Journal des débats de la Commission des institutions
Version préliminaire
42-1
(27 novembre 2018 au 13 octobre 2021)
Cette version du Journal des débats est une version préliminaire : elle peut donc contenir des erreurs. La version définitive du Journal, en texte continu avec table des matières, est publiée dans un délai moyen de 2 ans suivant la date de la séance.
Pour en savoir plus sur le Journal des débats et ses différentes versions
Le
miércoles 10 mars 2021
-
Vol. 45 N° 123
Étude détaillée du projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels
Aller directement au contenu du Journal des débats
11 h 30 (version non révisée)
(Onze heures trente-six minutes)
Le Président (M.
Bachand) :À l'ordre, s'il vous plaît!
Bienvenue. Ayant constaté le quorum, je déclare la séance de la Commission des
institutions ouverte.
La commission est réunie afin de poursuivre
l'étude détaillée du projet de loi n° 64, Loi modernisant
des dispositions législatives en matière de protection des renseignements
personnels.
Avant de débuter, Mme la secrétaire, y
a-t-il des remplacements?
La Secrétaire
: Oui, M.
le Président. M. Zanetti (Jean-Lesage) est remplacé par M. Nadeau-Dubois
(Gouin) et Mme Hivon (Joliette) est remplacée par M. Ouellet
(René-Lévesque).
Le Président (M.
Bachand) : Merci. Je vous informe que les votes pour ce mandat
devront se tenir par appel nominal, et ce, jusqu'au 2 avril 2021.
De plus, je vous rappelle qu'en fonction
des mesures de distanciation physique énoncées par la Santé publique, vous
devez conserver votre place assise en commission.
De plus, le port du masque de procédure
est obligatoire en tout temps, hormis au moment de prendre la parole dans le
cadre de nos travaux.
Lors de l'ajournement de nos travaux le
mercredi 17 février 2021, il avait été convenu de suspendre l'étude de
l'amendement visant à introduire l'article 12.1 et celui visant à
introduire l'article 13.1, qui ont été tous les deux déposés par le député
de René-Lévesque.
Nos discussions à ce moment-là portaient
donc sur l'article 63.4 énoncé à l'article 14 du projet de loi.
Interventions? On avait... 63.4, puis on avait discuté 63.5 aussi, où on avait
eu une adoption d'amendement. M. le député de LaFontaine.
M. Tanguay
: Oui.
Bien là, on a le défi de se remettre dans un dossier qui est à rebours, qui est
par saccades, dirions-nous. Ça fait que 63.4, M. le Président, je pense que
vous nous aviez indiqué, sans que ce soit formel, que nous allions descendre
les articles. Je pense qu'on avait discuté beaucoup de 63.4. Est-ce que nous étions
donc rendus, dans notre logique... Vous le voyez, on y allait, grosso modo,
article par article.
Alors, est-ce qu'on pourrait peut-être
demander au ministre de lire 63.5, toujours en n'étant pas forclos de revenir
en arrière? Puis on pourrait peut-être relire 63.5, je pense qu'on était rendus
là.
Le Président (M.
Bachand) : Il avait été lu puis il avait été amendé, mais on
avait... Il y avait un amendement qui avait été proposé pour 63.4, donc on
était revenus à...
M. Tanguay
: Puis
on n'a pas dans nos travaux d'amendement suspendu, là, à 60... à 14, là.
Le Président (M.
Bachand) : Non, non. Mais on va avoir des amendements
supplémentaires plus tard dans l'étude.
M. Tanguay
: O.K.
Ça fait qu'on pourrait peut-être inviter le ministre, peut-être, si ça lui
chante, de nous relire 63.6, on serait rendus là, puis là on pourrait le...
Le Président (M.
Bachand) : M. le député de Gouin, s'il vous plaît.
Une voix
: Merci, M. le
député de Gouin.
M. Nadeau-Dubois : ...M.
le Président.
M. Tanguay
: On se
passe la puck.
M. Nadeau-Dubois : C'est
de l'entraide. On était en train de discuter de 63.5, en fait, si mon souvenir
est bon. Parce que j'avais posé... Oui, 5, puisque j'avais posé une question
sur le caractère public de l'évaluation des facteurs relatifs à la vie privée.
Il me semble que j'avais à peine eu le temps, même, de poser la question, puis
la séance s'était interrompue. Ça fait que je peux essayer de reprendre le
questionnement...
Une voix
: ...
M. Nadeau-Dubois : Oui.
Je veux la réponse maintenant. Non, ma question était au sujet, donc, de 63.5,
où on peut lire que les organismes publics doivent procéder à une évaluation
des facteurs relatifs à la vie privée. Et le...
M. Nadeau-Dubois : … Ça fait
que je peux essayer de reprendre le questionnement, oui. Je veux la réponse maintenant.
Non. Ma question était au sujet, donc, de 63.5, où on peut lire que «les organismes
publics doivent procéder à une évaluation des facteurs relatifs à la vie
privée», et le Barreau du Québec, à la page 21 de leur mémoire, posait la
question : Pourquoi ne pas exiger de la part des organismes publics que
soit rendue publique l'évaluation des facteurs relatifs à la vie privée? Et je
me demandais donc si le ministre avait une réponse à cette interrogation
formulée par le Barreau du Québec.
M.
Caire
: En
fait, je vais peut-être demander à Me Miville-Deschênes de vous… de répondre à
cette question. J'essaierai tentativement une réponse qui ferait en sorte que
je me demande s'il n'y a pas une question de mettre à jour des informations qui
pourraient être préjudiciables pour les organismes en question, mais je vais
laisser Me Miville-Deschênes, là, répondre à cette question-là, puis ça va me
permettre à moi aussi de me démêler dans mes affaires.
Le Président (M.
Bachand) : Donc, est-ce qu'il y a consentement?
• (11 h 40) •
Une voix : Oui.
Le Président (M.
Bachand) : Consentement. Me Miville-Deschênes, s'il vous plaît.
Une voix : Non.
M. Miville-Deschênes
(Jean-Philippe) : Oui. Dans le fond, dans l'évaluation de facteurs
relatifs à la vie privée, il est susceptible d'y avoir des renseignements, là,
qui pourraient être confidentiels. Notamment, en vertu de l'article 29 de la
loi sur l'accès, là, c'est tout renseignement qui pourrait nuire à l'efficacité
d'un programme, d'un plan d'action ou d'un dispositif de sécurité. Donc, quand l'organisme
public identifie certaines éventuelles failles de sécurité ou certains risques
qui pourraient découler de la mise en place d'un système informatique, bien, il
pourrait y avoir des renseignements là-dedans qui sont confidentiels. Donc,
dans certains cas, le fait de rendre publique une telle évaluation, bien,
aurait pour effet… on peut croire que ça aurait pour effet d'aseptiser un peu
cette évaluation-là, là, de sorte que les renseignements un peu plus
confidentiels… bien, qui ne doivent pas, parce que c'est une restriction
obligatoire, qui ne doivent pas être communiqués seraient retirés, là.
M. Nadeau-Dubois : Je
comprends la préoccupation. Elle m'apparaît à première vue bien légitime. D'ailleurs,
le Barreau le mentionne dans son mémoire en disant : «Le Barreau du Québec
propose que cette évaluation devrait obligatoirement être publique, à moins que
certains impératifs l'empêchent. On peut penser à de rares cas où la
divulgation pourrait occasionner un risque quant à l'intégrité du système du
logiciel. Donc, pourquoi ne… Et je fais juste vraiment poser des questions pour
bien comprendre l'intention du ministre puis pourquoi il a fait le choix, qui
pourrait par ailleurs être justifié, de ne pas donner suite à cette
recommandation du Barreau d'écrire dans la loi que les évaluations doivent être
rendues publiques, quitte à inscrire des exceptions, notamment si ça représente
des risques pour l'intégrité des systèmes, si… ou pour répondre aux préoccupations
que vient d'émettre Me Miville-Deschênes. Donc, pourquoi ne pas faire preuve de
ça, de cette transparence pour que les citoyens et citoyennes qui ont… qui sont
en…
M. Nadeau-Dubois : ...si
ça représente des risques pour l'intégrité des systèmes ou pour répondre aux
préoccupations que vient d'émettre Me Miville-Deschênes. Donc, pourquoi ne
pas faire preuve de cette transparence pour que les citoyens et citoyennes qui
sont en relation avec les organismes publics sachent que voici les risques théoriques
auxquels je m'expose en transmettant mes renseignements personnels?
M.
Caire
: Bien,
là-dessus, je vais... Puis Me Miville-Deschênes pourra compléter. Mais je
dirais d'abord, puis là je vous parle un peu plus d'expérience, ce n'est pas...
Ça ne sera pas un épiphénomène dans le sens où les évaluations des facteurs
relatifs à la vie privée n'amèneront que rarement des situations où ça pourrait
être préjudiciable et pour... et/ou pour l'organisme et/ou pour le citoyen
parce que l'objectif est effectivement de mettre au jour d'éventuelles failles,
que ce soit une faille technologique ou que ce soit une faille, bon, dans le
système. Donc, c'est l'objectif de l'évaluation. Donc, de penser que ce ne sont
que quelques évaluations qui vont nous conduire à ce résultat-là, à mon avis,
ce n'est pas comme ça que ça va se traduire sur le terrain. Je pense que, de
façon majoritaire, il y aura de ces situations-là, dans un premier temps.
Dans un deuxième temps, cette
évaluation-là, elle est évaluée par la Commission d'accès à l'information.
Donc, ce chien de garde qu'on s'est donné collectivement va être capable de
mesurer l'impact, de mesurer les dangers potentiels, les écueils potentiels, je
devrais dire, dans ce qui pourrait être un... bon, ce qu'on a statué, là, une
acquisition, un développement ou une refonte de système. La Commission d'accès
à l'information va avoir ce rôle-là, justement, de protéger l'intérêt public et
de préserver cette partie-là du travail de développement d'un système, d'une
refonte ou d'une acquisition qui pourrait être préjudiciable soit pour nos
organismes publics parce qu'on comprend qu'ici on s'adresse à nos organismes
publics, soit pour nos organismes publics, soit pour les concitoyens avec qui
ils font affaire.
Donc, dans ce contexte-là, l'utilité de la
rendre publique, je pense que, dans la balance des inconvénients, les
inconvénients sont beaucoup plus grands que les avantages, notamment par le
fait que la Commission d'accès à l'information va jouer ce rôle-là, de
s'assurer qu'on ne se lance pas dans une acquisition, un développement ou une
refonte qui va être préjudiciable pour le citoyen dans les façons de traiter
nos renseignements personnels.
Le Président (M.
Bachand) : M. le député de LaFontaine.
M. Tanguay
: Oui.
Merci beaucoup. Dans son mémoire, le Barreau proposait que ces évaluations
soient publiques et être rendues publiques. Je ne sais pas, le ministre, qu'en
pense-t-il? Évidemment sous réserve d'impératifs pouvant l'empêcher tels que
protection des renseignements personnels ou les risques des...
Le Président (M.
Bachand) :M. le député LaFontaine.
M. Tanguay
: Dans son
mémoire, le Barreau proposait que ces évaluations soient publiques et être
rendues publiques. Je ne sais pas, le ministre, qu'en pense-t-il. Évidemment,
sous réserve d'impératifs pouvant l'empêcher, tels que la protection des renseignements
personnels ou des risques de sécurité…
M.
Caire
: C'est
le plexiglas, le son ne se rend pas.
M. Tanguay
: Hein?
M.
Caire
: C'est
parce que le député de Gouin vient de me poser exactement la même question
M. Tanguay
: Ah!
Désolé, désolé.
M.
Caire
: Pas
de problème.
M. Tanguay
: Puis… O.K.
La réponse, c'est oui ou non?
M.
Caire
: Mais…
M. Tanguay
: C'est
parce que la réponse… vous faites du temps.
M.
Caire
: Bien,
la réponse, la réponse… Non, mais ça va me faire plaisir de la répéter, M. le
député, parce que je comprends la situation qu'on est toute à la place. Ça a
parti raide, en plus.
M. Tanguay
: En plus,
j'étais sûr que ma question était bonne.
M.
Caire
: Non,
mais ceci étant, elle est excellente, sérieux.
M. Tanguay
: Aie!
j'étais convaincu.
Une voix
: …
M. Tanguay
: Bien, elle
méritait d'être posée une deuxième fois.
M.
Caire
: Elle
est excellente. C'est juste qu'elle arrive en deuxième, mais bon.
M. Tanguay
: Oui, c'est
ça.
M.
Caire
: C'est
comme au salon bleu.
M. Tanguay
: Non, mais
le «executive summary», là, c'est oui ou c'est non?
M.
Caire
: Oui.
Bien, en fait, c'est qu'il y a une possibilité de révéler des failles qui
seraient préjudiciables contre l'organisation…
M. Tanguay
: Je
comprends.
M.
Caire
: …ou
pour le citoyen en la rendant publique. Puis que, de toute façon, c'est pour ça
qu'on demande à la Commission d'accès à l'information de faire les évaluations
de ces évaluations-là pour s'assurer que, quand on fait une refonte, bon, etc.,
on a bien évalué le risque potentiel et on a mis en place les mesures de
mitigation pertinentes.
M. Tanguay
: O.K. Ce
qui va être public, à tout le moins, c'est qu'il y a, dans tel organisme
public, untel projet en route qui occasionne tel coût. Tu sais, il y a toujours
une publicité qui octroie des contrats, donc, tout ça, ça sera public, mais le
«nitty-gritty» du système, le cas échéant, et son évaluation…
M.
Caire
: Oui.
Le comment pouvez-vous nous attaquer, on ne le rendra pas public.
M. Tanguay
: Ça, ça ne
sera pas public. O.K. Et donc on préjuge que toute demande d'accès à l'information,
pour obtenir justement le détail, serait systématiquement refusée à ce
moment-là.
M.
Caire
: On
peut penser que le préjudice ferait en sorte, effectivement, sans présumer de
ce que la Commission d'accès à l'information et toute la structure qu'on vient
de mettre en place prendraient comme décision, mais on peut penser que, ce
document-là n'ayant pas un caractère public à sa face même, la réponse pourrait
effectivement être négative.
M. Tanguay
: En toute
transparence, est-ce que le ministre est convaincu que la rédaction actuelle de
la loi sur l'accès à l'information prévoit, je pense que c'est à
l'article 36, déjà cette exception-là? Parce que si… Je ne voudrais pas
qu'on détourne le sens d'un article en disant : Bien, on va l'embarquer là-dedans
si on veut faire un débat public sur le caractère non public de ces
évaluations-là. En toute transparence, est-ce qu'il est satisfait de la
rédaction actuelle de la loi?
M.
Caire
: Je
vais laisser Me Miville-Deschênes répondre à celle-là.
M. Tanguay
: Pas parce
que je ne veux pas qu'on l'ait puis qu'on mette une porte bien cadenassée, mais
je voulais savoir, que le débat soit fait. Puis, s'il faut mettre un article,
bien, proposez-le, puis on va voter contre, tout simplement.
M. Miville-Deschênes (Jean-Philippe) :
Oui, mais il y a une restriction qui est obligatoire. En fait, l'organisme… si
la restriction s'applique, l'organisme est obligé de refuser. C'est le deuxième
alinéa, là, de l'article 29 qui… Je vais vous le lire, là… Puis il a déjà
été interprété pour protéger des… de l'information qui révélait des failles,
là, dans des systèmes informatiques. C'est : «L'organisme doit refuser de
confirmer l'existence ou de donner communication d'un renseignement dont la
divulgation aurait pour effet de réduire l'efficacité d'un programme, d'un plan
d'action ou d'un dispositif de sécurité destiné à la protection d'un bien ou
d'une personne.» Donc, c'est cette disposition-là qui est invoquée pour refuser
de donner accès à ce type de renseignement qui serait préjudiciable.
M. Tanguay
: O.K. Quel
est l'état des lieux actuellement des…
M. Miville-Deschênes
(Jean-Philippe) : ...aurait pour effet de réduire l'efficacité d'un programme,
d'un plan d'action ou d'un dispositif de sécurité destiné à la protection d'un
bien ou d'une personne.» Donc, c'est cette disposition-là qui est invoquée pour
refuser de donner accès à ce type de renseignement qui serait préjudiciable.
M. Tanguay
: O.K. Quel
est l'état des lieux, actuellement? Des monopoles ont beaucoup de désavantages
quant aux fournisseurs de services, le cas échéant, parce que, là, j'entends
qu'il va falloir formaliser l'évaluation, la mise en place de tels systèmes,
puis ça va être plus qu'hier, moins que demain. Quel est l'état des lieux? Je
sais que ce n'est pas dans la cour du ministre, mais j'imagine... Est-ce qu'on
va faire ça à l'interne? Est-ce qu'on va donner ça à des fournisseurs externes?
Est-ce qu'il y a une scène écologie d'acteurs à l'extérieur pour s'assurer que
ça ne soit pas tout le temps un quasi-monopole d'une compagnie qui fait tout ça
clé en main, que c'est bien parfait, mais qu'à un moment donné, collectivement,
on se rend compte que, oups! on a peut-être échappé...
M.
Caire
: C'est
une excellente question, M. le député. En fait, il y a une demande actuellement
de la Commission d'accès à l'information pour que le gouvernement se dote
d'outils qui vont permettre d'automatiser et de systématiser ce genre
d'évaluation là. Et il y a aussi une expertise, parce que la notion d'évaluation
des facteurs relatifs à la vie privée n'est pas une notion qui arrive avec le
projet de loi n° 64, on l'avait déjà adoptée dans le
projet de loi n° 14 l'année dernière ou il y a... en
tout cas, ma mémoire me fait défaut, vous m'excuserez, mais on avait déjà
adopté cette notion-là. Donc, déjà, au niveau de la Commission d'accès à
l'information et au niveau des ministères et organismes, on était sensibilisés
au fait que cette situation-là allait prévaloir. Donc, dans le fond, ce
qu'on fait ici, c'est de formaliser dans la loi sur la protection des
renseignements personnels, cette procédure-là, cette façon de faire. Mais déjà,
il y a une expertise à l'interne qui se met en place, on nous demande des
outils aussi, comme je vous ai déjà dit, là, on nous demande des outils,
demande à laquelle nous acquiesçons, évidemment, il faut quand même prendre le
temps de le faire, là, mais pour formaliser et systématiser la production de
ces évaluations-là.
Donc, l'objectif n'est pas d'aller à
l'externe ou... Je ne dis pas que ça n'arrivera jamais, je ne dis pas qu'il n'y
a pas des expertises externes qui seront nécessaires, mais l'idée, c'est de se
donner au moins les assises à l'interne pour qu'on puisse avoir cette
capacité-là de produire de telles évaluations.
• (11 h 50) •
M. Tanguay
: Et dans le
contexte du débat de l'article 1 qui référait au nouvel article 8, notamment,
et suivants, on se rappellera qu'on a avait eu la confirmation du ministre
que... Parce que, là, 63.5, au coeur de l'action, il y a le comité sur l'accès
à l'information et à la protection des renseignements personnels. Ce comité-là,
on avait déjà eu la discussion avec le ministre qu'il pourra, le cas échéant...
des membres externes pourraient, le cas échéant, être assis à la table de ce
comité-là. Ça pourrait vouloir dire le représentant d'un fournisseur qui a eu
le mandat de procéder.
M.
Caire
: Ça
pourrait, oui, effectivement, pour avoir peut-être une connaissance plus
approfondie de l'application. Ça pourrait être aussi des expertises par rapport
à des technologies plus récentes. Je pense aux chaînes de blocs, quand on parle
de protection, de communication, je pense à l'intelligence artificielle,
notamment...
M. Tanguay
: …procéder?
M.
Caire
: Ça
pourrait, oui, effectivement, pour avoir peut-être une connaissance plus
approfondie de l'application. Ça pourrait être aussi des expertises par rapport
à des technologies plus récentes. Je pense aux chaînes de bloc; quand on parle
de protection, de communication, je pense à l'intelligence artificielle, notamment,
où au sein du gouvernement c'est des expertises qui sont naissantes et pour
lesquelles il pourrait y avoir temporairement un besoin d'aller à l'externe.
