plus générale…
Recommandation 24, en matière d'organismes privés, mais on a également une
telle clause miroir, l'article 2770.1 de la loi sur le… l'évaluation des
facteurs relatifs à la vie privée, «il doit notamment tenir compte des éléments
suivants», donc c'est une clause qu'on retrouve dans le domaine public puis
dans le domaine privé : «Évaluation de facteurs, notamment la sensibilité
du renseignement, la finalité de son utilisation, les mesures de protection,
régime juridique applicable».
Ce qui nous a été dit, c'est que… c'est
l'espérance qui a été exprimée, c'est que la Commission d'accès à l'information
puisse notamment offrir des guides pour aider à comprendre ce dont il s'agit
ici parce que ce qui peut être raisonnable pour un ne l'est peut-être pas pour
l'autre, ce qui est suffisant pour un ne l'est peut-être pas pour l'autre.
Trouvez-vous que, tel que rédigé, de un, c'est suffisamment précis? Est-ce
qu'on devrait être encore plus clair de ce qui est attendu? Et sur quelles
bases, selon quels critères un peu plus concrets les personnes devraient juger?
Et vous, dans un deuxième temps, je pense que vous avez pleinement conscience
du fait qu'il va falloir réellement accompagner les décideurs et décideuses qui
devront jongler avec ces concepts qui sont, somme toute, assez vagues.
• (20 h 50) •
Mme Poitras
(Diane) : En fait… évaluation des facteurs à la vie privée, la
commission a un petit peu pris d'avance, on a déjà un guide qui a été diffusé
il y a quelques mois, déjà, une première version d'un guide. On a le projet
aussi de faire un gabarit et d'autres outils qui vont venir essayer
d'accompagner les organisations publiques et privées qui auront à réaliser des
évaluations de facteurs à la vie privée.
Par contre, je crois que vous vous
référiez à l'article qui parle des communications hors Québec. Là-dessus, la
commission convient qu'il y a sûrement moyen… nous sommes d'avis qu'on pourrait
miser sur l'objectif qui est poursuivi, c'est-à-dire de s'assurer d'une
protection équivalente des renseignements qui sont communiqués hors Québec et
que l'article, tel que rédigé, impose effectivement un fardeau quand même assez
lourd aux organisations.
M. Tanguay
: Deux
dernières questions puis je vais laisser l'occasion à ma collègue de
Notre-Dame-de-Grâce de s'inscrire. L'avant-dernière question, la commission… la
recommandation 44 : «La commission recommande de préciser qu'elle a
le pouvoir d'ordonner la production de documents et d'en faire l'examen
nonobstant le secret professionnel, le privilège relatif au litige ou tout
autre privilège de confidentialité». Vous dites que ça se fait déjà dans
certaines lois québécoises, là, votre note de bas de page 132. J'aimerais ça
vous entendre…
M. Tanguay
:
...recommande de préciser qu'elle a le pouvoir d'ordonner la production de
documents et d'en faire l'examen nonobstant le secret professionnel, le
privilège relatif au litige ou tout autre privilège de confidentialité». Vous
dites que ça se fait déjà dans certaines lois québécoises, là, votre note de
bas de page 132. J'aimerais ça vous entendre là-dessus, sur... Parce que
quand on parle notamment de secret professionnel, c'est assez hermétique
d'habitude comme traitement, n'est-ce pas?
Mme Poitras (Diane) :
En effet. Puis, en fait, c'est le secret professionnel ou d'autres privilèges.
Je vais vous donner un exemple concret. Il peut arriver qu'on fasse une enquête
sur une situation dans une organisation où on a des interrogations sur le fait
qu'ils aient pris des mesures de sécurité adéquate. Il pourrait arriver qu'ils
aient fait leur propre évaluation dans le but de se protéger contre des recours
collectifs ou des recours de citoyens qu'ils auraient pu avoir, bien, on
pourrait nous invoquer le privilège relatif au litige pour refuser de nous
communiquer cette évaluation-là qu'on juge pertinente dans le cadre de nos
enquêtes.
Évidemment, on peut prévoir des modalités
de confidentialité pour que les renseignements, tels que détenus par la commission,
ne deviendraient pas pour autant accessibles et prévoir que ce n'est pas parce
qu'on nous communique l'information que l'entreprise ou l'organisme renonce au
secret professionnel ou privilège relatif au litige.