M. Tanguay
: Est-ce que
le ministre a une évaluation du coût que ça va représenter? Ou a-t-il
demandé... Je ne vais pas lui demander le coût pour tout le monde, là.
M.
Caire
: Oui.
Bien, écoutez, je veux... Il y a, oui, il y a une évaluation des coûts qui a
été...
M. Tanguay
: Il faut
s'attendre à ce que...
M.
Caire
: Bien,
je vous avoue que... Écoutez, l'évaluation qui a été faite, je vous le dis…
Puis, je ne sais pas, on a-tu le... On peut-u fournir les documents à la commission
à cet effet-là, là?
M. Tanguay
: Oui.
M.
Caire
: Les évaluations
qui ont été faites, si ma mémoire est bonne, seraient de 11 000 $
environ pour la mise en place de tout ça dans une organisation.
M. Tanguay
:
11 000 $? Dans une organisation donnée?
M.
Caire
: Oui,
dans une organisation.
M. Tanguay
: Ah oui?
11 000 $. Si on pouvait avoir le détail…
M.
Caire
: Mais
là, c'est pour ça que je suis un peu... j'y vais sur la pointe...
M. Tanguay
: Ça me
semble peu. Ça me semble peu, 11 000 $, pour… Évidemment, là, tu
sais, ça peut être... il y a des plus petits puis des plus gros organismes, là.
M.
Caire
: Oui,
c'est ça, c'est des moyennes puis c'est des... En tout cas, je...
M. Tanguay
: O.K.
M.
Caire
: Mais
je m'engage à fournir l'information qu'on a là-dessus à la commission, et je
laisserai mes collègues évaluer…
M. Tanguay
: À
11 000 $, j'en prendrais deux. Et je ferais écho...
M.
Caire
: Oui,
d'accord. J'envoie ça à quelle adresse?
M. Tanguay
: Bien,
regardez bien ça, vous vous l'enverrez. Le Barreau du Québec a recommandé
également la mise en place — puis je reviens là-dessus, on ne refera
pas le débat — d'une disposition transitoire afin que les organismes
publics procèdent à une analyse des systèmes d'information déjà en place.
M.
Caire
: Oui.
Ça…
M. Tanguay
: Tu sais,
quand on se disait… Il y a le coût. 11 000 $, j'en prends deux; j'en
prends deux, là. Mais il y avait l'aspect organisationnel puis sclérosant de ce
mandat-là pour ce qui est en place. Mais je pense, puis je relance l'idée, puis
je ne redirai pas tout ce que j'ai dit, M. le Président, mais je pense que le
gros, gros, gros, 100 % des données à l'heure actuelle, c'est dans les
systèmes actuels. Alors, si on fait la loi uniquement pour l'avenir, il va y
avoir des organismes qui n'auront, pour les prochaines années, pas de nouveau
système à implanter, et ils n'auront pas procédé à un état des lieux,
évaluation quant à la conformité de leur système actuel, qui contient
100 % des renseignements personnels. Alors, je relance l'idée au ministre.
Il faudrait trouver une voie de passage, quelque chose pour qu'il y jette un
oeil, sans que ce soit… Puis j'avais même… Excusez-moi. Rapidement, j'avais
même dit : Bien, on pourrait… Puis je pense qu'on avait déposé un
amendement là-dessus, par rapport au fait de demander que pour les systèmes
actuels, il y ait une évaluation qui soit faite, mais sans que ce soit
formalisé, tel que rédigé par 63.5.
M.
Caire
: Bon.
Bien, M. le Président, je vais revenir sur cette discussion-là qu'on a eue avec
le député de LaFontaine. Puis il faut comprendre, là, que je n'ai plus le
chiffre exemple… le chiffre…
M. Tanguay
: ...tel que
rédigé par 63.5.
M.
Caire
: Bon,
bien, M. le Président, je vais revenir sur cette discussion-là qu'on a eue avec
le député de LaFontaine. Puis il faut comprendre, là, que... je n'ai plus le
chiffre en tête, là, mais c'est des milliers de systèmes dont le gouvernement
du Québec dispose présentement, puis tous, d'une façon directe ou indirecte,
vont traiter des renseignements ou personnels, ou sensibles, ou, etc., pour
lesquels il faudrait faire une évaluation. Donc, je laisse... Puis en
admettant, là, en admettant que le coût dont je vous parle, il est exact, je
vais laisser le député de LaFontaine faire le calcul de ce que ça représente
pour le contribuable québécois.
Pour faire quoi? Pour en arriver à quoi?
L'idée d'une évaluation des facteurs relatifs à la vie privée, c'est de voir,
dans les processus, dans la façon de faire, dans ce qui est planifié, dans ce
qui est prévu, dans ce qui sont les résultats attendus d'un système, quels sont
les facteurs qui pourraient représenter un risque ou une faille pour la vie
privée. Or, les systèmes que nous utilisons, ces éléments-là, ils sont connus,
on les connaît. On connaît les intrants, on connaît les extrants, on connaît
les manipulations, on sait qui a accès à quoi, qui a la permission de faire
quoi avec ça. On le sait déjà, parce que c'est l'usage qui nous a permis
d'aller chercher cette information-là.
Donc, l'évaluation des facteurs relatifs à
la vie privée, dans ces cas-là, ne nous apporterait pas de réponses que nous
n'avons pas. Et c'est là où je dis au collègue : Nous sommes aussi, à
l'Assemblée nationale, gardiens des deniers des contribuables. Ce sont les
députés de l'Assemblée nationale qui dotent le gouvernement de ses budgets.
Puis je sais que mon collègue est très sensible à ces questions-là. Alors, on
parle de millions de dollars pour un exercice qui ne va pas produire d'effet
positif.
Alors, c'est là où je dis : C'est
pour ça qu'on l'impose pour les futurs systèmes. Parce que les futurs systèmes,
c'est des questions pour lesquelles on doit trouver ces réponses-là, et non pas
par la pratique du terrain, mais il faut que ces évaluations se fassent
justement avant qu'on les déploie. Puis c'est même une mesure qu'on a mise...
deux mesures, en fait, qu'on a mises dans la politique de cybersécurité. La
première, c'est que, quand on dessine un système, il faut avoir cette pensée-là
de sécurité. Et quand on acquiert un système, il faut faire ces évaluations-là
pour savoir, lorsqu'on va le déployer, est-ce qu'on va avoir des mauvaises
surprises, oui ou non. C'est ça, l'idée. Donc là, à ce moment-là, c'est
pertinent de le faire, dans les paramètres que nous avons… dont nous avons
discuté précédemment, avec les amendements que nous avons apportés.
C'est la même logique qui fait que… Je
disais au collègue... Tu sais, on a commencé l'article en disant «tout
système». Puis là on s'est dit : Bien non, parce qu'il y a...
M.
Caire
: …donc
là, à ce moment-là, c'est pertinent de le faire dans les paramètres que nous
avons… dont nous avons discuté précédemment, avec les amendements que nous
avons apportés. C'est la même logique qui fait que… je disais aux collègues, tu
sais, on a commencé l'article en disant : Tout système. Puis là on s'est
dit : Bien non, parce qu'il y a bien des moments où une telle évaluation
ne sera pas pertinente. Donc, on va engager des ressources matérielles,
financières et humaines à faire quelque chose qui n'a pas d'utilité. C'est pour
ça qu'on a apporté la modification de dire acquisition, développement ou
refonte. Parce que là, effectivement, on est dans une situation où ces questions-là
se posent et où on doit aller chercher les réponses.
Le Président (M.
Bachand) :M. le député, s'il vous plaît.
M. Tanguay
: Très rapidement,
puis je... On l'avait fait, le débat, on avait déposé l'amendement 63.4.1
qui demandait que ça soit fait pour les systèmes actuels dans les six mois. Ça
aurait pu être un an, ça aurait pu être un autre délai.
Évidemment, puis en tout respect, je ne
suis pas d'accord avec le ministre, en tout respect, puis c'est pour ça qu'on
siège, bien correct. Moi, je pense que coût-bénéfice, tout a un coût,
coût-bénéfice, je pense que le jeu en vaut la chandelle. Et allez parler à
toutes celles et ceux qui, tant au ministère du Revenu, ministère de la Santé, ministère
de l'Éducation, Enseignement supérieur, qui ont été victimes de vol de données,
parce que visiblement il y avait des carences.
Évidemment, un système parfait à
100 % et à l'abri à 100 %, je veux dire, la CIA se fait hacker aux
États-Unis, M. le Président, puis il y en a qui sont capables d'entrée. Alors,
des systèmes parfaits, ça n'existe pas. Il y aura toujours une course
technologique face aux malfaiteurs. Des fois, ils vont être en avance, des
fois, nous, on sera à l'avance. Mais je pense que le coût-bénéfice, le jeu en
aurait valu la chandelle. Voilà, tout simplement.
Le Président (M.
Bachand) : Merci. Interventions? Sinon, on continue l'étude de
l'article. On serait à 63.6. M. le ministre.
M.
Caire
: Oui,
merci, M. le Président. J'ai un amendement... Non, c'est à 63.6.1, hein?
Le Président (M.
Bachand) : C'est ça.
M.
Caire
: O.K.,
excusez. Non, mais je vais me remettre dedans, là, promis, promis, promis.
63.6, M. le Président, se lirait comme
suit : «Le comité peut, à toute étape d'un projet visé à l'article 63.5,
suggérer des mesures de protection des renseignements personnels applicables à
ce projet, telles que :
«1° la nomination d'une personne chargée
de la mise en oeuvre des mesures de protection des renseignements personnels;
«2° des mesures de protection des
renseignements personnels dans tout document relatif au projet, tel un cahier
des charges ou de contrat;
«3° une description des responsabilités
des participants au projet en matière de protection des renseignements
personnels;
«4° la tenue d'activités de formation sur
la protection des renseignements personnels pour les participants au projet.»
Donc, M. le Président, le 63.6. Cet
article prévoit que le comité sur l'accès à l'information et à la protection
des renseignements personnels peut, à toute étape d'un projet de système
d'information ou de prestation électronique de services visé par l'article
précédent, suggérer des mesures de protection des renseignements personnels
applicables à ce projet telles que certaines mesures qu'il énumère.
Le Président (M.
Bachand) : Merci, M. le ministre. Interventions? M. le député
LaFontaine, s'il vous plaît.
• (12 heures) •
M. Tanguay
: Oui,
merci, M. le Président. Je retombe dans l'article 8 et 8.1. De facto, la
plus haute autorité, est-ce qu'elle est membre du comité, de facto, ou elle
constitue le comité...
12 h (version non révisée)
M.
Caire
:
...mesures qu'il énumère.
Le Président (M.
Bachand) :Merci, M. le ministre.
Interventions? M. le député de LaFontaine, s'il vous plaît.
M. Tanguay
: Oui, merci,
M. le Président. Je retombe dans l'article 8 et 8.1. De facto, la plus
haute autorité, est-ce qu'elle est membre du comité, de facto, ou elle
constitue le comité?
M.
Caire
: Non.
Elle le constitue.
M. Tanguay
: Elle
le constitue puis elle n'y siège pas.
M.
Caire
: Non.
M. Tanguay
: O.K. Est-ce
qu'il est bon que le comité sous-délègue la nomination d'une personne chargée
de la mise en oeuvre des mesures de protection sans qu'il y ait une sorte de
lien fait avec la plus haute autorité ou...
M.
Caire
: Bien,
en fait, c'est que la plus haute autorité, de par la loi, sera toujours
responsable, sera toujours imputable. C'est d'ailleurs, je vous dirais, le
coeur de l'argument que nous avons eu vous et moi, pour lesquels nous étions entièrement
d'accord, d'ailleurs. Donc, tout acte de délégation se fait dans l'exécution
d'une tâche, mais non pas dans la responsabilité qui incombe aux premiers
dirigeants de l'organisation.
M. Tanguay
: O.K.
Le Président (M.
Bachand) : Interventions? Sinon, nous allons continuer. M. le
ministre, vous aviez un amendement.
M.
Caire
:
Oui... cette fois, j'y suis, 63.6.1. Donc, l'amendement se lit comme
suit : Insérer, après l'article 63.6 de la Loi sur l'accès aux documents
des organismes publics et de la protection des renseignements personnels
proposé par l'article 14 du projet de loi, l'article suivant — excusez-moi :
«63.6.1. Un organisme public qui recueille
des renseignements personnels en offrant au public un produit ou un service
technologique disposant de paramètres de confidentialité doit s'assurer que,
par défaut, ses paramètres assurent le plus haut niveau de confidentialité sans
aucune intervention de la personne concernée. Ne sont pas visés au premier alinéa
les paramètres de confidentialité d'un témoin de connexion.»
Le Président (M.
Bachand) : C'est beau. Alors, on va suspendre quelques
instants...
M.
Caire
: Bon,
bien...
Le Président (M. Bachand) :
Oui?
M.
Caire
: Ah!
il n'avait pas été déposé, M. le Président?
Le Président (M.
Bachand) : C'est parce qu'il était... il avait été déposé, mais
je pense qu'il a été retiré puis il va être redéposé.
M.
Caire
: Ah!
c'est le nouvel amendement, oui, effectivement. C'est pour mettre la...
Le Président (M.
Bachand) :C'est ça. Merci.
Ça fait qu'on va suspendre quelques
instants. Merci.
(Suspension de la séance à 12 h 2)
(Reprise à 12 h 4)
Le Président (M.
Bachand) :À l'ordre, s'il vous plaît! La
commission reprend ses travaux. Interventions sur l'amendement du ministre?
M. le député de LaFontaine, s'il vous plaît.
M. Tanguay
: Oui. Et
j'aimerais savoir qu'entend le ministre lorsqu'il dit «un organisme qui recueille
des renseignements personnels en offrant au public un produit disposant un
paramètre… doit s'assurer que par défaut ces paramètres assurent le plus haut
niveau de confidentialité sans aucune intervention de la personne concernée».
Je vous donne un exemple bien tangible,
que j'ai vécu, moi. Je devais envoyer à Revenu Québec un document, et c'était
bien, bien, simple, l'affaire. J'avais parlé à la dame, au téléphone, ça allait
super bien, elle dit : Envoyez-le-moi. Moi, c'est un document qui était,
par ailleurs, public. Mais elle a dit : Non, non, vous devez l'envoyer de
façon sécurisée. Puis vous savez, dans nos vies, du temps, on n'en a pas… des
fois, on n'en a pas, de lousse. Alors, je lui dis : Quelle est votre
adresse courriel? Je l'ai, votre adresse courriel. Elle a dit : Non, non,
non, vous devez l'envoyer de façon sécurisée. Bien, j'ai dit : Il est
public, non, correct, parfait, alors, je vous envoie la procédure. Elle
m'envoie la procédure. Je reçois un courriel, et là, je devais… c'est là, «aucune
intervention de la personne concernée», je devais aller créer un compte, me
faire un mot de passe, m'identifier et télécharger de façon sécurisée le
document qui, par ailleurs, est public pour pouvoir lui envoyer puis qu'elle le
récupère. Moi, je l'aurais imprimé, là, puis si on n'était pas en pandémie,
j'aurais… lui donné à…
Alors, est-ce que c'est ça, qu'on vise,
ici? Parce que ça m'a demandé… honnêtement, moi, comme citoyen, je pense que,
finalement, je ne l'ai même pas envoyé parce que je me disais elle va l'avoir,
de toute façon, selon les voies naturelles puis c'est ce qui est arrivé.
M.
Caire
:
Bien, en fait, non, ce n'est pas… ce n'est pas à ça, parce que, là, on parle
vraiment d'une transmission d'une information entre vous et un organisme
public. Donc, sur la transmission, bon, ils sont tenus à certaines procédures,
surtout dans le cas de Revenu Québec. Ceci étant, je ne me permettrai pas de
juger si…
M. Tanguay
: ...façon,
selon les voies naturelles, puis c'est ce qui est arrivé.
M.
Caire
: Bien,
en fait, non, ce n'est pas à ça... Parce que, là, on parle vraiment d'une
transmission d'une information entre vous et un organisme public. Donc, sur la
transmission, bon, eux sont tenus à certaines procédures, surtout dans le cas
de Revenu Québec. Ceci étant, je ne me permettrai pas de juger si c'est exagéré
ou non, je vais vous laisser ça, là.
Mais ici, ce dont on parle, c'est que si
vous avez... si vous utilisez un système sur un... ou un site Web, ou une
application de toute nature et que les paramètres de sécurité... bien, en fait,
la sécurité est paramétrisable, dans le sens où vous pouvez autoriser, je ne
sais pas, moi, l'utilisation de votre adresse IP ou vous pouvez utiliser...
quoique, ça, ce n'est pas vraiment sécurisé, mais bon, vous pouvez définir par
quelles caractéristiques de sécurité vous voulez que l'échange ou l'utilisation
de l'application soit fait. Ce qu'on demande, c'est que, par défaut, on vous
offre les plus hauts paramètres de sécurité qui sont disponibles dans
l'application, sans que vous ayez à aller à paramètres, paramètres d'affichage,
sous-paramètres de ci, aller cliquer ici et là parce que vous ne voulez pas... par
exemple, Google, vous ne voulez pas que Google garde des renseignements, donc
là vous dites : O.K., bien là, je vais aller le paramétrer pour qu'il n'y
ait pas de renseignement dans mon navigateur qui soit conservé, ou, etc. Donc,
quand vous utilisez une application, ce qu'on dit, c'est qu'elle doit d'emblée
vous amener dans son environnement le plus sécurisé possible sans que vous ayez
à intervenir.
M. Tanguay
: O.K.
Avez-vous un exemple concret?
M.
Caire
: Bien,
je vous dirais, mettons, quand vous... oui, ce n'est peut-être pas le meilleur exemple,
mais quand vous allez sur Google, Google, vous pouvez...
M. Tanguay
: Mais avec
un organisme public.
Le Président (M.
Bachand) :M. le député de Gouin.
M. Nadeau-Dubois :
L'application de la SAQ. La SAQ, c'est un organisme public, ils ont une
application...
M.
Caire
:
Hum-hum, c'est un bon exemple.
M. Nadeau-Dubois : ...où il y
a des fonctions de localisation...
M.
Caire
: Il y
a des fonctions de localisation, il y a l'utilisation de certains paramètres...
M. Nadeau-Dubois : ...des
fonctions de profilage aussi.
M.
Caire
:
...d'identification.
Le Président (M.
Bachand) : ...
M.
Caire
: Oui,
je pense que tu peux utiliser ta carte.
M. Nadeau-Dubois :
L'application...
M. Tanguay
: La carte
Inspire?
M.
Caire
: La
carte Inspire, oui.
M. Nadeau-Dubois : Bien, il y
a la carte, mais il y a l'application. Moi, je ne l'utilise jamais.
M. Tanguay
: C'est pour
d'autres. C'est pour d'autres.
M. Nadeau-Dubois : Mais c'est
pour les gens qui parfois boivent du vin, moi, ça ne m'arrive jamais, mais on
m'informe que l'application de la SAQ a des fonctions de localisation.
M.
Caire
: Des citoyens
nous ont dit que.
M. Nadeau-Dubois : Exact. Des
fonctions de profilage aussi, peut enregistrer les achats qu'on fait pour créer
un profil de consommateur puis nous proposer certains produits. Ça fait que ça,
je pense que c'est un bon exemple concret, parce que c'est un organisme public.
Est-ce qu'en fonction de cet amendement-là... on va y aller schématiquement,
là, mais est-ce que, par exemple, les fonctions de localisation de l'application
de la SAQ devraient être d'emblée désactivées quand on télécharge
l'application?
M.
Caire
: Si ça
va dans le sens de vous offrir le plus haut niveau...
M. Nadeau-Dubois : ...est-ce
qu'en fonction de cet amendement-là, les... on va y aller schématiquement, là,
mais est-ce que, par exemple, les fonctions de localisation de l'application de
la SAQ devraient être d'emblée désactivées quand on télécharge l'application?
M.
Caire
: Si ça
va dans le sens de vous offrir le plus haut niveau de protection possible dans
l'application, la réponse à cette question-là, c'est oui.
M. Nadeau-Dubois : Mais est-ce
que ça implique que nécessairement... Parce que là, je prends l'exemple de la
SAQ, mais, tu sais, je ne le sais pas, est-ce que la SQDC a une application?
Mais on pourrait penser à plusieurs organismes publics qui développent des
applications de service à la clientèle. Puis on sait que de plus en plus, la
mode, on peut le critiquer ou pas, là, mais, bon, c'est de... tu sais, c'est de
faire de la publicité ciblée, de proposer les options proches du consommateur.
On pourrait imaginer d'autres applications de d'autres organismes publics qui
auraient des fonctions comme celle-là. Est-ce que la fonction de localisation
devrait être nécessairement désactivée si on adopte l'amendement?
M.
Caire
: Oui,
oui, oui.
M. Nadeau-Dubois : Parce
que...
• (12 h 10) •
M.
Caire
: En
fait, il faudrait que vous l'activiez. Donc, d'emblée, sans que vous
interveniez, il faudrait que ce soit désactivé, et là on pourrait vous offrir
de dire : Bon, bien, si vous voulez avoir tel et tel service, ça nécessite
d'activer ce volet-là de l'application. Voulez-vous l'activer? Oui, je l'active
ou non, je ne veux pas l'activer, je vais me passer du service.
M. Nadeau-Dubois : Parfait.
Est-ce que ça implique nécessairement que les fonctions qu'on appelle, des
fois, de profilage soient automatiquement désactivées? Par exemple, l'application
de la SAQ, je présume, puis je pense que c'est une hypothèse qu'on peut faire,
enregistre les recherches qu'on effectue pour ensuite nous proposer des
produits liés aux recherches qu'on a effectuées. Est-ce qu'une fonction comme
celle-là, si on adopte l'amendement, devrait être désactivée?
M.
Caire
: Oui.
M. Nadeau-Dubois : Et il
faudrait volontairement l'activer.
M.
Caire
:
Voilà.
M. Nadeau-Dubois : O.K. Et
tous les organismes publics devraient...
M.
Caire
: ...se
conformer.
M. Nadeau-Dubois : ...se
conformer à ça.
M.
Caire
: Bien,
évidemment, la loi s'applique à tous.
M. Nadeau-Dubois : Parfait.
Bien, déjà, ça me permet de mieux comprendre un peu la portée de l'amendement.
M. Tanguay
: O.K. je
comprends, mais je ne le lisais pas pantoute comme ça. J'étais ailleurs, moi,
j'étais sur d'autres choses, je ne le lisais pas comme ça. Une fois qu'on a
dit, est-ce que ça inclut qu'une fois, si je reprends l'application de la SAQ,
je ne le sais pas, je ne l'ai pas cette application-là, j'ai la carte à points
par compte...
M.
Caire
: Moi
non plus je ne bois pas de vin.
M. Tanguay
: Quand je
vais faire des commissions pour les autres, ils me laissent les points, c'est
mon pourboire.
M.
Caire
: Bon
bonhomme.
M. Tanguay
: ...Mais,
si je veux... parce que la SAQ, si je veux : Ah! quelle est la SAQ,
j'imagine, quelle est la SAQ la plus près, il va me géolocaliser puis il va
m'offrir : Il y en a une à huit kilomètres, 11 kilomètres,
12 kilomètres. J'imagine que ça, ça implique que... évidemment, je vais
leur permettre de me géolocaliser, mais ça implique aussi qu'après, il n'y aura
pas conservation, j'imagine. J'en suis sur l'aspect conservation. Est-ce qu'on
doit lire cet article comme étant que la SAQ, une fois que la demande a été
faite, on lui a ciblé à huit kilomètres la SAQ la plus près, parfait, que je ne
suis plus... après cette réponse-là, je ne suis plus géolocalisé après une
certaine période de temps, je ne sais pas s'il y a un temps, et que cette
information-là ne reste pas dans leur système, que ce soit... Parce que la vie
de l'information, on arrive toujours à la mort de l'information qui est… c'est
quoi le...
M. Tanguay
: …parfait
que je ne suis plus, après cette réponse-là, je ne suis plus géolocalisé, après
une certaine période de temps — je ne sais pas s'il y a un temps — et
que cette information-là ne reste pas dans leur système, que ce soit parce que
l'avis d'information, on arrive toujours à la mort de l'information qui est…
c'est quoi le terme? Détruite…
M.
Caire
: Le
cycle de vie. La destruction du cycle de vie.
M. Tanguay
: Le cycle
de vie, mais la dernière étape, c'est «détruite», c'est-u ça?
Une voix : …
M. Tanguay
:
Destruction. Que ça soit détruit. Ça implique ça aussi, j'imagine?
M.
Caire
: Bien,
en fait, là on ne tombe pas dans la portée de l'amendement sur le cycle de vie
de l'information puis l'utilisation. Ça, c'est vraiment quand vous faites une
utilisation de l'application pour dire : Je vous convie dans
l'environnement le plus sécuritaire que mon application peut vous proposer. Et
donc à vous de paramétriser, après ça, pour permettre l'utilisation
d'informations ou d'outils d'information qui vont me permettre de personnaliser
votre navigation. Mais le cycle de vie de ces informations-là ne sont pas
traitées par l'amendement. Mais on va voir ça ailleurs, ceci étant. Oui, on
voit ça ailleurs.
M. Tanguay
: Il y a,
dans le cycle… On va voir ça ailleurs, puis à la partie destruction, est-ce
que, je ne sais pas à quel article, là, on va voir ça, mais est-ce qu'on aura
le débat sur est-ce que la SAQ, où ce n'est pas au niveau de la loi du 64,
parce que là, on est réellement trop dans le détail, mais est-ce qu'on veut,
comme législateur, se poser la question : Est-ce que la SAQ pourrait
garder cette information-là, que le député de LaFontaine, tel jour, telle
heure, tel endroit, a demandé ça? Parce que ça a une certaine valeur
commerciale aussi, là.
M.
Caire
: Oui.
Mais, en fait, la réponse à votre question c'est oui, la SAQ pourrait garder
ces informations-là. Ceci étant, il y a des articles auxquels ils devront se
conformer dans l'utilisation, dans les consentements qui sont demandés, dans le
cycle de vie d'une information, à quel moment on doit détruire une information,
etc. On va aussi adresser ces questions-là.
M. Tanguay
: À quel
article on va en parler?
M.
Caire
: Ça,
c'est une excellente question. Là, je ne les ai pas tous par coeur en tête.
Une voix : …
M. Tanguay
: Ça, on ne
les amende pas, hein…
Une voix : …
M. Tanguay
: Oui, 73,
mais on ne l'amende… O.K. Ça fait qu'on va en parler de là, de la destruction… O.K.
Dernière question de compréhension : Ne sont pas visés, au deuxième
alinéa, au premier alinéa, les paramètres de confidentialité d'un témoin de
connexion. C'est quoi, un témoin de connexion?
M.
Caire
: Un
cookie.
M. Tanguay
: Un cookie.
C'est quoi, un cookie?
M. Tanguay
: C'est
quand vous rentrez sur un site, le cookie, c'est une espèce de petit fichier
qu'on va déposer sur votre navigateur, qui va enregistrer certains
renseignements dans votre séance de navigation. Ce qu'on va faire, par contre,
c'est vous demander, dire : Ce site utilise des cookies, les témoins…
M. Tanguay
: O.K. Moi,
je dis toujours «accepter». Je dis toujours «accepter».
M.
Caire
: Puis
si vous dites oui, il va être en mesure de déposer ce petit fichier-là, puis
c'est des informations dont lui se sert pour paramétriser votre navigation,
mais à l'intérieur du site. Mais normalement, on vous dit : Est-ce que
vous l'acceptez, oui ou non?
M. Tanguay
: O.K. Donc,
si je vais sur le site SAQ, puis «Voulez-vous accepter», moi, je fais toujours
«accepter», là, parce que je n'ai pas le temps de lire les termes de… Ah! oui,
je veux mon…
M.
Caire
: …de
déposer ce petit fichier-là, puis c'est des informations dont lui se sert pour
paramétriser votre navigation, mais à l'intérieur du site. Mais normalement, on
vous dit : Est-ce que vous l'acceptez, oui ou non?
M. Tanguay
: O.K. Donc,
si je vais sur le site SAQ, puis voulez-vous accepter? Moi, je fais toujours
accepter, là, parce que je n'ai pas le temps de lire les termes… je veux mon…
M.
Caire
: En
fait… il n'y a pas de termes, hein? C'est vraiment : Ce site utilise des…
bien, moi… l'expression connue, c'est les cookies.
M. Tanguay
: O.K.
M.
Caire
:
Est-ce que vous accepter qu'on s'en serve, oui ou non? Vous dites : Oui,
vous dites : Non.
M. Tanguay
: Dans le
fond, on pourrait… c'est francisé, c'est-u un mouchard? Il me semble que ça
serait un beau…
M.
Caire
: Non.
Je pense, témoins de connexion, c'est la traduction usuelle.
M. Tanguay
: O.K. Donc,
ça, ça veut dire que ça… ce que j'ai fait pendant le deux minutes, trois
minutes sur le site, c'est enregistré?
M.
Caire
: C'est
enregistré.
M. Tanguay
: Je pars,
ça garde ça.
M.
Caire
: C'est
déposé sur votre navigateur.
M. Tanguay
: O.K. Ce
n'est pas de l'information qu'ils conservent?
M.
Caire
: Non,
non. Ce que vous pouvez faire, à la limite, c'est l'effacer, le supprimer. Une
fois que la navigation est terminée, vous pouvez le supprimer.
M. Tanguay
: Puis
quelle est son utilité?
M.
Caire
:
C'est… le site va aller chercher des informations sur ce que vous avez fait
durant votre navigation, c'est son fichier de référence par rapport à vous pour
dire : O.K., bien, moi, je suis allé… j'ai consulté telle page, telle
page, telle page, etc., là. C'est vraiment comme votre….
M. Tanguay
: Puis quand
vous y retournez, il s'en rappelle, c'est sa mémoire.
M.
Caire
: Il
revient chercher le cookie, il va le chercher, parce que lui, il sait où il l'a
déposé sur votre ordi, il va rechercher le cookie, puis lui, c'est un proformat
qu'il est capable de lire, puis il vient chercher l'information comme ça. Donc,
ça lui permet de… La prochaine fois, ça lui permet de dire : Ah! O.K., la
dernière fois que tu es venu me voir, tu as regardé ça, tu as regardé ça, tu as
regardé ça, tu es resté tant de temps. Parfait. Puis là il peut faire des
suggestions.
Ce que vous pouvez faire, très simplement,
c'est vous les supprimer. Ils sont dans un fichier. Puis souvent, même, votre
système d'exploitation, votre ordinateur va vous offrir cette
opportunité-là : Voulez-vous supprimer les cookies? Absolument. Puis il va
tout faire le ménage là-dedans.
M. Tanguay
: Pour les
organismes publics, pourquoi c'est important de préserver les cookies? Parce
qu'on l'exclut du premier alinéa.
M.
Caire
: Bien,
parce qu'en fait c'est au niveau de la paramétrisation, c'est-à-dire qu'on
n'interdira pas l'utilisation d'un cookie, parce que, normalement, si on se fie
au premier alinéa, ça viendra dire que je ne peux pas me servir d'un cookie.
Donc, ce que je vais faire, je vais plutôt vous demander le consentement pour
l'utiliser, mais je ne vais pas… je ne peux pas désactiver, je m'en sers ou je
ne m'en sers pas. Puis souvent les applications sont construites comme ça. Je
veux dire, c'est prévu dans la conception de l'application, de dire : Bon,
bien, telle information, je vais la garder dans un fichier, je la dépose sur le
poste du client. Donc, ce n'est pas une intrusion, là, je n'essaie pas d'hacker
votre système d'exploitation, je fais juste le déposer dans un fichier, bye
bye.
M. Tanguay
: O.K.
M.
Caire
: Puis,
après ça, ça me donne… ce n'est pas des…
M. Tanguay
: C'est une
aide à la conduite, dans le fond.
M.
Caire
: Oui.
Ce n'est pas… puis sans dire qu'il n'y a pas d'enjeu de sécurité, parce que ça
ne serait pas vrai, là, ce n'est pas un outil pour faire une intrusion
malicieuse dans votre système, là. C'est vraiment un fichier qui est constitué
par l'application. Puis, par contre, comme je vous dis, on va demander le
consentement sur l'utilisation, parce que ça reste…
M.
Caire
: …parce
que ça ne serait pas vrai, là. Ce n'est pas un outil pour faire une intrusion
malicieuse dans votre système, là. C'est vraiment un fichier qui est constitué
par l'application, puis par contre, comme je vous dis, on va demander le
consentement sur l'utilisation, parce que ça reste que je dépose sur votre
ordinateur un fichier que vous n'avez pas constitué, que l'application va se
constituer elle-même.
Le Président (M.
Bachand) : Merci. M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : Oui, ma
question c'est si on adopte cet amendement, alors un bon amendement, on l'avait
préparé, mais c'est toujours bien d'être devancé par le ministre parce que
c'est une recommandation qui avait été faite par plusieurs groupes, je présume
que le ministre va également amender l'article 18… pour que ce soit
cohérent, puisqu'à l'article 18 on proposait de devoir informer
l'utilisateur du recours à une telle technologie référent à : «…une
technologie comprenant des fonctions permettant de l'identifier, le localiser
ou d'effectuer un profilage et des moyens offerts pour activer les fonctions
permettant d'identifier, le localiser ou d'effectuer un profilage.» Est-ce que
le 18 va être amendé pour le rendre cohérent avec notre nouveau 63.6?
M.
Caire
: Je ne
vois pas d'amendement en ce sens-là, l'article 18. Écoutez, on aura des
explications rendu à l'article 18, mais à ma connaissance on a déposé… on
as-tu déposé l'amendement pour l'article 18? Oui, bon, alors on a déposé
les amendements prévus, M. le Président, à l'article 18.
• (12 h 20) •
M. Nadeau-Dubois : Parce que
ça dit… puis je suis désolé, j'ai lu la mauvaise version de
l'article — j'ai vendu le punch — j'ai lu l'amendement que je
voulais déposer à l'article plutôt que l'article. Ce que l'article dit c'est
qu'il faut informer l'utilisateur des moyens offerts pour désactiver les
fonctions permettant d'identifier, de localiser ou d'effectuer. Oui, donc, ce
n'était pas du «privacy by design,» le leader du gouvernement n'est pas là, on
a le droit d'utiliser des anglicismes. C'était, au contraire, une disposition
qui disait : Faut informer les gens de comment désactiver les fonctions de
localisation, de profilage, identification.
Là, ce que j'ai posé comme question
tantôt, c'est avec le nouvel amendement on va changer le… toute l'approche,
puis au contraire on va être dans une approche de plus haut niveau de
confidentialité par défaut, donc faudrait amender 18.
M.
Caire
: Bien,
M. le Président, on aura cette discussion-là quand on sera rendu à 18, mais je
n'ai aucun problème, ceci étant, là, d'entrée de jeu, je n'ai aucun problème
s'il y a une dichotomie entre les deux articles, je n'ai aucun problème à ce
qu'on adopte les amendements qui seront jugés nécessaires pour être cohérent,
aucun problème avec ça.
L'idée est de dire que quand vous entrez
dans un espace numérique, on devrait vous offrir cet espace-là dans ses
conditions les plus sécuritaires possible, puis c'est ça le principe, puis je
n'ai aucun problème à ce qu'on puisse adopter des amendements qui vont aller
dans ce sens-là.
M. Nadeau-Dubois : Parfait,
parce…
M.
Caire
: …ça.
L'idée est de dire que, quand vous entrez dans un espace numérique, on devrait
vous offrir cet espace-là dans ses conditions les plus sécuritaires possibles.
Puis, c'est ça le principe, puis je n'ai aucun problème à ce qu'on puisse adopter
des amendements qui vont aller dans ce sens-là.
M. Nadeau-Dubois : Parfait,
parce que… c'est ça, je donnais ces exemples-là, justement, parce que c'est
les… en parlant… je cherchais, comme le député de LaFontaine, un exemple, puis
là, c'est l'exemple de l'application de la SAQ qui m'est venu.
M.
Caire
: Le
député de LaFontaine étant lui-même un exemple.
M. Nadeau-Dubois : Étant à
plusieurs égards. Et donc je me disais, si l'objectif…
M.
Caire
: Il
n'y a pas de double sens.
M. Nadeau-Dubois : …de
l'amendement…
M.
Caire
:
C'était juste téteux, Marc.
M. Nadeau-Dubois : …à
l'article 63, c'est de faire en sorte que les gens doivent activer ces
fonctions-là. Bien, il va falloir harmoniser…
M.
Caire
: Bien,
comme je dis, on aura la discussion à 18, mais effectivement, s'il y a une
incohérence, on va s'assurer de la régler.
M. Nadeau-Dubois : Bien,
c'est… je me permets de dire, M. le Président, que c'est un excellent
amendement, là, je… Est-ce que le ministre aura l'occasion de faire un
amendement similaire pour la loi dans le secteur privé?
M.
Caire
: Ça va
être oui, ça va être la même disposition. Si tentée qu'elle n'est pas… Elle
est-u déjà là?
Une voix
: Elle est
déjà là.
M.
Caire
: Elle
est déjà là, hein? C'est ça…
M. Nadeau-Dubois : Bien, c'est
ça, elle était déjà…
M.
Caire
: C'est
le public qui s'adapte à ce qui se fait au privé. Il me semblait que ça… je
n'étais pas sûr, là, mais…
M. Nadeau-Dubois : Voilà.
C'est ça, c'était déjà le cas pour le privé.
M.
Caire
: C'est
déjà le cas pour le privé. On fait juste mettre…
M. Nadeau-Dubois : Voilà.
M.
Caire
: En
fait, on s'assure qu'il y ait une cohérence par rapport à ce qu'on faisait au
public.
M. Nadeau-Dubois : Voilà. En
effet, désolé, moi aussi, je me remets dans le bain…
M.
Caire
: Oui,
oui. Non, ce n'est pas grave, on est tous à la même.
M. Nadeau-Dubois : …mais, ça
confirme les souvenirs et les notes que j'ai. Bien, parfait, M. le Président,
ça complète mes questions pour cet amendement.
Le Président (M.
Bachand) : Merci. Autres interventions sur l'amendement?
S'il n'y a pas d'autre intervention, nous
allons procéder à la mise aux voix. Mme la secrétaire, s'il vous plaît.
La Secrétaire
: Pour,
contre, abstention. M. Caire (La Peltrie)?
M.
Caire
: Pour.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lévesque
(Chapleau)?
M. Lévesque (Chapleau) : Pour.
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Tanguay (LaFontaine)?
M. Tanguay
: Pour.
La Secrétaire
:
M. Nadeau-Dubois (Gouin)?
M. Nadeau-Dubois : Pour.
La Secrétaire
:
M. Bachand (Richmond)?
Le Président (M.
Bachand) : Abstention. Donc, l'amendement est adopté. M. le
ministre, s'il vous plaît.
M.
Caire
: Oui,
63.7, M. le Président. Alors, il se lit comme suit :
«Un organisme public qui a des motifs de
croire que s'est produit un incident de confidentialité impliquant un
renseignement personnel qu'il détient doit prendre les mesures raisonnables
pour diminuer les risques qu'un préjudice soit causé et éviter que de nouveaux
incidents de même nature ne se produisent.
«Si l'incident présente un risque qu'un
préjudice sérieux soit causé, l'organisme doit, avec diligence, aviser la
commission. Il doit également aviser toute personne dont un renseignement
personnel est concerné par l'incident, à défaut de quoi la commission peut lui
ordonner de le faire. Il peut également aviser toute personne ou tout organisme
susceptible de diminuer ce risque, en ne lui communiquant que les
renseignements personnels nécessaires à cette fin sans le consentement de la
personne concernée. Dans ce dernier cas, le responsable de la protection des
renseignements personnels doit enregistrer la communication.
«Malgré le deuxième alinéa, une personne
dont un renseignement personnel est concerné par l'incident n'a pas à être
avisée tant que cela serait susceptible d'entraver une enquête faite par une
personne ou par un organisme qui, en vertu de la loi, est chargé de prévenir,
détecter ou réprimer le crime ou les infractions aux lois…
M.