C'est une situation qui est vécue par mes
homologues et nous réclamons tous d'avoir cette disposition expresse, parce que
ça prend une disposition expresse, pour écarter le secret professionnel ou
d'autres privilèges génériques comme le privilège relatif au litige. Et je
crois que c'est la commissaire fédérale qui a obtenu une disposition, la loi
qui est citée en bas de page.
M. Tanguay
: C'est
clair que ça, ça serait testé devant les tribunaux. Faudrait voir donc le poids
et contrepoids que ça pourrait avoir par rapport, entre autres, le secret professionnel
entre avocat-client. Il y aurait... question réellement. Peut-être que vous en
traitez, là, dans votre mémoire, mais de façon succincte, je vous poserais la
question : Si, demain matin, la loi, si d'aventure, demain matin, la loi
était sanctionnée, quels seraient pour vous les délais de sa mise en application
pour vous, justement, vous permettre d'être effectif dans ce qui serait... à la
lumière de la mouture qui est devant nous, vos nouvelles responsabilités et
obligations? Quels seraient les délais ou les fenêtres de mise en vigueur en ce
qui vous concerne ou vous n'avez pas besoin de délai? Vous allez nous le dire.
Mme Poitras
(Diane) : En fait, c'est sûr qu'on a besoin de délai. On
pourrait penser à une mise en vigueur en palier. C'est sûr que le volet pour
lequel... qui va demander le plus de travail, c'est tout le volet des sanctions
administratives pécuniaires. Il y a tout un régime à mettre en place, une
procédure à adopter pour les critères, la même chose pour les sanctions pénales.
Donc, ce régime-là, cette section-là de la loi pourrait entrer en vigueur par
la suite. Mais pour le reste, là, un an, il n'y aura pas de problème, avec les
ressources nécessaires, évidemment.
Le Président (M.
Bachand) : Merci. Mme la députée de Notre-Dame-de-Grâce.
Mme Weil
: Oui. Alors,
bonsoir, Me Poitras, Me Desmeules. On a beaucoup parlé de vous
pendant la consultation. Vous avez...
Mme Poitras
(Diane) : ...en vigueur par la suite. Mais pour le reste, là,
un an, il n'y aura pas de problème.
Le Président (M.
Bachand) : Merci. Mme la députée de Notre-Dame-de-Grâce.
Mme Weil
: Oui, alors,
bonsoir, Me Poitras, Me Desmeules. On a beaucoup parlé de vous
pendant la consultation, vous avez peut-être suivi, on a parlé de... comment
dire, comment faire en sorte de prévoir un accompagnement de votre part pour
des plus petites entreprises qui, face aux obligations que contient la loi — la
loi, une fois qu'elle sera adoptée — seraient débordées, dépassées,
incapables sans l'expertise possible, sans les ressources humaines ni
financières, etc.
Et donc on a posé la question à plusieurs
intervenants, experts, qui ont dit : Oui, en effet, ce serait une très
bonne idée et que la CAI puisse aussi fournir des guides, vraiment, des
orientations pour tous ceux... On était beaucoup... je vous dirais, au tout
début, c'était plus le secteur des entreprises qui doivent... qui auront à
respecter la loi mais qui n'ont pas les compétences pour le faire, mais
d'autres enjeux et d'autres intervenants qui touchent d'autres domaines de
l'activité humaine qui feraient en sorte qu'ils sont soumis.
Comment vous voyez ce rôle? Est-ce que
vous l'avez envisagé auparavant? J'imagine, lorsque la loi a été... ou le
projet de loi a été déposé. Mais là on a été un peu plus concrets avec des
exemples. On a parlé de l'Europe, justement, avec des pénalités très sévères
d'une part, mais en même temps il y a un accompagnement pour justement éviter
que les organismes se trouvent dans le trouble n'ayant pas respecté la loi.
Juste peut-être vous entendre sur ce rôle-là que vous auriez ou qui pourrait
vous être attribué.
Mme Poitras
(Diane) : Oui, merci pour cette question. Oui, nous avons
envisagé ce rôle. Ça fait même partie d'une des orientations dans notre
planification stratégique 2019-2023. Pour la commission, ce qui est important,
c'est que les entreprises et les organismes respectent la loi. On a tout
intérêt, en prévention, à ce qu'ils comprennent bien leurs obligations, qu'ils
aient des outils pour bien l'appliquer et la respecter. Ça fait moins de
travail en surveillance par la suite pour nous. Notre objectif, c'est d'éviter
les mailles.