Caire
: …des
renseignements personnels doit enregistrer la communication.
Malgré le deuxième alinéa, une
personne dont un renseignement personnel est concerné par l'incident n'a pas à
être avisée tant que cela serait susceptible d'entraver une enquête faite par
une personne ou par un organisme qui, en vertu de la loi, est chargé de
prévenir, détecter ou réprimer le crime ou les infractions aux lois.
Un règlement du gouvernement peut
déterminer le contenu et les modalités des avis prévus au présent article.
Donc, M. le Président, 63.7. Cet
article prévoit qu'un organisme public qui a des motifs de croire que s'est
produit un incident de…
Le Président (M.
Bachand) : …M. le ministre.
M. Nadeau-Dubois : …devoir
suspendre, le temps que j'aille effectuer un vote au salon bleu, M. le
Président.
Le Président (M.
Bachand) : Parfait.
M. Nadeau-Dubois : Le
ministre peut finir la lecture de l'article. Je pensais que vous me donneriez
la parole juste à la fin.
M.
Caire
: O.K.
Bien, c'est l'explication, j'en ai pour 30 secondes, M. le député.
M. Nadeau-Dubois : Allez-y,
allez-y.
M.
Caire
: Donc…
qu'il s'est produit un incident de confidentialité impliquant un renseignement
personnel qu'il détient doit prendre les mesures raisonnables pour diminuer les
risques qu'un préjudice soit causé et éviter que de nouveaux incidents de même
nature ne se produisent. Il prévoit également que si l'incident présente un
risque qu'un préjudice sérieux soit causé, l'organisme doit, avec diligence,
aviser la commission et toute personne concernée par renseignements personnels
impliqués afin… Enfin, pardon, il prévoit que l'organisme peut aussi aviser
toute personne ou tout organisme susceptible de diminuer le risque du préjudice
à certaines conditions. Voilà.
Le Président (M.
Bachand) : Merci beaucoup.
Donc, on va suspendre les travaux pour
permettre au député de Gouin d'aller voter. Merci.
(Suspension de la séance à 12 h 25)
(Reprise à 12 h 29)
Le Président (M.
Bachand) :À l'ordre, s'il vous plaît! La commission
reprend ses travaux. Interventions sur l'article 63.7? M. le député de LaFontaine,
s'il vous plaît.
M. Tanguay
:
...j'aimerais entendre le ministre sur c'est quoi un préjudice sérieux?
M.
Caire
: La
réponse à la question du député se retrouve à l'article 63.8 où on dit...
bon, en fait, un incident de confidentialité. Puis à 63.9 : «Lorsqu'il
évalue le risque qu'un préjudice soit causé à une personne...» Bon, en tout
cas, les deux articles vont répondre à cette question-là.
M. Tanguay
:
63.9 : «Lorsqu'il évalue le risque qu'un préjudice soit causé à une
personne... un organisme doit considérer notamment la sensibilité du
renseignement, les conséquences appréhendées de son utilisation et la
probabilité qu'il soit utilisé à des fins préjudiciables.»
On va faire le débat à 63.9. Est-ce que
ces pistes de réflexion là sont cumulatives ou sont alternatives?
• (12 h 30) •
M.
Caire
:
C'est-à-dire que chacune en soi est un élément à considérer...
12 h 30 (version non révisée)
M. Tanguay
:
...conséquences appréhendées de son utilisation et la probabilité qu'il soit
utilisé à des fins préjudiciables. On va faire le débat à 63.9 : est-ce
que ces pistes de réflexion là sont cumulatives ou sont alternatives?
M.
Caire
: C'est-à-dire
que chacune en soi est un élément à considérer.
M. Tanguay
: Qui le
ferait sérieux, comme préjudice.
M.
Caire
: Oui.
Oui.
M. Tanguay
: Elles ne
sont pas cumulatives, là, il n'y a pas besoin d'avoir...
M.
Caire
: Non.
M. Tanguay
: O.K. C'est
là où il est important d'avancer avec C-11. C-11, à l'article 58, 1° déclaration
au commissaire, on parle, dans le contexte de «l'organisme déclare au commissaire
toute atteinte aux mesures de sécurité qui a trait à des renseignements
personnels qui relève d'elle s'il est raisonnable de croire»... Donc, déjà là,
je retourne dans le 64, «si l'incident présente un risque qu'un préjudice sérieux
soit causé, l'organisme doit aviser la commission». Au fédéral, l'analyse...
«raisonnable de croire que dans les circonstances l'atteinte présente un risque
réel de préjudice grave». Et ça, C-11, ça va avoir un impact encore plus,
peut-être, déstabilisant pour les entreprises privées. Puis j'imagine que c'est
la même rédaction plus tard, dans 64, sur les entreprises privées, mais n'y
échappent pas aussi les organismes publics, tant les organismes fédéraux que
provinciaux.
Est-ce qu'il y a eu une réflexion quant à
l'harmonisation avec la définition faite avec le fédéral? Parce que le
législateur provincial, dans l'exercice de sa prérogative, ne parle pas pour ne
rien dire. Je sais que ce n'est pas la même bouche qui parle quand c'est le
Parlement canadien, mais les deux lois doivent vivre ensemble, puis là, force
est de constater qu'en français j'ai des mots différents qui réfèrent à des
réalités différentes.
M.
Caire
: Mais
les concepts ne sont pas si éloignés l'un de... le phrasé est différent, mais
je veux dire, on arrive pas mal sur la même cible. Quand vous regardez,
mettons, 63.8, où là on va vraiment définir c'est quoi, un incident de
confidentialité, puis 63.9, la combinaison de ces deux articles-là vient
vraiment circonscrire de façon... à mon humble avis, là, puis je ne veux pas
partir de polémique fédéral-provincial, là, mais à mon avis, je pense qu'on
vient circonscrire l'environnement d'un incident de confidentialité et d'un
préjudice sérieux de façon quand même assez précise, là, dans la mesure où
trop, c'est comme pas assez, là.
M. Tanguay
: Est-ce que
l'existence même d'un préjudice n'aurait pas justifié la communication au
deuxième alinéa? Parce qu'un préjudice, c'est un préjudice. Pourquoi ce...
Parce que préjudice égale... préjudice sérieux égale communiqué. Moi, j'aurais
été peut-être de l'école, puis on discute, là, préjudice égale communiqué et
préjudice sérieux encore plus, une autre couche, à ce moment-là, là, mais...
Parce que s'il y a un préjudice simple, il n'y aura pas l'obligation...
M. Tanguay
: ...parce
que préjudice sérieux égale communiquer. Moi, j'aurais été peut-être de
l'école, puis on discute, là, préjudice égale communiquer, et préjudice sérieux
encore plus, une autre couche, là, à ce moment-là, là. Mais parce que, s'il y a
un préjudice simple, il n'y aura pas l'obligation de communiquer?
M.
Caire
: Bien,
c'est-à-dire que si... On vient qualifier le préjudice parce qu'on se dit, bon,
bien, dans le cas d'un... Je vous donne un exemple précis. Moi, je télécharge
sur un site une information par erreur. Or, je me rends compte que cette information-là
peut avoir été rendue publique. J'ai un préjudice sérieux, je dois prendre des
mesures pour contrer les effets de ça, corriger l'erreur, prendre tous les
moyens à ma disposition pour... tout ça.
Vous envoyez, je ne sais pas, une fiche
avec des renseignements personnels, vous vous trompez d'adresse, vous l'envoyez
au mauvais collègue. Tu sais, est-ce que... Puis le collègue vous dit :
Aïe! ce n'était pas la bonne adresse. Ah! O.K., excuse. Bien, ce n'est pas
grave, j'ai supprimé le courrier, mais fait juste l'envoyer à un tel, ce n'est
pas... Vous comprenez... le contexte. Bon, est-ce qu'il y a là un préjudice
sérieux qui nécessite qu'on appelle la personne qui est concernée par les
renseignements personnels, qu'on mette la Commission d'accès à l'information
pour dire : Excusez, je me suis trompé d'adresse?
Tu sais, c'est parce qu'il y a des
démarches qui viennent avec ça, puis il faut juste s'assurer que ces
démarches-là sont faites lorsqu'effectivement il peut... ça se justifie par le
risque qui est encouru de les faire, ces démarches-là, et de mettre tout ce
monde-là... Parce que là on sonne l'alarme. Là, la Commission d'accès à
l'information, elle, doit prendre des actions une fois qu'elle a été avisée,
là, elle va prendre des actions, elle ne fera pas juste : Ah! O.K., c'est
correct, là. Alors, puis la personne, bien, vous venez de créer quand même un
certain environnement : O.K., mes renseignements personnels se sont
promenés puis ils n'avaient pas d'affaire à... Alors que, dans les faits, la
situation ne le justifie pas par le fait qu'il n'y a pas de risque, là, c'est
une erreur bébête, mais sans plus.
M. Tanguay
: Deux
choses, suivez-moi bien. En droit, j'ai un recours judiciaire pour tout préjudice
que vous m'avez causé. En droit Code civil, j'ai un recours judiciaire pour
tout préjudice. Que le préjudice soit minime, 10 000 $,
5 000 $, 100 $, j'ai un droit, ou qu'il soit sérieux,
1 million, 3 millions, j'ai un recours judiciaire. Et il n'y a pas de
qualification dans notre corpus législatif de... Un préjudice, c'est un
préjudice.
Puis la façon que le juge va vous accorder
un recours, vous devez faire la preuve de trois choses : la faute, j'ai
commis une faute, il y a eu un dommage, un préjudice, 10 $ ou
1 million, puis il y a un lien de causalité. Une fois que vous avez établi
ça devant une cour de justice, vous gagnez. Vous avez donc votre 10 $,
votre 100 $, votre 1 000 $ ou votre million.
Mon point, c'est que s'il y a possibilité
d'avoir un...
M. Tanguay
: ...recours
puis vous pouvez faire la preuve de trois choses : la faute, j'ai commis
une faute, il y a eu un préjudice, six piastres ou 1 million puis il y a
un lien de causalité. Une fois que vous avez établi ça devant une cour de
justice, vous gagnez. Vous avez donc votre 10 $, votre 100 $, votre 1 000 $,
votre million. Mon point, c'est que s'il y a possibilité d'avoir un
préjudice, effectivement, peut-être qu'on ne va pas arrêter la commission, qui
va déclarer... déclencher une enquête puis tout ça.
Mais s'il y a possibilité d'avoir un préjudice,
j'en informerais le citoyen,
C'est pour ça que je garderais les mêmes
mots, je déplacerais «sérieux». Si l'incident présente un risque sérieux qu'un
préjudice soit causé, et non pas un préjudice sérieux. Ce qui doit être
sérieux, c'est l'analyse que je pense qui doit y avoir un préjudice. J'en
informe le citoyen et non pas : S'il y a juste un préjudice, je m'en fous,
il ne sera pas au courant.
Mais si je dois attendre jusqu'à un préjudice
sérieux, là, tu sais, 1 000 $, 10 000 $... non, non, à
1 million, c'est sérieux, potentiel sérieux. Le «sérieux», je le
déplacerais : «Si l'incident présente un risque sérieux qu'un préjudice
soit causé...», là, j'en informerais le citoyen puis peut-être qu'on pourrait
en aviser la Commission. J'aimerais ça qu'elle soit au courant, mais elle, à ce
moment-là, à l'interne, elle pourrait dire: Regarde, O.K., on ne va pas
déclencher la commission Gomery n° 2, là. C'est
arrivé ça, parfait, on en prend bonne note, bon citoyen.
Mais préjudice, tu n'es pas à moitié en
santé. Préjudice, il y a un préjudice ou il n'y en a pas. Mais s'il n'y a pas
un risque sérieux qu'il y a un préjudice, oublie ça.
Une voix : ...suspendre, M. le
Président.
Le Président (M.
Bachand) :M. le député de Gouin, peut-être
sur le même sujet.
M. Nadeau-Dubois : Sur un
sujet complémentaire, mais...
Le Président (M.
Bachand) : Oui, allez-y.
M. Nadeau-Dubois : ...aussi
bien le faire tout de suite et si le ministre, s'il souhaite suspendre, bien il
pourra brasser les deux idées en même temps. J'avais essentiellement les mêmes
questions que mon collègue de LaFontaine, j'en ajoute une autre, puisque l'article
63.7, à sa fin, là, ajoute une exception, en disant qu'il y ait préjudice ou
préjudice sérieux, il y a une exception à la responsabilité de divulguer
l'incident et cette exception-là, c'est «tant que cela serait susceptible
d'entraver une enquête faite par une personne ou un organisme qui, en vertu de
la loi, est chargé de prévenir, détecter ou réprimer le crime ou les
infractions aux lois.»
Malheureusement, les enquêtes pour fuites
de données, ça peut être très long. Est-ce que le ministre ne craint pas que
cette disposition-là de la loi ne devienne une espèce de prétexte pour se
soustraire à l'obligation de divulguer? La Ligue des droits et libertés émet ce
commentaire-là, dans son rapport... dans son mémoire et le Barreau fait le même
commentaire...
M. Nadeau-Dubois : ...dans son
rapport... dans son mémoire et le Barreau fait le même commentaire en
disant : Là, on voit une exception. Et on dit : Si le fait d'informer
les gens qu'il y a eu fuite de données, c'est «susceptible d'entraver une
enquête faite par une personne ou par un organisme qui, en vertu de la loi, est
chargé de prévenir, détecter ou réprimer le crime ou les infractions aux lois».
D'ailleurs, c'est un libellé très général. Si le département de la sécurité, il
doit avoir des départements de sécurité informatique dans les organismes
publics, enquête sur un incident, on n'a pas fini nos vérifications, on n'a pas
encore... on n'est pas obligé par la loi de divulguer aux gens qu'il y a eu un
incident. Il me semble, ça ouvre la porte à des interprétations un peu larges.
Et d'ailleurs, la loi fédérale ne prévoit pas une telle exception, et le règlement
d'application de la loi fédérale non plus. Donc, j'avoue que ça, ça m'inquiète,
d'autant plus que, tu sais, ça peut bouleverser une vie, là. Pas toujours, tu
sais, des fois, c'est banal, mais ça peut bouleverser une vie, le fait d'être
victime d'une fuite de données.
M.
Caire
: Mais,
si je peux...
M. Nadeau-Dubois : Ça fait que
j'ai comme la crainte, puis elle est appuyée sur les craintes de la Ligue des
droits et libertés puis du Barreau, que cet article-là puisse être utilisé,
c'est ça, comme prétexte pour bloquer la communication aux personnes
concernées. Est-ce qu'on ne pourrait pas modifier l'article en disant : Il
faut que ce soit vraiment, tu sais, préjudiciable pour l'enquête par exemple,
tu sais, venir préciser le libellé un peu? Parce que là j'ai l'impression, et
ce n'est sans doute pas ça, la volonté, mais qu'on ouvre une potentielle
exception très, très large et générale pour permettre à beaucoup de gens de
dire : Ah! on enquête encore, on enquête encore, ce n'est pas fini, ne
divulguez pas l'information. Je ne sais pas si le ministre voit un peu la
crainte que j'aie.
• (12 h 40) •
M.
Caire
: Oui,
mais je ne la partage pas. Puis la réponse du député, elle est dans deux
éléments. D'abord, on s'entend que les enquêtes ne sont pas faites par les
organismes. Donc, quand je dis : L'incident présente, pour l'instant, le
libellé est «un risque de préjudice sérieux», l'organisme doit, avec diligence,
aviser la commission. Donc, la commission est avisée. Il doit également aviser
toute personne dont un renseignement personnel est concerné par l'incident, à
défaut de quoi la commission peut lui ordonner de le faire.
Donc, ce qu'on amène comme élément, c'est
que si, dans sa... Puis on parle d'une personne ou d'un organisme, donc on peut
penser que ça peut être un corps policier. On a tous des exemples en tête où
les policiers ont dû enquêter sur des fuites de renseignements personnels. Ça
peut être la commission, le volet surveillance de la commission qui est capable
de faire des audits, qui a évidemment cette capacité, ce pouvoir-là d'enquête.
Mais pour pallier à ce dont le député parle et avec… pourquoi, moi, je n'ai pas
cette crainte-là, c'est que la Commission d'accès à l'information peut aussi
ordonner à un organisme de divulguer le fait qu'il y a eu fuite de
renseignements, ou qu'il y a eu un incident de confidentialité, devrais-je
dire. Et donc une organisation...
M.
Caire
: …et
avec… Pourquoi moi, je n'ai pas cette crainte-là, c'est que la Commission
d'accès à l'information peut aussi ordonner à un organisme de divulguer le fait
qu'il y a eu fuite de renseignements ou qu'il y a eu un incident de
confidentialité, devrais-je dire. Et donc, une organisation qui voudrait
retarder l'exécution de cette obligation légale pour se protéger, verrait
certainement — et je ne veux pas parler au nom de la Commission
d'accès à l'information, mais je pense que je vais le faire quand même — verrait
certainement la Commission d'accès à l'information utiliser ce pouvoir-là de
lui ordonner de communiquer avec la personne qui a fait l'objet de ce
préjudice-là et de l'aviser de cette situation-là.
Donc, non, ça ne m'inquiète pas, parce que
je pense que cette disposition-là de la loi, ce pouvoir-là de la Commission
d'accès à l'information, qui doit être avisé avec diligence, donc ça, c'est des
mots qui sont très forts, et donc qui a ce pouvoir-là d'audit, qui a ce
pouvoir-là de faire les enquêtes en question, donc à qui on ne pourra pas
cacher le fait qu'on se traîne les pieds, si tant est que cette situation-là
prévaut, elle aura le pouvoir d'ordonner à l'organisme : Non, tu dois
faire ça, c'est une obligation légale et tu le fais, point à la ligne.
Donc, et l'idée étant qu'il peut arriver
des situations où, d'aviser la personne, et après ça, la personne est libre de
faire ce qu'elle veut avec cette information-là qu'on lui a donnée, pourrait,
notamment, des interventions publiques, pourrait peut-être avoir causé un
préjudice à une enquête, ce qu'on ne souhaite pas, personne, parce que… puis je
sais que c'est le cas aussi du député de Gouin. Donc, je pense que ces deux
dispositions-là nous garantit… tu sais, notre chien de garde a le pouvoir
d'ordonner, là, de le faire. Ça fait que moi, pour moi, ça me rassure sur le
fait qu'une rétention d'informations à des fins de préserver sa réputation,
pour moi, ça ne serait pas possible, à cause de ce pouvoir-là de la CAI.
M. Nadeau-Dubois : Le ministre
a bien compris l'objet de mon interrogation, là, en effet, parce que c'est ce
qu'on veut éviter, qu'un organisme public, par crainte de scandale de relations
publiques…
M.
Caire
: Oui,
oui, tout à fait.
M. Nadeau-Dubois : …par
crainte d'appel…
M.
Caire
: Pour
les mauvaises raisons.
M. Nadeau-Dubois : Par crainte
d'un appel courroucé de la part d'un ministre, se dise…
M.
Caire
: Une
question en Chambre.
M. Nadeau-Dubois : Ouf! Eh!
encore une enquête, il y a encore une enquête. Puis dans la loi, quand il y a
une enquête, on a le droit d'attendre un petit peu avant de le dire, tu sais,
puis c'est ce qu'on veut éviter, puis je caricature, mais pas tant que ça, là,
sur les dérives potentielles. Ce que le ministre me dit, c'est que la
commission a de toute façon le pouvoir d'ordonner à l'organisme d'informer les
gens qui seraient visés par une fuite ou un incident. Mais encore une fois, là,
ça nous ramène à l'interrogation du collègue de LaFontaine, c'est seulement
dans la version actuelle du projet de loi, s'il y a un préjudice…
M.
Caire
:
Sérieux.
M. Nadeau-Dubois : …jugé
sérieux, puis je fais miennes ses préoccupations sur, exactement, qu'est-ce
qu'un préjudice sérieux et…
M.
Caire
: Et je
vais consulter Dieu sur...
M. Nadeau-Dubois : O.K.
Parfait. Bien, on peut… si le ministre…
M. Nadeau-Dubois : ...là, ça
nous ramène à l'interrogation du collègue de LaFontaine. C'est seulement dans
la version actuelle du projet de loi, s'il y a un préjudice…
M.
Caire
:
...sérieux.
M. Nadeau-Dubois : …jugé
sérieux, puis je fais miennes ses préoccupations sur, exactement, qu'est-ce
qu'un préjudice sérieux et…
M.
Caire
: Et je
vais consulter Dieu sur...
M. Nadeau-Dubois : ...et...
O.K. Parfait. Bien, on peut… Si le ministre souhaite suspendre...
M.
Caire
: Ça te
met-u de la pression, ça?
M. Nadeau-Dubois : ...on peut
procéder, puis je reviendrai.
Le Président (M.
Bachand) : Ça va? Alors, on va suspendre quelques... Oui, M. le
député de LaFontaine, avant.
M. Tanguay
: Sur le...
Pour la suite du point du collègue de Gouin, juste... Vous l'avez peut-être
dit, puis ça m'a échappé, parce qu'on essaie de lire en même temps. Le
ministre... Puis si le ministre le dit, ça va être dit au micro, puis... Le
troisième alinéa, qui dit : «Malgré le deuxième alinéa, une personne dont un
renseignement personnel est concerné par l'incident n'a pas à être avisée»,
plaplapla, mais dans tous les cas d'espèce, si l'organisme public juge que
c'est susceptible d'entraver une enquête, dans tous les cas d'espèce, la CAI va
être avisée?
M.
Caire
: Oui.
C'est seulement la personne qui n'a pas à être avisée en cas d'enquête. Dans
tous les cas où il y a un préjudice sérieux, la CAI doit être avisée.
M. Tanguay
: Et la CAI
aura tous les pouvoirs de dire à l'organisme public : Bien, désolé, je ne
considère pas qu'en l'espèce c'est susceptible d'entraver une enquête. Puis la
CAI pourrait même avoir, tout en respectant le champ... l'indépendance des
institutions, le cas échéant, policières, la CAI pourrait même... Je veux dire,
la CAI va devoir aussi développer une relation avec celles et ceux qui vont
mener de telles enquêtes...
M.
Caire
:
Absolument.
M. Tanguay
: ...pour
leur dire... Il va falloir qu'il y ait une ligne de communication, sans aller
dans le détail, parce que ce n'est pas sa job, mais de dire : Vous êtes...
réellement ça, puis de... même, je vous dirais, de challenger ça. Parce que nos
amis, nos amis qui font des enquêtes, au sens très large, valorisent beaucoup
le secret, valorisent très, très, très beaucoup le secret. Dans le doute, il y
a secret, puis on ne dit rien.
M.
Caire
: Oui,
mais comprenons, comprenons de ça que, dans un contexte administratif, on
s'entend que la CAI va faire son enquête. Elle a ce pouvoir-là. La CAI a deux
volets. Il y a le volet juridictionnel, il y a le volet surveillance. Donc,
dans le volet surveillance, la CAI peut faire de la prévention, mais peut aussi
faire des enquêtes. Bon, alors, ça, ce pouvoir-là, il est exercé pleinement par
la CAI.
Dans le cas où le préjudice ou l'incident
de confidentialité aurait des répercussions plus qu'administratives... On peut
penser, par exemple, qu'un corps policier pourrait être impliqué, et donc là il
y a une nécessaire coordination avec la CAI, qui garde son pouvoir, là, qui
garde son pouvoir. Mais on l'a vécu avec un incident que nous avons tous en
tête, qui a impliqué à peu près tous les Québécois, là, où la police a fait
enquête, mais où la CAI est aussi intervenue, là. La CAI faisait son travail,
nonobstant tout ça. Donc, à ce moment-là, on a un beau cas d'espèce où...
Est-ce qu'il aurait été justifié d'aviser immédiatement les gens qui ont été
victimes de ces incidents de confidentialité là? Est-ce que ça entraverait le
travail des policiers? La CAI a l'autorité pour le faire.
Et à la limite, la CAI aurait pu ordonner,
dans… Transposons cette situation-là à une situation qui implique un organisme
public, parce que dans ce cas-ci, on parle d'organismes publics, là, la CAI...
M.
Caire
: …ces
incidents de confidentialité là, est-ce que ça entraverait le travail des
policiers? La CAI a l'autorité pour le faire, et à la limite, la CAI aurait pu
ordonner, dans… Transposons cette situation-là à une situation qui implique un
organisme public, parce que dans ce cas-ci on parle d'organismes publics, là,
la CAI, donc, par l'adoption de 63.7, aura le pouvoir, si tel… si elle
arrive à la conclusion qu'il n'y a pas entrave à une enquête, elle aura le
pouvoir d'ordonner à l'organisme d'aviser les gens qui seront visés par
l'incident et qui, de ce fait, pourraient subir un préjudice jusqu'à ce jour
sérieux.
M. Tanguay
: Là, on
pourrait mettre du béton armé à ça. Est-ce que l'on veut que ce pouvoir
juridictionnel là, de la CAI, soit exclusif? Ou, si on ne le fait pas, s'il
n'est pas exclusif, ce qui va arriver, il va peut-être y avoir des avocates,
avocats de corps policiers qui vont se rendre en Cour supérieure puis qui vont
contester l'évaluation de la CAI puis ils vont demander une ordonnance de la
Cour supérieure. Il pourrait y avoir un débat juridictionnel. Est-ce que l'on
veut mettre dans la loi, puis si c'est marqué dans la loi, comme dans le Code
de procédure civile, c'est une loi qui donne des compétences des cours, est-ce
qu'on veut que ce soit une compétence exclusive de la CAI de statuer quant à
l'à-propos de cela? Ou il pourrait peut-être même y avoir là un argument
constitutionnel, mais là, ce n'est pas des droits individuels, est-ce que l'on
veut permettre à un corps policier de contester ça? Parce que ça peut être un
méchant noeud, là.
M.
Caire
: Bien,
moi, je vous dirais, là, puis je… on jase, là, je n'ai pas fait une longue
réflexion sur le sujet, là, mais ça fait… me semble que ça ferait beaucoup, là,
ça ferait beaucoup, là.
M. Tanguay
: De?
• (12 h 50) •
M.
Caire
: De…
bien, de dire que la CAI a, là, la seule autorité pour décider si on doit…
M. Tanguay
: On laisse
le recours possible. O.K.
M.
Caire
: Bien,
il me semble que, tu sais, dans une idée de justice…
M. Tanguay
: Comme
soupape de sécurité, oui, oui.
M.
Caire
: Oui,
parce que ça fait un énorme pouvoir, puis là, les policiers pourraient trouver
que la CAI a effectivement une mauvaise évaluation, puis à par le pape,
personne n'est parfait. Donc, je trouve qu'on aurait, comme, un contre-pouvoir
pour dire à la CAI : Non, non, non, attends un peu, là.
M. Tanguay
: Parfait.
Alors, ce que vous venez de dire là est excessivement important, parce que ça
serait utiliser, le cas échéant… si la CAI voudrait prétendre avoir… s'être
fait octroyer une juridiction exclusive. Alors, l'ayant dit, on peut y
réfléchir, on n'a pas fermé notre article par article…
M.
Caire
: Non,
non, non. Non, non.
M. Tanguay
: …l'ayant
dit, que nos amis, qui travaillent avec vous, puissent parfaire la réflexion,
s'il y a lieu, ou on laisse ça de même. Effectivement, moi, je suis plus du
poids et contre-poids puis de ne pas de créer des royaumes. Mais en le disant,
que non, ce n'est pas, par ailleurs, une juridiction exclusive, ça a des
conséquences importantes et je crois, à prime abord, bénéfiques, que si,
effectivement, un corps de police dit : O.K., non, je me tue à essayer
d'expliquer puis ils ne voient pas ça, à la CAI, puis ils vont le rendre
public, ça n'a pas de bon sens, là…
M.
Caire
: Ça va
scrapper mon enquête, je vais chercher une injonction, puis…
M. Tanguay
: On peut
essayer quelque chose, là. Ça va. Je… J'aimerais savoir, parce que là,
j'imagine la réflexion sur le sérieux… À moins que, sans qu'on suspende,
j'avais une autre question de compréhension à la…
M. Tanguay
: ...puis il
ne voit pas ça à la CAI, puis ils vont le rendre public, ça n'a pas de bon
sens...
M.
Caire
: Ça va
scrapper mon enquête puis je vais chercher une injonction.
M. Tanguay
: ...on peut
essayer quelque chose, là.
M.
Caire
: Oui.
M. Tanguay
: Ça va.
J'aimerais savoir... Parce que, là, j'imagine la réflexion sur le sérieux, à
moins que... sans qu'on suspende. J'avais une autre question de compréhension.
À la fin du deuxième alinéa, dernière phrase, dans ce dernier cas, le
responsable de la protection des renseignements... Alors : «Il peut
également aviser toute personne ou tout organisme susceptible de diminuer ce
risque, en ne lui communiquant que les renseignements personnels nécessaires à
cette fin sans le consentement de la personne concernée. — ça, on
comprend ça — Dans ce dernier cas, le responsable de la protection
des renseignements personnels doit enregistrer la communication.» Qu'est-ce
qu'on entend par là?
M.
Caire
: Il va
tenir un registre du fait que... qui a été avisé, à quelle date, à quel propos,
etc. C'est vraiment tenir un registre. Ce registre-là annuellement peut être
fourni à la CAI.
M. Tanguay
: O.K. Donc,
dans la légistique québécoise, quand on dit dans une loi : «Enregistrer la
communication»...
M.
Caire
: Non,
ce n'est pas avec... Ce n'est pas «taper», là...
M. Tanguay
: Non, non,
c'est ça.
M.
Caire
:
...c'est tenir un registre.
M. Tanguay
: Ça aurait
pu être chose quand...
M.
Caire
: Puis
là si je dis des niaiseries, Me Miville-Deschênes, vous avez le droit de
me corriger.
M. Tanguay
: Parce
qu'«enregistrer, que ce soit dit, là, ce n'est pas... C'est comme quand on
écoutait la radio quand on était jeunes puis on... Aïe, la toune va commencer
après les annonces, puis on faisait REC puis PLAY, là, dans le petit...
M.
Caire
: Oui,
oui.
M. Tanguay
: Puis
c'était la haute technologie. Je referme la parenthèse. Mais c'est ça que ça
veut dire. Alors, je ne sais pas si M... Me Miville-Deschênes...
M. Miville-Deschênes
(Jean-Philippe) : Effectivement, déjà il y a des enregistrements des
communications de renseignements personnels qui sont prévus dans la loi à
l'article 60 notamment. Donc, il y a déjà ce mécanisme-là d'enregistré,
certaines communications effectivement dans ce registre-là, qui est tenu par
l'organisme public.
M. Tanguay
: Donc, le
registre, c'est que, tel jour, telle heure, j'ai parlé à un tel, je lui ai dit
ça, essentiellement avec un petit... Donc, de garder une trace à quelque part
de ça.
M. Miville-Deschênes
(Jean-Philippe) : De la communication, oui.
M. Tanguay
: O.K. C'est
bon. Écoute, puis c'est ça, moi, j'avais les mêmes préoccupations pour le
troisième alinéa, que ça ne soit pas systématiquement : Oh, bien là, ça
entrave, ça entrave, ça entrave, puis toujours des enfarges. La CAI va veiller
au grain, comme on dit.
M.
Caire
: Oui,
oui.
M. Tanguay
: Parfait.
Alors, sous réserve, là, du sérieux.
Le Président (M.
Bachand) : M. le ministre.
M.
Caire
: O.K.
C'est correct. On va juste suspendre peut-être une minute, je vais juste
aller...
Le Président (M.
Bachand) : Oui, parfait. On va suspendre quelques instants.
Merci.
M.
Caire
: Bien,
juste une minute, je suis peut-être optimiste, là, de penser que je vais avoir
un avis en une minute, mais bon.
Le Président (M. Bachand) :
Merci.
(Suspension de la séance à 12 h 53)
(Reprise à 12 h 56)
Le Président (M.
Bachand) : À l'ordre, s'il vous plaît! La commission reprend
ses travaux. M. le ministre, s'il vous plaît.
M.
Caire
: Oui.
Merci, M. le Président. Bien, pour la suggestion du député de LaFontaine, je
vais laisser Me Miville-Deschênes l'expliquer, le pourquoi du libellé, puis
pourquoi on l'a libellé comme ça. Alors, avec le consentement de la commission.
Le Président (M.
Bachand) : Me Miville-Deschênes.
M. Miville-Deschênes
(Jean-Philippe) : Oui. Bien, d'une part, la… notamment les lignes
directrices de l'OCDE, mais la plupart des législations qui ont… toutes les
législations qu'on a consultées qui ont une obligation similaire, il y a
toujours une approche basée sur un degré de risque, principalement pour éviter
qu'il y ait trop d'avis qui soient transmis aux citoyens par rapport aux… et
qui rendent plus difficile de déterminer quels sont les incidents qui présentent
vraiment un risque par rapport aux incidents qui sont peut-être plus légers.
Deuxième aspect, puis c'était la
principale raison pour laquelle, là, ces termes-là ont été utilisés, c'est
l'harmonisation avec le fédéral. Les entreprises nous ont demandé d'être… là,
on est dans le secteur public, mais les deux sont… c'est un miroir entre
public, privé, d'être harmonisé avec les dispositions fédérales qui prévoient,
elles, un risque de préjudice grave. Dans notre cas, c'est sérieux, mais les
critères sont les mêmes, c'est-à-dire la sensibilité du renseignement et la
probabilité…
M. Miville-Deschênes
(Jean-Philippe) : …ces termes-là ont été utilisés, c'est
l'harmonisation avec le fédéral. Les entreprises nous ont demandé d'être… là,
on est dans le secteur public, mais les deux sont… c'est un miroir entre
public, privé, d'être harmonisé avec les dispositions fédérales qui prévoient,
eux, un risque de préjudice grave. Dans notre cas, c'est sérieux, mais les
critères sont les mêmes, c'est-à-dire la sensibilité du renseignement et la
probabilité qu'il soit utilisé, là, de façon préjudiciable. Donc, c'est les
motifs, là, pour lesquels on a également prévu un degré de risque, là, avant la
communication.
Le Président (M.
Bachand) : M. le député de LaFontaine
M. Tanguay
: Oui, moi,
je… puis je comprends, par contre je ne peux pas me réconcilier avec l'idée que
s'il y a des incidents où il y aura un risque sérieux de préjudice et qu'on ne
va pas en informer le citoyen. C'est juste ça avec lequel je ne suis pas
capable de me réconcilier.
Le Président (M.
Bachand) : Juste vous dire qu'il y a un vote présentement à
l'Assemblée. Donc, on…
M. Nadeau-Dubois : …s'assurent
qu'on ne termine pas sur l'article dans les…
Le Président (M. Bachand) :
Bien, c'est ça, alors on va…
M. Nadeau-Dubois : …c'est ça,
ou sinon je vous laisse discuter, ça ne me dérange pas, juste pas finir
l'article avant que je revienne.
Le Président (M.
Bachand) : On va vous laisser aller voter et on va suspendre
les travaux jusqu'à 14 h 30. Merci.
(Suspension de la séance à 12 h 58)
14 h 30 (version non révisée)
(Reprise à 14 h 33)
Le Président (M.
Bachand) : À l'ordre, s'il vous plaît! Bon après-midi. La
Commission des institutions reprend ses travaux. Nous poursuivons l'étude
détaillée du projet de loi n° 84, Loi modernisant des dispositions
législatives en matière de protection des renseignements personnels. Lors de la
suspension de nos travaux cet avant-midi, nous étions rendus à l'étude de
l'article 63.7, introduit par l'article 14. Interventions? M. le
député de LaFontaine.
M. Tanguay
: Oui, bien,
regardez, je vais parler.
Une voix
: …
M. Tanguay
: Oui, c'est
ça. M. le Président, on est en train de peaufiner ce qui sera… puis je vous
l'annonce déjà, là, je déposerai l'amendement sur l'article… là, on
est — j'y vais de mémoire — à 65… 63.7, c'est-u ça? Bon,
63.7. Je suis en train de jongler avec l'idée de déposer un amendement où là,
je vous disais, bien, on pourrait peut-être changer le «sérieux» de place, dans
le sens premier de cette expression-là. «Si l'incident présente un risque
sérieux qu'un préjudice soit causé, l'organisme doit, avec diligence, aviser la
Commission. Il doit également aviser toute personne…» Donc, évidemment, cette
phrase-là… Je vais vous arriver avec un amendement, M. le Président.
Puis ce qui est important pour nous
autres, là, c'est que la phrase fait état qu'il doit aviser la Commission, mais
aussi, au premier titre, il doit également aviser toute personne dont un
renseignement est concerné. Bon, ici, on est en matière d'un organisme public
et on aura l'occasion, Sophie m'indiquait à l'article 95, pour ce qui est
de la loi, projet de loi n° 64, à l'article — c'est-u ça,
Sophie? — 95, on aura le pendant de cette obligation-là à
l'article 3.5 de… qui sera introduit par l'article 95 de la loi.
Puis plus je jongle avec l'idée, M. le
Président, plus je suis en train de me dire si on ne devrait pas tout
simplement enlever le mot «sérieux», donc : «Si l'incident présente un
risque qu'un préjudice soit causé, l'organisme doit, avec diligence, aviser la
Commission. Il doit également aviser toute personne…» Autrement dit, un risque
qu'un préjudice ou un risque sérieux… on pourrait mettre… laisser le «sérieux»
là. Mais j'ai fait certaines recherches, M. le Président, puis sur la
fondamentale de la chose, là, ce qui est important de retenir, c'est que, tant
en matière civile, en matière privée qu'en matière publique, il y a des
obligations excessivement importantes qui découlent de la bonne foi…
M. Tanguay
: ...mais
j'ai fait certaines recherches, M. le Président, puis sur la fondamentale de la
chose, là, ce qu'il est important de retenir, c'est que tant en matière civile,
en matière privée qu'en matière publique, il y a des obligations excessivement importantes
qui découlent de la bonne foi. Et dans notre Code civil, M. le Président, il y
a les articles 6 et 7 du Code civil, mais également en matière contractuelle.
Pourquoi je parle de contractuel? Parce qu'on va vouloir faire miroir de cette obligation-là.
Je pense qu'un renseignement personnel, pour un citoyen, que ce soit... qu'il y
ait une fuite auprès d'un organisme public ou qu'il y ait une fuite auprès d'un
organisme privé, une entreprise privée, je pense qu'il doit en être informé.
Le citoyen doit en être informé, aujourd'hui,
puis il n'y a pas de raison, puisque c'est un renseignement personnel qui, par
définition, est sur un support informatique. Ça veut donc dire qu'aujourd'hui,
contrairement à il y a 50 ans, où on devait communiquer avec un client, bien,
on lui envoyait une lettre, on lui envoyait... les fax n'existaient même pas,
c'était compliqué, c'était ardu. Là, de dire : Veuillez prendre note, par
courriel, qu'il y a eu une — ça va-tu? Es-tu correcte? O.K. Elle me
regarde avec des grands yeux — il y a eu une fuite, je pense que ça
peut se faire de façon efficace.
Et à 1375 du Code civil,« la bonne foi
doit gouverner la conduite des parties tant au moment de la naissance de
l'obligation qu'à celui de son exécution ou de son extinction». Et j'ai mis la
main, durant l'heure et demie qu'on a pour manger, avec un un caucus à travers
ça, puis sur le coin de la table, un sandwich, puis on va se brosser les dents
après, puis on court ici, puis on arrive en retard... j'ai un article écrit par
Élyse Poisson : La bonne foi et loyauté dans les relations commerciales,
octobre 2006. Et il y a très clairement, puis c'est ça mon point, il y a une
obligation d'information dans un rapport contractuel. Il y a une obligation
d'information qui découle, oui, de 1375 du Code civil, qui fait en sorte... Et
là il y a des exemples jurisprudentiels où, en matière de contenu implicite et
d'interprétation de contrat, l'obligation implicite de renseignement, il y a
l'obligation implicite de collaboration et d'assistance technique et
l'interprétation d'une clause de modification unilatérale.