Alors, et je vous dirais qu'on a tenté, à
la hauteur de nos moyens, de fournir des guides. On a le guide dont je vous
parlais sur l'évaluation des facteurs relatifs à la vie privée, on a fait un
guide sur la biométrie, notre site Internet en contient quelques-uns. Bien sûr,
on pourrait en faire d'autres en ayant les ressources nécessaires. Et, comme je
vous le dis, l'objectif ultime, c'est que la loi soit respectée, ce n'est pas
d'imposer des sanctions à des entreprises qui ne veulent que respecter la loi.
D'ailleurs, une petite parenthèse. En ce
moment, quand on a une plainte, le premier contact...
Mme Poitras
(Diane) : ...on pourrait en faire d'autres en ayant les
ressources nécessaires. Et, comme je vous dis, l'objectif ultime, c'est que la
loi soit respectée, ce n'est pas d'imposer des sanctions à des entreprises qui
ne veulent que respecter la loi.
D'ailleurs, une petite parenthèse, en ce
moment, quand on a une plainte, le premier contact qu'on fait avec l'entreprise,
c'est clair que, si l'entreprise veut se conformer, ça ne se rendra pas en
enquête. Le dossier va être fermé, on va expliquer à l'entreprise ce qu'elle
doit faire pour se conformer puis le dossier peut être fermé. On ne s'amuse pas
à faire des enquêtes puis à émettre des ordonnances dans ces situations-là.
Mme Weil
: C'est une
approche préventive essentiellement parce qu'ils sont de bonne foi, mais peut-être
vraiment pas équipés. Les grands, par exemple, je pense qu'on a entendu Option
Consommateurs nous donner un autre portrait évidemment de pratique excessive
et, bon, on n'est pas là-dedans, c'étaient vraiment les PME ou les PPME et peut-être
d'autres entreprises qui n'ont tout simplement pas les compétences.
Donc, dans un cas comme ça, est-ce que
vous allez chercher, disons, dans certains domaines très techniques ou très
avancés, mais quand même, ce serait une petite entreprise, je ne sais pas exactement,
est-ce que vous, vous seriez appelé à chercher des ressources externes parfois
ou est-ce que vous voyez plus le rôle en termes d'explications de la loi, pas nécessairement
l'implantation des mesures de protection de renseignements? C'est parce qu'il y
a un aspect qui est très technique puis, l'autre aspect, c'est vraiment de
comprendre le fond de la loi puis les obligations. Alors, dans ce cas-là,
est-ce que vous entrevoyez peut-être d'être obligé parfois d'aller chercher des
expertises à l'extérieur?
Le Président (M.
Bachand) :Rapidement, Me Poitras, s'il
vous plaît, le temps file. Merci.
Mme Poitras
(Diane) : En fait, je dirais que, tous les moyens, ce qu'on
pense, c'est d'être le plus efficace possible quand on essaie de rejoindre les entreprises.
Si ça répond à votre question.
Mme Weil
: D'accord,
merci.
Le Président (M.
Bachand) : Merci beaucoup. M. le député de Gouin, s'il vous
plaît.
M. Nadeau-Dubois : Merci, M.
le Président. Bonjour, Me Poitras, Me Desmeules, merci d'être avec nous ce soir
en commission parlementaire. Je vais y aller rapidement.
Vous recommandez que les partis politiques
soient soumis aux mêmes cadres juridiques que les entreprises privées. Ça
contraste avec l'avis de la Commission en éthique sur les sciences et
technologies, qui nous a dit plus tôt que les cadres juridiques devaient être
pensés en fonction de la nature des organisations puis de leur finalité
sociale. Je pense qu'on va tous convenir qu'une entreprise privée puis un parti
politique, ça a des finalités sociales différentes. Pourquoi est-ce que, selon
vous, il faudrait être indifférents à cette question-là et appliquer le même
cadre juridique à une entreprise privée puis à un parti politique?
• (21 heures) •
Mme Poitras
(Diane) : En fait, comme la protection des renseignements
personnels dans la loi est organisée autour de la finalité poursuivie, je pense
qu'il y a une place à ça. Et il ne faut pas voir le fait que vous êtes... que
les partis politiques seraient assujettis aux mêmes règles que les entreprises,
il ne faut pas y voir qu'on les assujettit à des entreprises commerciales.
Mais, actuellement, les organismes à but non lucratif sont assujettis aux mêmes
règles. Et, comme je le mentionnais, ça fonctionne en Colombie-Britannique.
M. Nadeau-Dubois : Deuxième
élément, votre...
21 h (version non révisée)
Mme Poitras
(Diane) : ...assujettis aux mêmes règles que les entreprises.