Mais ça, c'est des notions très, très
établies, en droit, l'obligation implicite de renseignement, l'obligation
implicite de collaboration et d'assistance technique. Ce qui fait en sorte que
moi, M. le Président, je ne voudrais pas, puis je vais résumer mon argument de
même, là... parce qu'à 95, quand on v être rendu dans les rapports privés, je
ne voudrais pas qu'on vienne diminuer la protection, le corpus jurisprudentiel
puis légal dans la relation privée qui fait en sorte que vous avez une
obligation proactive.
Si on le laisse de même dans la sphère
privée, on vient de diminuer l'obligation pour une partie cocontractante qui
sait qu'il y a eu un accroc... je ne suis pas en train de dire qu'il a commis
une faute, je ne suis pas en train de dire que la personne a commis une faute,
mais qui sait qu'il y a eu un accroc, elle sait qu'il y a un risque de
préjudice, il y a un préjudice qui va en découler. Indépendamment qu'il soit
sérieux ou pas, il y a un risque de préjudice. Il a, en vertu de notre droit
québécois, l'obligation d'en informer...
M. Tanguay
: …pour une
partie cocontractante qui sait qu'il y a eu un accroc… je ne suis pas en train
de dire qu'il a commis une faute, je ne suis pas en train de dire que la personne
a commis une faute, mais qui sait qu'il y a eu un accroc, elle sait qu'il y a
un risque de préjudice, il y a un préjudice qui va en découler. Indépendamment
qu'il soit sérieux ou pas, il y a un risque de préjudice. Il a, en vertu de
notre droit québécois, l'obligation d'en informer.
Et là la loi viendrait diminuer ça, M. le
Président. Et je vous dirais même, je vous dirais même a fortiori en matière de
protection du consommateur. En matière de protection du consommateur aussi, je
pense qu'on viendrait, sans que ce soit notre intention comme législateur, mais
on viendrait diminuer ça, puis ça serait un recul pour la protection du
consommateur, pour les citoyens. Puis là, M. le Président, je veux dire, moi,
là, on ne pourra pas me taxer de ne pas être… de ne pas… parti du système
capitaliste puis d'être contre les entreprises, puis tout ça. Non, non. Si vous
avez une relation contractuelle, vous détenez de l'information ou un mandat
vous a été donné par un tiers qui, lui, a une relation directe avec le client,
bien, vous avez des obligations là-dedans, puis il ne faudrait pas que la loi
diminue ça. Pour ce qui est de nos organismes publics, même chose.
• (14 h 40) •
Alors, j'aimerais entendre le ministre.
Honnêtement, là : Si l'incident présente un risque… j'enlèverais
«sérieux» : Présente un risque qu'un préjudice soit causé, l'organisme
doit, avec diligence, aviser la commission puis doit aviser la personne. Qu'un
risque soit causé, il doit en aviser la commission et la personne.
La commission va prendre ça puis elle va
dire : Ah! O.K. La commission puis les articles 63.8 et 63.9 sont tout à
fait pertinents parce que, la commission, ça va lui donner son guide pour
dire : O.K., face à ça, qu'est-ce qu'il doit faire? Bon, bien, ce n'est
pas hautement sensible, ce n'est pas excessivement préjudiciable… le préjudice
serait limité. Tu peux réagir de telle, telle façon, puis on «monitore» ça, si
vous me permettez l'expression, puis on va gérer ça de même. Et la personne
reçoit puis est informée, puis la personne pourra, à ce moment-là, agir en
conséquence, sous réserve du fait que s'ils enquêtent, il ne pourra pas le
faire.
Alors, moi, j'enlèverais, puis j'aimerais
entendre le ministre… j'enlèverais «sérieux», parce que, ce qu'on fait là, je
ne pourrais pas croire qu'on aurait un régime distinct pour les privés, privés…
tantôt, à l'article 95. Ce qu'on fait là, moi, je le ferais aux deux. Puis, ce
n'est pas la mer à boire, en 2021 et plus, là, au XXIe siècle, de
dire : On dire les adresses courriel, on peut communiquer, on les en
informe. Puis là, ce n'est pas supposé d'être une grosse alarme, là,
«OhmyGod!», va… Non, non. Un incident limité… Nous vous informons qu'un
incident limité aurait peut-être fait en sorte que votre information serait
mise à risque. Sachez que nous en avons informé les autorités compétentes, nous
travaillons là-dessus et nous allons vous tenir informé. Tout simplement, puis
ça, c'est une obligation contractuelle.
Le Président (M.
Bachand) : Merci, M. le député. M. le ministre.
M.
Caire
: Oui,
M. le Président, avec le consentement de la commission, je vais laisser
Me Miville-Deschênes répondre, parce que c'est essentiellement des
arguments d'harmonisations et des arguments juridiques qui nous amènent à
vouloir garder le libellé tel qu'il est présentement.
Le Président (M.
Bachand) : Me Miville-Deschênes, s'il vous plaît.
M. Miville-Deschênes
(Jean-Philippe) : Oui, bien, je vais revenir rapidement sur les
éléments, là, qui nous ont conduits à faire référence à un risque de préjudice
sérieux. Premièrement, c'était le fait qu'au Canada, là, et dans la majorité
des États américains, on fait référence à un certain degré de préjudices. C'est
aussi…
M.
Caire
:
...libellé tel qu'il est présentement.
Le Président (M.
Bachand) : Me Miville-Deschênes, s'il vous plaît.
M. Miville-Deschênes
(Jean-Philippe) : Oui. Bien, je vais revenir rapidement sur les
éléments, là, qui nous ont conduits à faire référence à un risque de préjudice
sérieux. Premièrement, c'était le fait qu'au Canada, là, et dans la majorité des
États américains on fait référence à un certain degré de préjudice. C'est aussi
les lignes directrices de l'OCDE.
Pourquoi? Bien, c'est principalement pour
éviter une multiplication des avis qui seraient faits, peu importe le niveau de
risque. Parce que la notion de préjudice, c'est une atteinte portée aux droits
et aux intérêts de quelqu'un, d'une personne. Donc, c'est une notion qui est quand
même facilement rencontrée, c'est-à-dire un risque de préjudice, ça peut être
un préjudice qui est mineur ou insignifiant. Puis, dans le contexte aussi où la
définition d'un incident est très large, ça peut être une communication non
autorisée, un accès non autorisé. Donc, automatiquement qu'il y a une communication
qui n'est pas autorisée, on pourrait conclure qu'il y a effectivement un risque
de préjudice. Puis, de ce fait, il y aurait de nombreux, là, de nombreux avis
qui seraient communiqués aux personnes et à la commission pour des préjudices
qui sont très, très minimes ou mineurs.
Donc, l'autre aspect, bon, je me répète peut-être,
mais, si on diminue le seuil, on s'éloigne de la pratique canadienne puis du
fédéral qui nous a précédée. Ça fait deux ans que les entreprises canadiennes,
les entreprises en Ontario, maritimes ainsi que les entreprises pancanadiennes
sont soumises à un régime de notification qui repose sur un
risque de préjudice grave. Et puis, dans le cadre des consultations, il y avait
une douzaine, là, d'intervenants qui nous ont mentionné l'importance
d'harmoniser, donc c'est dans cette finalité-là qu'on a inclus un risque de
préjudice sérieux.
C'est sûr que, s'il y a un
risque de préjudice tout court, il y a quand même des mesures qui doivent être
prises par l'organisme public, là, pour diminuer le risque, là, au premier
alinéa de l'article. Donc, c'est... Je comprends la relation contractuelle,
mais rien n'empêche dans le cadre... la loi n'a pas préséance sur les
obligations contractuelles. Mais la loi met minimalement l'obligation d'aviser
les personnes lorsque le préjudice est sérieux, mais n'empêche pas de l'aviser
dans d'autres circonstances s'il y a un préjudice, là, qui ne répondrait pas à
ces critères-là.
Le Président (M.
Bachand) : Merci beaucoup, maître. M. le député de LaFontaine.
M. Tanguay
:
Oui, merci beaucoup. Est-ce que l'analyse a été faite de l'impact, dans
l'interprétation, de cet article-là? Puis le débat qu'on fait là est utile pour
95, gardons toujours les deux choses en tête, là.
Puis mon point s'exprime
peut-être mieux en matière privé-privé. Mais c'est copié-collé ici.
Nécessairement, si ça, c'est la loi, nécessairement, moi, je ne me sentirai pas
obligé de vous en informer. Nécessairement, je n'ai pas en vertu de la loi...
La loi met le standard du bon comportement. Si vous ne me dites pas que je dois
l'informer à moins qu'il y ait un préjudice sérieux, s'il y a juste un simple
préjudice, je ne l'informerai pas, c'est très clair. Puis on ne pourra pas me
dire : Tu as commis une faute, parce que la loi québécoise va me dire que
je n'avais pas... Bien, écoutez, c'est un préjudice, oui, il a perdu de
l'argent, il s'est fait... il a eu tel, tel préjudice, mais ce n'était pas
sérieux. Puis là le juge va dire : O.K., est-ce que c'était sérieux ou
pas? Ça va être ça, le débat juridique. Puis s'il dit : Oui, il y a eu un
préjudice, tout le monde s'entend. Mais sérieux, que veut dire sérieux? Oui, il
y a eu une perte, mais la perte...
M. Tanguay
: …un
préjudice, oui, il a perdu de l'argent. Il s'est fait… il s'est fait… il a eu
tel, tel préjudice, mais ce n'était pas sérieux. Là, le juge va dire : O.K.,
est-ce que c'était sérieux ou pas? Ça va être ça le débat juridique, puis s'il
dit : Oui, il y a eu un préjudice, tout le monde s'entend, mais sérieux,
que veut dire sérieux? Oui, il y a eu une perte, mais la perte n'était pas si
grande que ça, alors dans le fond il a bien fait de ne pas l'informer.
Et, si bien, M. le Président, qu'on dit,
quand on visite une maison, là : Vous avez le devoir d'informer la personne
qui vient. Mais, la personne qui vient visiter, aussi, à un devoir de
s'informer. En latin, ça s'appelle caveat emptor. Poser les bonnes questions
puis renseignez-vous, puis faites affaire à un… vous devez… les relations
contractuelles sont basées sur la bonne foi. Vous devez vous renseigner puis
vous devez me dire, s'il y a un vice que vous connaissez, ça va être un vice
caché puis je vais pouvoir annuler la vente, mais vous devez vous renseigner.
Si bien que cette logique-là est reprise
dans l'article où l'on dit que la personne qui voit qu'il y a une fuite, elle
doit limiter. Elle doit tout faire pour limiter les risques. Elle doit patcher
puis elle doit faire ci, elle doit faire ça, mais l'individu l'autre bout, là,
il n'est pas mis dans le coup. Il y a peut-être des choses qu'il pourrait faire
lui aussi. Il a peut-être de l'information qu'il pourrait donner à
l'entreprise. Il y a peut-être des… il faut le mettre dans le coup. Il ne faut
pas le voir comme étant une épée de Damoclès, que si on l'informe, j'ai
l'impression qu'on met derrière ça, là, si on l'informe, bien, tabarnouche, on
n'aura pas juste un problème à gérer, il va falloir en gérer deux, parce que
lui va falloir le gérer, mais faut le mettre dans le coup, faut le mettre dans
le coup.
Alors, M. le Président, j'aurai l'occasion
de parfaire mon… peut-être vous donner, puis des arrêts de la Cour suprême,
l'arrêt de 1992, Montréal c. Bail Ltée, où la Cour suprême disait : «Alors
qu'auparavant il était de mise de laisser le soin à chacun de se renseigner et
de s'informer avant d'agir, le droit civil est maintenant plus attentif aux
inégalités informationnelles et il impose une obligation positive de
renseignement dans le cas où une partie se retrouve dans une position
informationnelle vulnérable d'où des dommages pourraient s'en suivre.» La Cour
suprême ne parle pas de dommage sérieux, ici, préjudice puis dommage, c'est du
un pour un, c'est la même affaire. Alors, je pense qu'on irait même à
l'encontre de l'arrêt de la Cour suprême, puis ce n'est pas peu dire, là.
Moi, je pense que cet… l'article 95,
si on l'adopte, je ne ferai pas peur à personne après-midi ici dedans, mais ça
va être challengé puis je ne suis pas sûr que ça tienne la route devant la Cour
suprême en vertu de l'arrêt de la Cour suprême, Bail, en 92. Vous devez le
faire, puis il en va de la bonne foi de nos rapports contractuels. Et, là, on
vient diminuer le régime de protection du Code civil et l'interprétation que
les tribunaux en ont donnée. Vous devez être proactifs.
Le Président (M.
Bachand) : Merci. M. le ministre. Me Miville-Deschênes.
M. Miville-Deschênes
(Jean-Philippe) : Oui, en fait, premier élément, là, les… dans le
projet de loi on ne l'a pas indiqué, mais certaines lois l'indiquent, elles
énumèrent un peu qu'est-ce qui peut constituer un préjudice sérieux ou grave
dans ce cas-là. Donc, ça reprend l'ensemble, quand même, des préjudices qui
sont généralement considérés comme importants, là, dans ce genre de situations
là comme l'humiliation, le dommage à la réputation, pertes financières…
M. Miville-Deschênes
(Jean-Philippe) : …dans le projet de loi, on ne l'a pas indiqué, mais
certaines lois l'indiquent, qu'est-ce… ils énumèrent un peu qu'est-ce qui peut
constituer un préjudice sérieux ou grave dans ce cas-là. Donc, ça reprend
l'ensemble quand même des préjudices qui sont généralement considérés comme
importants, là, dans ce genre de situations là, comme l'humiliation, le dommage
à la réputation, perte financière, vol d'identité, effet négatif sur le dossier
de crédit, dommages aux biens, leur perte, perte de possibilité d'emploi ou
d'occasion d'affaires ou d'activité professionnelle. Donc, c'est le type de
préjudice dont l'on fait référence quand on parle de préjudice sérieux.
Par rapport à la relation contractuelle,
il y a une distinction, je pense, à apporter sur le fait que dans la loi sur
l'accès, c'est sûr qu'on exige lorsque, présentement, préjudice sérieux… on
avise. Mais, dans un contexte contractuel, une entreprise ou un citoyen
pourrait intenter un recours contre une entreprise qui ne serait pas… qui
serait fondée sur la personne raisonnable. On dit : Il y a eu une faute
contractuelle parce que, dans cette circonstance-là, il y a eu communication
d'un renseignement, puis on pense qu'une personne raisonnable, dans les mêmes
circonstances, m'aurait informé. Ça fait que ce n'est pas parce que
l'obligation, dans la loi sur l'accès, se situe ici que, dans le contexte
contractuel, la personne, là, concernée perd tout recours face à son
cocontractant. C'est sûr que le fait de ne pas avoir avisé ne sera pas
automatiquement une violation de la loi, puisque la loi, effectivement, a un
certain seuil, mais il y a quand même… je dirais que c'est deux voies de
recours différentes, par rapport à la poursuite de nature contractuelle qu'une
personne peut déposer à l'encontre, là, d'une entreprise qui aurait agi de
façon non responsable avec ses renseignements personnels.
Le Président (M.
Bachand) : M. le député de LaFontaine.
M. Tanguay
: Oui, puis
merci. Je vous suis. Mais, là où… Puis je suis d'accord avec vous, tout ce que
vous avez dit. Mais, là où on commence à prendre des chemins divergents,
c'est : Quel sera l'étalon de mesure du comportement fautif ou pas du
cocontractant? Ce sera s'il a respecté ses obligations légales; s'il a respecté
ses obligations légales, sinon contractuelles. Donc, ce que vous pourriez me
dire, c'est que, moi, je pourrais le mettre dans le contrat, que, nonobstant la
loi, je peux resserrer ça encore plus. Mais, si le contrat ne le prévoit pas,
je dois me rabattre sur la loi qui donne l'étalon de mesure. En matière
contractuelle, c'est 1458 du Code civil, et c'est ce que les… l'exécution que
les parties en font, une personne raisonnable, c'est l'étalon de mesure.
• (14 h 50) •
Mais une personne raisonnable qui respecte
la loi, qui ne va pas au-delà de la loi ne serait pas fautive. Elle serait
fautive si elle avait, de façon non contractuelle, de façon… contrairement à
ses obligations contractuelles, elle n'aurait pas respecté telle, telle clause
ou elle aurait, de façon… de mauvaise foi, elle aurait engagé quelqu'un qui
s'en foutait complètement puis qu'elle n'avait pas encadrée, et ainsi de suite.
Ça, c'est la faute qui explique pourquoi l'information a été éventée. Mais
est-ce que, moi… J'en suis sur l'obligation. Est-ce que je devais vous en
informer pour que, le cas échéant, vous puissiez diminuer votre préjudice, vous
en prémunir ou faire quoi que ce soit? Vous avez l'obligation de m'informer en
vertu des rapports minimums entre les parties. Quand la loi dit : Dans ce…
M. Tanguay
: …ce que je
devais vous en informer pour que, le cas échéant, vous puissiez diminuer votre
préjudice, vous en prémunir ou faire quoi que ce soit. Vous avez l'obligation
de m'informer, en vertu des rapports minimums entre les parties. Quand la loi
dit, dans ce contexte très précis là : Vous n'avez pas l'obligation de
l'informer, il n'y aura pas de faute. Il n'y aura pas de faute, et le recours
pour avoir manqué à votre obligation de m'informer, je vous dirais, serait
encore plus affaibli par 95 adopté que si on n'adoptait pas 95. Parce que là,
au moins, les tribunaux pourraient dire : Bien, la loi, ne le prévoit pas.
Là, je pense qu'une personne raisonnable, parce qu'il y avait un préjudice,
aurait pris le temps de vous informer, c'est clair.
M. Miville-Deschênes
(Jean-Philippe) : Bien, écoutez, je pense que votre point sur l'impact
sur les relations contractuelles est effectivement, là, correct, là, c'est-à-dire
que l'entreprise, sachant que l'obligation est d'aviser… préjudice sérieux,
puis qui ne le ferait pas puisque le préjudice n'est pas sérieux, bien, il
respecterait la loi, donc, ça serait plus difficile de démontrer une
responsabilité contractuelle. J'en suis, par contre, là, je réitère, en fait,
là, que… je comprends très bien l'objectif, mais je réitère la préoccupation,
un peu, qui a été soulevée par une quinzaine d'intervenants, incluant, là, les
différents représentants d'entreprise, à l'effet que, quand il y a un incident,
bien, ils voudraient avoir un seul étalon de mesure à appliquer pour l'ensemble
du Canada, là. Et c'est la raison pour laquelle, pour l'instant, on a mis le
préjudice sérieux, là. Cette raison-là, et aussi le fait qu'en Californie,
entre autres, il y a eu certaines critiques à l'effet que la communication,
automatiquement, lorsqu'il y a une communication d'un renseignement qui n'est
pas autorisée par la loi, il y a un avis, et puis ça résulte dans de nombreux
avis communiqués aux personnes qui, dans certains cas, perdent un peu le,
comment dire… le degré de préoccupation qu'ils devraient avoir. Ce n'est peut-être
pas bien dit, mais en voulant dire quand tu as trop d'avis, bien, c'est sûr que
tu n'y prêtes plus attention.
Donc, c'est les deux enjeux, aussi,
principaux, qui étaient… qui justifiaient de maintenir un degré de préjudice,
là.
Le Président (M.
Bachand) : M. le député de LaFontaine.
M. Tanguay
: Oui.
Merci, M. le Président. Alors, j'ai dit ce que j'avais à dire. Si vous me le
permettez, j'aimerais lire l'amendement qui est déjà sur Greffier. Puis je peux
laisser le temps aux collègues de rafraîchir leur Pentium 100. Amendement.
Article 14 :
Dans le deuxième alinéa de l'article 63.7,
introduit par l'article 14 du projet de loi, remplacer la première phrase par
la suivante : «Si l'incident présente un risque sérieux qu'un préjudice
soit causé, l'organisme doit, avec diligence, aviser la commission.»