Il ne faut pas y voir qu'on les assujettit à des entreprises commerciales. Actuellement,
les organismes à but non lucratif sont assujettis aux mêmes règles. Et, comme
je le mentionnais, ça fonctionne en Colombie-Britannique.
M. Nadeau-Dubois :
Deuxième élément, votre recommandation n° 18, vous
parlez de... votre mémoire parle de... Donc, vous recommandez de limiter ou
d'interdire l'utilisation de renseignements personnels en certaines
circonstances préjudiciables aux individus ou portant atteinte à leurs droits fondamentaux.
Concrètement, à quelles circonstances
faites-vous allusion ici? Pouvez-vous nous donner des exemples.
Mme Poitras
(Diane) : Tout à fait, l'exemple... j'ai parlé tout à l'heure
d'utilisation des renseignements génétiques dans un contexte d'assurance ou
d'emploi. On peut penser à l'utilisation biométrique... des renseignements biométriques,
pardon, pour faire du profilage. Alors, prendre votre image pour, un exemple
concret, là, prendre... Certains prétendent qu'à partir de votre image ils sont
capables de déterminer votre orientation sexuelle. C'est le genre d'utilisation
qu'on ne devrait pas faire.
M. Nadeau-Dubois : Oui.
Seriez-vous capable de nous donner des exemples qui ne sont pas relatifs à des
renseignements biométriques?
Mme Poitras
(Diane) : Bien, les exemples d'utilisation de renseignements
génétiques dont... c'est souvent probablement les renseignements sensibles dont
on va parler.
M. Nadeau-Dubois : Votre
recommandation suivante, la n° 19, vous parler de...
Vous nous invitez à revoir et à préciser la définition de «fin compatible».
Comment faudrait-il, selon vous, la clarifier?
Mme Poitras
(Diane) : C'est sûr qu'il y a déjà un bon commencement avec le
lien pertinent... direct et pertinent. Notre crainte, c'est que, dans le
secteur privé, ce soit... ça puisse donner lieu à certains abus que peut-être on
ne verrait pas dans le secteur public. Je n'ai pas ce soir... Ça nous fera
plaisir de voir et de collaborer, le cas échéant. Je n'ai pas une précision à
vous donner ce soir.
M. Nadeau-Dubois : Ça, on
serait intéressés à recevoir des suggestions de votre part.
Et en terminant, M. le Président, Option
Consommateurs est venu plus tôt nous recommander de vous confier un pouvoir
carrément d'enquête, d'aller dans certaines entreprises privées pour ouvrir la
boîte des algorithmes et voir quel est le code et quelle est l'utilisation qui
est faite dans le privé des renseignements personnels.
Est-ce que c'est le genre de pouvoir que
vous souhaiteriez avoir, aimeriez avoir? Et qu'est-ce que vous en feriez, d'un
tel pouvoir?
Mme Poitras
(Diane) : En fait, c'est intéressant parce qu'on... La réponse
courte : Je crois qu'on a le pouvoir d'obtenir toute information qui nous
permet d'avancer dans le cadre d'une enquête et de réaliser notre mission. Dans
le cas de l'intelligence artificielle, il y a certains algorithmes que même les
concepteurs ne sont pas capables de comprendre. Je ne vous cacherai pas aussi
que ça prend des experts techniques à la commission qui seraient capables de
comprendre ces algorithmes-là ou la possibilité de faire affaire avec des experts
externes qui pourrait nous accompagner. Mais on pense qu'on a déjà un
pouvoir...
Le Président (M.
Bachand) : Merci beaucoup, Me Poitras, Me Desmeules. Merci
beaucoup d'avoir été avec nous ce soir, c'était très apprécié.
Cela dit, avant de terminer, je dépose les
mémoires des personnes et organismes qui n'ont pas été entendus. Je vous
remercie de votre contribution.
La commission, ayant accompli son mandat,
ajourne ses travaux sine die. Merci beaucoup.
(Fin de la séance à 21 h 3)
Mme Poitras
(Diane) : ...mais on pense qu'on a déjà un pouvoir.
Le Président (M.
Bachand) :Merci beaucoup. Me Poitras, Me
Desmeules, merci beaucoup d'avoir été avec nous ce soir, c'est très apprécié.
Cela dit, avant de terminer, je dépose les
mémoires des personnes et organismes qui n'ont pas été entendus. Je vous
remercie beaucoup pour votre contribution.
La commission ayant accompli son mandat
ajourne ses travaux sine die. Merci beaucoup.
(Fin de la séance à 21 h 3)