Puis ça, M. le Président, ce sera un
amendement pour lequel on pourra faire un amendement miroir à l'article 95, et
je pense… dernier élément, j'ai jonglé avec l'idée d'enlever carrément
«sérieux», là, un risque qu'un préjudice, un risque sérieux. Parce qu'on aurait
pu dire, à ce moment-là, bien, un risque, il y a tout le temps un risque. Je
veux dire, je me lève le matin, puis…
M. Tanguay
: ...amendement
pour lequel on pourra faire un amendement miroir à l'article 95. Et, je
pense, dernier élément, j'ai jonglé avec l'idée d'enlever carrément «sérieux»,
là, «un risque qu'un préjudice», «un risque sérieux», parce qu'on aurait pu
dire à ce moment-là : Bien, un risque, il y a tout le temps un risque. Je
veux dire, je me lève le matin puis je suis à risque qu'il y arrive de quoi. La
principale cause de la mort, c'est la vie. Alors, il y a un risque à toute
chose, mais qu'un risque sérieux qu'un préjudice soit causé, à ce moment-là,
informez-le. Donc, ça ne vient pas dire qu'à toutes les fois, là, aïe! il y a
un risque. J'ai envoyé un courriel avec de l'information, on pourrait
dire : Bien, il y a un risque. Alors, gardons «sérieux», mais avec le
risque sérieux qu'un préjudice soit causé parce qu'il y a une anomalie qui est
arrivée. Je pense que ce serait... je pense qu'on est rendus là en 2021. Voilà.
Le Président (M.
Bachand) :Merci beaucoup. Interventions
sur l'amendement? Est-ce qu'il y a d'autres interventions? Sinon, nous allons
procéder à la mise aux voix de l'amendement du député de LaFontaine. Mme la
secrétaire, s'il vous plaît.
La Secrétaire
: Pour,
contre, abstention. Pour les membres du groupe parlementaire formant
l'opposition officielle, M. Tanguay (LaFontaine)?
M. Tanguay
: Pour.
La Secrétaire
: M. Caire
(La Peltrie)?
M.
Caire
:
Contre.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lévesque
(Chapleau)?
M. Lévesque (Chapleau) :
Contre.
La Secrétaire
: M. Nadeau-Dubois
(Gouin)?
M. Nadeau-Dubois : Abstention.
La Secrétaire
: M. Bachand
(Richmond)?
Le Président (M.
Bachand) : Abstention. Donc, l'amendement est rejeté. Donc, on
retourne à l'article 63.7. Interventions? S'il n'y a pas d'autre
intervention, M. le ministre, s'il vous plaît.
M.
Caire
: Oui. Merci,
M. le Président. Donc, article 63.8 :
«Pour l'application de la présente loi, on
entend par “incident de confidentialité” :
«1° l'accès non autorisé par la loi à un
renseignement personnel;
«2° l'utilisation non autorisée par la loi
d'un renseignement personnel;
«3° la communication non autorisée par la
loi d'un renseignement personnel;
«4° la perte d'un renseignement personnel
ou toute autre atteinte à la protection d'un tel renseignement.»
Alors, M. le Président, cet article
définit, pour l'application des nouvelles dispositions de la Loi sur l'accès
aux documents des organismes publics et sur la protection des renseignements
personnels introduites par le projet de loi, le terme «incident de
confidentialité».
Le Président (M.
Bachand) :Merci beaucoup. Interventions? M.
le député de LaFontaine, s'il vous plaît.
M. Tanguay
: Quand on
dit... je pense que oui, là, quand on dit «non autorisé par la loi», ça inclut
de facto non autorisé, par ailleurs, en vertu d'une obligation prise par un règlement.
C'est inclusif, ça aussi, là. Quand on dit «la loi», c'est les règlements qui
en découlent également, n'est-ce pas?
M.
Caire
: ...et
les règlements qui en découlent, oui.
M. Tanguay
: Oui? O.K.
L'accès non autorisé, la perte d'un renseignement personnel ou toute autre
atteinte à la protection d'un tel renseignement, est-ce que... puis je vois
qu'on a quand même été dans le détail ici, est-ce qu'on est assurés de pas mal
couvrir tous les cas d'espèce ici? Parce qu'on dit : L'aspect non
autorisé, O.K., l'utilisation non autorisée, la communication, on couvre tout?
M.
Caire
: Oui,
oui. On fait... Oui, oui.
M. Tanguay
: Parce que
là, on est là, on est limitatifs.
M.
Caire
: Oui,
oui, oui. La perte... Puis la perte peut avoir un sens aussi qui est assez
large, là, suppression d'un renseignement qui n'aurait pas été autorisé, etc.,
là. Ça fait que, oui, je pense qu'on couvre vraiment tous les cas de figure...
M. Tanguay
:
...autorisé, O.K., l'utilisation non autorisée, la communication, on couvre
tout?
M.
Caire
: Oui,
on fait... Oui, oui.
M. Tanguay
: Parce que,
là, on est limitatifs.
M.
Caire
: Oui,
oui. La perte peut avoir un sens aussi qui est assez large, là, suppression
d'un renseignement qui n'aurait pas été autorisé, etc., là. Ça fait que, oui,
je pense qu'on couvre vraiment tous les cas de figure.
M. Tanguay
: O.K. Puis
juste pour conclure là-dessus, là, puis ça va être mon dernier commentaire, je
fais un lien avec le débat qu'on vient d'avoir, on dit beaucoup : Si, en
vertu de la loi, en vertu de la loi, en vertu de la loi. La loi donne le ton.
Alors, je ne referai pas le débat, mais quand la loi nous dit : Dans ce
contexte-là, vous n'avez pas besoin de les avisez, tu peux être sûr, M. le
Président, que vous ne pourrez jamais faire reconnaître... j'ose me tromper,
mais vous avez toute une... que si la loi ne vous obligeait pas à renseigner,
de faire dire à un juge que c'est une faute parce que vous n'avez pas été
au-delà de la loi, ça ne tiendra pas la route. Alors, je referme ma parenthèse,
mais ça me va, 63.8.
Le Président (M.
Bachand) : Merci. Interventions sur 63... 63.8, pardon? S'il
n'en a pas... M. le ministre.
M.
Caire
:
Alors, 63.9, M. le Président, se lit comme suit : «Lorsqu'il évalue le
risque qu'un préjudice soit causé à une personne dont un renseignement
personnel est concerné par un incident de confidentialité, un organisme public
doit considérer notamment la sensibilité du renseignement concerné, les
conséquences appréhendées de son utilisation et la probabilité qu'il soit
utilisé à des fins préjudiciables. L'organisme doit également consulter son
responsable de la protection des renseignements personnels.»
Donc, M. le Président,
l'article 63.9, cet article prévoit que lorsqu'un organisme public évalue
le risque qu'un préjudice soit causé à une personne dont un renseignement
personnel est concerné par un accident... un incident, pardon, de confidentialité,
il doit considérer notamment la sensibilité du renseignement concerné, les
conséquences appréhendées de son utilisation et la probabilité qu'il soit
utilisé à des fins préjudiciables, en plus de consulter son responsable de la
protection des renseignements personnels.
Le Président (M.
Bachand) : Merci, M. le ministre. M. le député de LaFontaine.
M. Tanguay
: Oui, là,
vous allez dire : Je parle des deux côtés de la bouche, mais c'est juste
par simple cohérence. Je veux dire, j'ai déposé mon amendement, il a été battu,
ça fait que c'est la loi. Juste par cohérence, ne devrait-on pas lire :
Lorsqu'il évalue le risque... parce que le concept, c'est le préjudice sérieux.
Alors, lorsqu'il évalue le risque qu'un préjudice sérieux soit causé... parce
qu'il doit trouver un préjudice sérieux, il ne doit pas trouver...
M.
Caire
: Pas
nécessairement. Moi, je pense par cohérence, il faudrait mettre : «un
préjudice sérieux soit causé». Parce que lorsqu'il évalue le risque qu'un
préjudice soit causé... Ce qu'il cherche, ce n'est pas un préjudice, ce qu'il
chercher... puis c'est... contrairement à mon amendement, il doit évaluer un
risque qu'un préjudice sérieux soit causé. Alors, j'ajouterais «sérieux» après
«préjudice», par simple cohérence.
• (15 heures) •
M.
Caire
: Bien,
en fait, non, parce que, là, on est à l'étape où on doit évaluer justement si
c'est un préjudice, un préjudice sérieux et quelles sont les mesures
conséquemment qu'on doit prendre. Donc, on ne peut pas dire : Pour évaluer
si un préjudice est sérieux, vous devez considérer la sensibilité, vous devez
évaluer l'utilisation appréhendée à des fins préjudiciables. Alors, c'est là où
vous allez décider, est-ce que c'est un préjudice sans conséquence, est-ce que
c'est un préjudice sérieux. Donc, c'est ça que l'article vient faire, il vient
vous donner quelles sont les unités de mesure...
15 h (version non révisée)
M.
Caire
:
...devez considérer la sensibilité, vous devez évaluer l'utilisation
appréhendée à des fins préjudiciables. Alors, c'est là où vous allez décider, est-ce
que c'est un préjudice sans conséquence, est-ce que c'est un préjudice sérieux.
Donc, c'est ça que l'article vient faire, il vient vous donner quelles sont les
unités de mesure pour déterminer quel est justement le degré... à quel degré il
est préjudiciable.
M. Tanguay
: Bien,
là-dessus... Des fois, tu fais des arguments, tu sais. Là, je suis sûr à
100 %, là, à 100 %. Vous me dites, plus haut : Vous devez... Un
risque qu'un préjudice sérieux soit causé. Un risque qu'un préjudice sérieux
soit causé. Il y a huit mots, en bas, «le risque qu'un préjudice soit causé».
Vous ne cherchez pas un préjudice. Si je vous dis : Allez à l'épicerie,
trouvez-moi des oranges, cherchez-moi pas d'autre chose. Lorsque vous devez
évaluer le risque qu'un préjudice sérieux soit causé, vous devez... Parce que
vous pourriez prendre les mêmes critères plus bas puis dire : Oui,
finalement, je considère... J'ai trouvé un préjudice. Bien, ce n'est pas ça
qu'il faut que tu cherches, c'est des oranges, que je veux, pas une banane. C'est
un préjudice sérieux, puis considère la sensibilité, ci, ça, ça. Ça, là-dessus,
là...
M.
Caire
: Non,
mais j'entends ce que mon collègue dit, mais suivez-moi, là. Alors, deuxième alinéa
de 63.7, si l'incident présente un risque qu'un préjudice sérieux soit causé,
l'organisme doit». Alors, là, on dit : On vient d'évaluer le préjudice.
Est-ce que c'est un préjudice? Est-ce que c'est un préjudice sérieux? Là, on
est... L'article 63.7 arrive avant 63.9, dans le phrasé, mais je dirais que
63.9, dans les étapes, arrive avant 63.7 en ce sens que 63.9 nous indique sur
quelles bases on doit... sur quoi on doit se baser, pardon, pour déterminer le
niveau de préjudice. Donc là, ce que ça dit, c'est : Lorsqu'il évalue le
risque qu'un préjudice soit causé». Première étape, il y a-tu un préjudice qui
a été causé par préjudice qui a été causé par la situation?
M. Tanguay
: Voilà.
M.
Caire
:
Alors... Mais est-ce qu'il y en a un?
M. Tanguay
: Mais c'est
quoi, la deuxième étape?
M.
Caire
: Parce
qu'il peut n'y en avoir aucun. Et s'il y en a un, est-ce que c'est un préjudice
sérieux ou non?
M. Tanguay
: À la
lumière de quels critères il va être sérieux? 63.9.
M.
Caire
: À la
lumière... Mais en même temps, là, je rajoute la réponse de Me
Miville-Deschênes, tout à l'heure, mais 63.9 va nous dire notamment... mais Me
Miville-Deschênes nous a dit qu'il y a d'autres lois qui disent... sur la
question de ce qui est sérieux, il y a d'autres lois qui vont vous dire :
Bon, bien là, vous avez... ça porte une atteinte à l'emploi, à la réputation, à
la dignité, blablabla, et donc notamment la sensibilité du renseignement
concerné. Donc, ça, c'est un critère, la sensibilité du renseignement, les
conséquences appréhendées de son utilisation. Est-ce qu'il y a des conséquences
s'il est utilisé à mauvaise fin, oui ou non? La probabilité qu'il soit utilisé
à des fins préjudiciables. Donc, on est en train de vous donner des critères
sur lesquels vous évaluez s'il y a préjudice ou non...
M.
Caire
: …un
critère, la sensibilité du renseignement, le… «les conséquences appréhendées de
son utilisation», est-ce qu'il y a des conséquences, s'il est utilisé à
mauvaise fin, oui ou non? «la probabilité qu'il soit utilisé à des fins
préjudiciables.». Donc on est en train de vous donner des critères sur lesquels
vous évaluez s'il y a préjudice ou non. Et vous avez d'autres critères qui
existent, qui ont été mentionnés, qui viennent vous dire si c'est un préjudice
sérieux ou non. Donc, première étape, il y a-tu un préjudice? Si oui, il y a-tu
un préjudice sérieux, oui ou non?
Le Président (M.
Bachand) : Le député de Gouin, ensuite le député de LaFontaine.
M. Nadeau-Dubois : Merci,
M. le Président. Question complémentaire à celle de mon collègue de LaFontaine.
À la dernière phrase de 63.9, on peut lire «L'organisme doit également
consulter son responsable de la protection des renseignements personnels.»
Donc, il y a une obligation de consulter le responsable, dans quel objectif?
M.
Caire
: Bien,
on est toujours dans l'évaluation du risque.
M. Nadeau-Dubois : Dans
l'évaluation du risque. Est-ce qu'il y a, à quelque part, dans le projet de loi,
une obligation, pour les organismes publics — puis c'est une question
très simple, je l'assume, des fois, il faut écrire les choses même si elles
sont simples — est-ce qu'il y a, à quelque part, dans le projet de
loi, une obligation d'informer, tout simplement, le responsable de la
protection des renseignements personnels dans les organismes publics au moment
où il y a un incident de confidentialité?
M.
Caire
: De
l'informer?
M. Nadeau-Dubois : Qu'il y a
eu un tel incident de confidentialité.
M.
Caire
: Je
vais laisser… Je ne pense pas. Je vais laisser Me Miville-Deschênes… mais
c'est des notions qu'on introduit avec le projet de loi n° 64, là, je ne
pense pas que ça existe dans le corps législatif, actuellement, là, mais ça,
c'est des notions qu'on amène ici et maintenant. Mais peut-être, maître… Je ne
sais pas, moi, à ma connaissance, non.
M. Miville-Deschênes
(Jean-Philippe) : Bien, il n'y en a pas actuellement, puis dans la
section sur les incidents, le moment où on… où il est consulté, c'est vraiment
lors de l'évaluation du préjudice, l'évaluation qui a lieu pour tous les incidents,
là.
M. Nadeau-Dubois : Oui, qui a
lieu après l'incident. Les… l'Association des archivistes du Québec, dans leur
mémoire, soulevait cette… peut-être cette absence, dans le projet de loi,
c'est-à-dire il y a un organisme public, il y a un incident de confidentialité,
ce n'est pas nécessairement le responsable de la protection des renseignements
personnels tel que défini par la loi qui va le constater en premier, là, ça
pourrait être dans plusieurs… dans un département autre de l'organisation.
M. Miville-Deschênes
(Jean-Philippe) : Non, tout à fait, tout à fait, tout à fait.
M. Nadeau-Dubois : Est-ce
qu'il n'y aurait pas lieu de prévoir une obligation légale d'informer,
sur-le-champ ou le plus rapidement possible, le responsable de la protection
des renseignements personnels? Parce que, là, on est… le ministre a raison de
me dire, là, c'est ici qu'on vient intégrer dans le projet de loi une
interaction avec le responsable mais on le fait à… dans une étape subséquente.
Puis je ne veux pas insinuer que ça va arriver trois ans plus tard, là, ce
n'est pas ça que je dis, mais quand même… ou plus tard dans le processus, ce
serait donc…
M. Nadeau-Dubois : …a raison de
me dire : Là, c'est ici qu'on vient intégrer, dans le projet de loi, une
interaction avec le responsable, mais on le fait dans une étape subséquente…
M.
Caire
: Bien…
M. Nadeau-Dubois : Puis je ne
veux pas insinuer que ça va arriver trois ans plus tard, là, ce n'est pas que
je dis, mais, quand même, ou plus tard dans le processus, ce serait donc
seulement au moment où il est temps d'évaluer le préjudice qu'on le consulte.
Est-ce qu'il n'y aurait pas… est-ce que ce ne serait pas pertinent d'inclure,
nommément, dans la loi, un truc aussi… Tu sais, je reconnais que c'est
élémentaire un peu, là, mais est-ce que ce ne serait pas pertinent de
dire : Quand il y a… dès que c'est constaté dans l'organisation, il y a
une obligation d'informer le responsable de la protection des renseignements
personnels?
M.
Caire
: Bien,
en fait, je vais dire à mon collègue : Je ne pense pas, compte tenu du
rôle du responsable de la protection des renseignements personnels, ce n'est
pas quelqu'un qui va avoir nécessairement pour mandat de mitiger les
conséquences, dans le sens où il y a un incident de confidentialité, il y a des
mesures à prendre pour circonscrire les conséquences au maximum, voir si on
peut même les éviter. Et c'est pour ça qu'on va dire, essentiellement… dans la
réaction, on va dire essentiellement, par exemple, qu'il «peut aviser également
toute personne ou tout organisme susceptible de diminuer ce risque».
Donc, dans l'opérationnalisation d'un
événement, il est arrivé un événement, un incident de confidentialité, on a des
mesures à prendre rapidement pour limiter, voire faire en sorte qu'il n'y ait
pas de dégât ou les limiter, s'il y a des dégâts. Le responsable de la
protection des renseignements personnels, là, a plus un objectif d'application
de la loi, donc son… mais son intervention, je comparerais ça… le feu est pris,
vous appelez les pompiers, vous n'appelez pas l'assureur, commencez par appeler
les pompiers. Après ça, là, quand il sera le temps de constater les dégâts...
puis là vous appellerez l'assureur.
Et donc, dans ce sens-là, 63.9 vient faire
obligation dans le sens de ce que le collègue de Gouin suggère parce qu'on
dit : «Il doit également consulter». Donc, tôt ou tard, là, quand on aura
éteint l'incendie, là, là, il sera le temps d'évaluer les dégâts, donc c'est ce
que 63.9 fait, et, dans ce cas-là, vous devez consulter le responsable de la
protection des renseignements personnels. Donc, ce n'est pas un choix que vous
avez, vous devez le faire, mais c'est juste que ça vient séquencer à quel
moment c'est une obligation de le faire, ce n'est pas quand le feu est pris,
là, c'est les pompiers qu'on appelle. Et, quand tout ça est sous contrôle,
quand on a contrôlé la situation, qu'on s'est assuré qu'il n'y avait pas ou peu
de danger, bien oui, à ce moment-là, quand il sera le temps d'évaluer le risque
de ce qui s'est passé, là... Parce que c'est... Dans la chaîne des événements,
c'est à ce moment-là que lui doit intervenir…
M.
Caire
: ...on
s'est assuré qu'il n'y avait pas ou peu de danger. Bien oui, à ce moment-là,
quand il sera le temps d'évaluer le risque de ce qui s'est passé, là... Parce
que c'est... Dans la chaîne des événements, c'est à ce moment-là que lui doit
intervenir.
M. Nadeau-Dubois : Je
comprends ce que le ministre dit, là. Puis e comprends bien que, dans un organisme
public, puis surtout ce sont des grandes organisations, ce n'est pas le
responsable de la protection des renseignements personnels qui va aller
vérifier à la mitaine si le code est correct ou si... qui va faire... qui va se
mettre les mains dans le camp Oui, là, dès le moment où on remarque un
incident.
Mais c'est quand même lui qui est
légalement, le ministre l'a dit, là, responsable de l'application de la loi. Il
est redevable, au sein de son organisation, de tout ce qui se passe de lier à
la protection des renseignements personnels. En dernière instance, là, c'est
lui qui est... Puis il y a eu une grande discussion, par ailleurs, entre le
collègue de LaFontaine et le ministre sur cette question-là, là, tu sais, pour
évaluer son niveau de responsabilité puis de redevabilité dans ces
situations-là.
• (15 h 10) •
Qu'est-ce que ça... tu sais, qu'est-ce que
ça coûte? Qu'est-ce que ça... Quel est l'inconvénient de venir inscrire dans la
loi une obligation qui, oui, est élémentaire, mais est à la fois très
importante de dire : Quand il y a un incident... Puis là je comprends
bien, ce n'est pas comme, tu sais... Je comprends le ministre quand il me
dit... S'il y a un incident de confidentialité, je comprends que le ministre
nous dise : Pas pendant que le feu est pris, dans la minute, là. On en
convient tous, puis je pense que les gens qui appliquent la loi, ils sont
capables de jugement aussi, là.
Mais de dire que, lorsqu'il y a un bris
de... lorsqu'un incident de confidentialité est constaté, qu'il y ait une
obligation légale d'informer la personne qui va être responsable de la
situation dans l'organisme, pas seulement quand vient le temps, dans un
deuxième ou un troisième temps, de dire : O.K. quels sont les préjudices?
Bien, dès que l'événement se produit, dans un délai raisonnable, disons-le
comme ça. Je me demande qu'est-ce que ça coûte.
Puis je me demande surtout, est-ce que ce
n'est pas une espèce de filet de sécurité pour les organismes publics eux-mêmes
puis pour les responsables dans ces organismes de savoir que, s'il y a un
événement, bien, il y a une responsabilité légale de communiquer l'incident en
question puis son existence au responsable des renseignements personnels, puis
pas juste quand, après, par exemple, quelques jours de vérification, on
commence à prendre la mesure de l'ampleur, par exemple, de la fuite.
Parce que le ministre sait comme moi que
ce n'est pas tranché au couteau, ces affaires-là. Des fois, on se rend compte
qu'il y a une fuite. Puis, dans le cas de Desjardins, là, je sais que ce n'est
pas un organisme public, mais c'est l'exemple qui a été beaucoup médiatisé, ça
a pris quand même plusieurs semaines pour qu'on prenne progressivement, en tout
cas...
M. Nadeau-Dubois : ...de
l'ampleur, par exemple, de la fuite. Parce que le ministre sait comme moi que
ce n'est pas tranché au couteau, ces affaires-là, des fois, on se rend compte
qu'il y a une fuite, puis dans le cas de Desjardins — là, je sais que
ce n'est pas un organisme public, mais c'est l'exemple qui a été beaucoup
médiatisé — ça a pris quand même plusieurs semaines pour qu'on prenne
progressivement... en tout cas, publiquement, conscience de l'ampleur de la
fuite. Au début, on pensait que c'étaient certains clients, au début, on
pensait que c'était un petit peu plus de clients, puis c'est quoi, quelques
semaines plus tard, voire quelques mois plus tard que finalement c'était tout
le monde, bon. Là, je prends un exemple extrême, je prends un exemple dans le
privé, mais, tu sais, souvent, quand on remarque un incident de confidentialité,
ce n'est pas dans les premières heures ni même dans les premiers jours qu'on
peut tout de suite savoir exactement son ampleur puis tout ce qui a été
compromis.
Moi, je présume que l'évaluation du
préjudice, elle vient quand même en aval dans le processus, dans la mesure où
le ministre l'a dit lui-même : On commence par essayer de comprendre qu'est-ce
qui s'est passé, où sont, par exemple, les brèches de sécurité, quelles données
ont été compromises. Une fois qu'on a fait tout ça puis qu'on a un portrait de
la situation, dans un deuxième temps, on essaie d'évaluer le préjudice, et là
c'est à ce moment-là que la loi vient dire : Là, quand vous arrivez à
évaluer le préjudice, c'est quand même en aval pas mal, là, vous devez avertir.
Est-ce que ce ne serait pas pertinent de
dire : Non, dès qu'il y a connaissance d'un incident, il doit y avoir
communication au responsable, ne serait-ce que pour que cette personne-là soit,
je veux dire, au courant que la situation existe? Ce qui n'empêche pas, par la
suite, la disposition de 63.9 qui vient dire : Par ailleurs, vous le
consultez à nouveau quand vient le temps d'évaluer le préjudice.
M.
Caire
: Bien,
en fait, quand on regarde la loi, c'est... Ce que le député de Gouin décrit,
c'est ce qui va se passer. J'explique. Si vous regardez le premier alinéa,
63.7, bon, on dit : Il y a un motif, il y a un incident de
confidentialité, ça implique un renseignement personnel, on prend les mesures
raisonnables pour diminuer le risque qu'un préjudice soit causé. Donc, la
première chose à faire, comme je disais, c'est de s'assurer qu'on va limiter
les dégâts au maximum.
Ensuite de ça, on dit : Si l'incident
présente un risque de préjudice sérieux. Alors, là, déjà au deuxième alinéa, on
est dans l'évaluation du préjudice. Or, dans l'évaluation du préjudice, on se
rapporte à 63.9, et 63.9 nous dit quoi? Nous dit comment on va... sur quoi on
va se baser pour évaluer s'il y a eu un préjudice, sérieux ou non. Et déjà là,
on dit : Vous devez consulter le responsable. Donc, ça arrive en amont de
tout le reste de la séquence, mais tout de suite après le fait qu'on prend des
mesures pour mitiger le risque.
C'est un peu ce que j'expliquais. La
première étape, c'est de s'assurer que l'incident est circonscrit...
M.
Caire
: …de
tout le reste de la séquence, mais tout de suite après le fait qu'on prend des
mesures pour mitiger le risque.
C'est un peu ce que j'expliquais. La
première étape, c'est de s'assurer que l'incident est circonscrit. La deuxième
étape, c'est d'évaluer le préjudice, si tant est qu'il y en ait un, et déjà à
cette étape-là, il faut informer le responsable de la protection des
renseignements personnels, en vertu de 63.9.
Donc, on est pas mal à la genèse. Dans la
chaîne des événements, là, on est pas mal à la genèse, tout de suite après le
fait que : O.K. Prenez les mesures immédiates pour contrer le préjudice,
pour s'assurer qu'il y en ait le moins possible, mais tout de suite après, là,
on est dans : O.K. Est-ce qu'il y a eu préjudice, oui ou non? Puis tout de
suite, à ce moment-là, on doit consulter le responsable. Donc, on est vraiment
à la genèse, là, des mesures administratives, là, qui ne sont pas directement
liées au fait qu'on veut circonscrire l'incendie, là.
Le Président (M. Bachand) :
…Gouin.
M. Nadeau-Dubois : Je
comprends, mais, à moins de me tromper, puis le ministre connaît bien le
domaine de l'informatique, colmater les brèches en question, là, ça ne prend
pas une demi-journée, ça ne prend pas nécessairement une demi-journée, là. Ça
peut prendre… ça peut être long, là. Si les systèmes sont compromis, c'est des…
pour reprendre les métaphores à notre portée, là, c'est des réparations, c'est
des interventions qui peuvent prendre un certain temps.
Et, pendant ce temps-là, s'il y a brèche
de confidentialité, cette brèche-là peut rester ouverte, peut rester béante
pendant le temps qu'on procède, tu sais. On a… on constate un problème de
confidentialité, on constate un problème de sécurité. On est au travail pour le
corriger. Ça va parfois nécessiter de faire affaire avec des consultants
externes, avec des entreprises avec lesquelles on a des partenariats pour nos
serveurs qui ne sont pas toujours au Québec, bon.
Ce travail-là d'éteindre l'incendie, pour
reprendre la métaphore du ministre, ce n'est pas… Justement, la différence avec
éteindre un feu, c'est que ça ne prend pas seulement… souvent, ça ne prend pas
seulement quelques heures. Ça peut être un travail… Oui, d'ailleurs, je suis
béni des dieux pour illustrer mon propos. Ça ne prend pas seulement quelques
heures, tu sais, ça peut prendre plusieurs jours et ça peut prendre plusieurs
semaines si des systèmes sont sévèrement compromis. Pendant ce temps-là, on est
encore en train d'éteindre l'incendie.
Et donc, techniquement, si je comprends
bien l'explication du ministre, pendant toute cette période de temps,
techniquement parlant, il n'y a pas d'obligation légale, à ce stade-là,
d'informer, ça viendra seulement en aval, quand vient le temps d'évaluer le
préjudice. Ça fait que je me demande, à la rigueur, pour le bien de ces
responsables-là qui vont être ceux qui seront imputables de la situation,
pourquoi ne pas inclure… puis…
M. Nadeau-Dubois : ...pendant
toute cette période de temps. Techniquement parlant, il n'y a pas d'obligation
légale à ce stade-là d'informer, ça viendra seulement en aval quand vient le
temps d'évaluer le préjudice. Ça fait que je me demande, à la rigueur, pour le
bien de ces responsables-là qui vont être ceux qui seront imputables de la situation,
pourquoi ne pas inclure... puis l'idée, je la... elle ne m'a pas été donnée par
intervention divine, là, c'est l'Association des archivistes du Québec qui
lançait la proposition au ministre, pourquoi ne pas inscrire une obligation
légale de, dès que c'est constaté, dans un raisonnable, c'est communiqué au
responsable?
Moi, je trouve que ce serait une manière
de s'assurer qu'il y a une gouvernance saine puis que.... puis je vais le dire
peut-être de manière plus familière, là, mais, s'il y a quelqu'un qui l'a
échappé quelque part dans l'organisation, cette personne-là, elle a beau
l'avoir échappé, elle a une obligation légale d'informer le patron des patrons
de la question plutôt que de dire : Oui, oui, je vais rattraper, je vais
essayer de remettre la pâte à dents dans le tube, je vais essayer de réparer
mon erreur. Puis une fois que j'aurai fait ça, on verra l'étendue des dégâts
puis à ce moment-là on informera, tu sais. Il me semble qu'on ne devrait pas
laisser cette possibilité-là ouverte puis s'assurer que personne ne peut
essayer de, dans un organisme public, de peut-être réparer la situation sans en
informer le responsable.
• (15 h 20) •
M.
Caire
: Oui,
mais ça, je rassure le député, ça ne peut pas arriver, là. Cette situation-là
où il y aurait un incident de confidentialité et où la personne ou le
responsable de la protection des renseignements personnels ne serait pas
impliqué, ça ne peut pas arriver, là, ça ne peut pas arriver.
M. Nadeau-Dubois : Pourquoi le
ministre... pourquoi une telle certitude?
M.
Caire
: Parce
que, si vous avez un incident de confidentialité, donc, il se passe un incident
de quelque nature que ce soit, vous avez donc une obligation d'évaluer s'il y a
un préjudice. Et aussitôt que vous faites ça, et vous devez le faire, vous
devez consulter le responsable de la protection des renseignements personnels.
Ce n'est pas un choix.
Et je reprends un peu ce que mon collègue
de Gouin disait, c'est vrai qu'un incident de confidentialité, ça peut se
régler en quelques minutes, ça peut se régler en plusieurs mois. Je veux dire,
ça, c'est... on ne le sait pas. Mais ce qu'on comprend, là, c'est qu'aussitôt
qu'on a un motif de croire que s'est produit un incident de confidentialité,
donc, j'ai trouvé, sur un site non approprié, des renseignements
gouvernementaux — là, je ne sais pas si mon exemple est bon,
là — mais j'ai un motif de croire qu'il y a un incident, tu sais,
j'ai un motif, là, j'ai une raison de penser que... à ce moment-là, il y a une
évaluation du risque qui va se faire et, à ce moment-là, je dois consulter le
responsable de la protection des renseignements personnels.
Donc, ce que je fais dans la séquence, là :
il arrive un incident, je prends les mesures appropriées pour essayer de...
M.
Caire
: ...à
ce moment-là, il y a une évaluation du risque qui va se faire. À ce moment-là,
je dois consulter le responsable de la protection des renseignements
personnels.
Donc, ce que je fais dans la séquence, là,
il arrive un incident, je prends les mesures appropriées pour essayer de
colmater la brèche et aussitôt, je dis : Bon, est-ce qu'il y a un
préjudice? Est-ce que c'est préjudiciable? Est-ce que cet incident de
confidentialité là est préjudiciable, oui ou non? Et là, il y a une évaluation
qui se fait. Et là, je dois consulter, selon ce qui est écrit dans 63.9, je
dois consulter le responsable de l'autorisation des renseignements personnels,
on fait l'évaluation. L'évaluation nous dit : Oui, le risque est sérieux.
À ce moment-là, j'avise la Commission d'accès à l'information et j'avise la ou
les personnes qui pourraient être visées par cet incident de confidentialité
là.
Ça fait que je vous dirais que dans la
séquence des événements, là, le responsable de la protection des renseignements
personnels arriverait même avant la Commission d'accès à l'information.
M. Nadeau-Dubois : C'est
intéressant, parce que le ministre, au départ, dans cette première réponse, je
croyais comprendre, parce qu'il a même pris la métaphore de : il y a un
feu, on commence par éteindre puis une fois que c'est fait, une fois que c'est
terminé, que le feu est éteint, là, on appelle l'assureur.
M.
Caire
: Oui,
mais si je peux me permettre...
M. Nadeau-Dubois : Donc,
c'était consécutif dans sa...
M.
Caire
:
...mais dans une séquence où on est sur plusieurs mois. C'est sûr qu'il faut
contextualiser, là, c'est...
M. Nadeau-Dubois : Non, non,
mais c'est parce que j'explique pourquoi j'avais l'interrogation.
M.
Caire
: Oui,
oui, je comprends.
M. Nadeau-Dubois : C'est que
dans son explication initiale, le ministre a représenté de manière vraiment
consécutive. D'abord, on s'assure que le feu est éteint, donc on traduit :
d'abord, on s'assure que l'incident est vraiment, vraiment, vraiment réglé, les
flammes sont complètement apaisées, et ensuite, dans un deuxième temps, on...
alors que là, dans sa dernière réponse, il a dit : Bien non, dès qu'on
constate l'incident, on fait l'évaluation du risque puis si ça prend, pendant
ce temps-là, six mois pour évaluer l'ampleur des dégâts, bien l'évaluation du risque,
elle va s'être faite non pas après le sixième mois...
M.
Caire
: Non.
M. Nadeau-Dubois : ...mais au
départ. Donc, ce n'est pas consécutif.
M.
Caire
: Non.
Bien, dans une situation où, par exemple, prenons...
M. Nadeau-Dubois : Parce que
si ce n'est pas consécutif, en effet, mon objection... mon questionnement est
répondu.
M.
Caire
: Oui.
M. Nadeau-Dubois : Parce que
moi, l'impression que j'avais, c'est que c'était consécutif.
M.
Caire
: Bien,
pas nécessairement. Je vais lui donner un exemple : par exemple, ... qui
est sorti publiquement, je peux m'en servir, un hôpital dont les systèmes ont
été victimes de rançongiciel. Alors, là, on comprend que, est-ce que j'ai un
motif de croire qu'il s'est produit un incident de confidentialité? Oui. Donc,
est-ce qu'il y a un préjudice? Le responsable de la protection des
renseignements personnels doit être consulté. Mais pendant ce temps-là, ça ne
veut pas dire que j'ai réglé mon problème de rançongiciel.
M. Nadeau-Dubois : Ça peut
prendre plusieurs jours…
M.
Caire
:
Alors, je comprends ce que le député… puis je vous présente mes excuses pour la
confusion, mais ce que je voulais...
M.
Caire
:
…est-ce qu'il y a un préjudice, le responsable de la protection des renseignements
personnels doit être consulté. Mais pendant ce temps-là, ça ne veut pas dire
que j'ai réglé mon problème de rançongiciel.
M. Nadeau-Dubois : Ça peut
prendre plusieurs jours…
M.
Caire
:
Alors, je comprends ce que le député… puis je vous présente mes excuses pour la
confusion, mais ce que je voulais dire, c'est que la première chose à faire,
c'est d'essayer de protéger le renseignement personnel. Maintenant, on est
conscients que dans le temps, ça peut s'étirer, et, à ce moment-là, oui, vous
avez tout à fait raison, M. le député, il va être nécessaire d'aviser le
responsable de la protection des renseignements personnels. Parce qu'il y a,
administrativement, des mesures à prendre aussi, et que tout ça peut se faire
de façon concomitante.
M. Nadeau-Dubois : Exactement.
Ça peut se faire en simultané, pendant qu'on répare…
M.
Caire
: Absolument.
Absolument. Donc, je m'excuse de la confusion, mais c'est sûr qu'on…
M. Nadeau-Dubois : Pendant
qu'on répare… Non, non, pas de problème. C'est pour ça…
M.
Caire
: Je
pensais plus à un incident très restreint…
M. Nadeau-Dubois : Ponctuel.
Oui, oui, mais…
M.
Caire
: Mais
dans un cas comme celui-là, où ça a pris des mois avant de régler la
problématique, là, parce qu'on comprend que le niveau de complexité était
nettement supérieur par rapport à un courriel que j'aurais envoyé à la mauvaise
adresse, par exemple.
M. Nadeau-Dubois : Puis il
fallait, dans le cas des rançongiciels, c'est… la réponse n'était même pas au
Québec, elle était chez Microsoft aux États-Unis, puis on attendait, en se
croisant les doigts, et en espérant que le problème se règle là-bas. Donc,
voilà, puis c'est pour ça qu'on a des commissions aussi, là, c'est pour bien
comprendre la séquence puis l'application de la loi. Ça fait que moi, ce que je
comprends, juste pour bien être sûr qu'on est sur la même longueur d'onde,
c'est qu'à partir du moment où l'incident est constaté, il y a de manière
pratiquement simultanée, déjà, une évaluation du risque de préjudice. À quel
point on a mis le monde dans le trouble, pour prendre une expression polie,
puis, dès ce moment-là, donc, le responsable est consulté, on n'a pas besoin
d'avoir fini l'évaluation de la situation ou encore moins d'avoir fini de
réparer les systèmes qui auraient été compromis pour que la communication soit
faite. Parfait.
M.
Caire
: Tout
à fait. Ce que je souhaitais exprimer, dans le fond, c'est de dire :
Écoutez, le premier téléphone que vous faites devrait être envers la personne
ou l'organisme qui peut vous aider à mitiger les préjudices, là, faire en sorte
que… Mais après ça, le deuxième téléphone, effectivement, peut se faire au
responsable de la protection des renseignements personnels. Je vais le libeller
comme ça, ça va être peut-être un peu plus clair et plus compréhensible.
M. Nadeau-Dubois : J'ai
réponse à ma question, M. le Président.
Le Président (M.
Bachand) : Merci, M. le député de Gouin. Interventions sur
68.9? M. le ministre, s'il vous plaît, pour la suite des choses.
M.
Caire
: Ah!
c'est… mon Dieu, 63.10, M. le Président.
Le Président (M.
Bachand) : 63.10, pardon, oui.
M.
Caire
:
63.10, M. le Président, donc, se lit comme suit :
«Un organisme public doit tenir un
registre des incidents de confidentialité. Un règlement du gouvernement peut
déterminer la teneur de ce registre. Sur demande de la commission, une copie de
ce registre lui est transmise.»
Donc, M. le Président, cet article prévoit
qu'un organisme public doit tenir un registre des incidents de confidentialité
et que, sur demande de la Commission de l'accès à l'information, une copie de
ce registre lui est transmise. Il prévoit enfin que la teneur de ce registre
peut être déterminée par règlement du gouvernement.
Le Président (M.
Bachand) : M. le député de LaFontaine, s'il vous plaît.
M. Tanguay
: Oui.
Est-ce qu'il est prévu qu'un tel registre pourrait être public?
M.
Caire
: Ce
n'est pas prévu, non.
M. Tanguay
: Et…
M.
Caire
: …la
teneur de ce registre peut être déterminée par règlement du gouvernement.
Le Président (M.
Bachand) :M. le député de LaFontaine, s'il
vous plaît.
M. Tanguay
: Oui, est-ce
qu'il est prévu qu'un tel registre pourrait être public?
M.
Caire
: Ce
n'est pas prévu, non.
M. Tanguay
: Et, dans
les rapports annuels, on verrait qui sont les premiers de classe puis les
derniers de classe, j'imagine, sur le nombre d'incidents…
M.
Caire
: Je ne
croirais pas.
M. Tanguay
: …et leurs
qualifications.
M.
Caire
: Ça, je
pense que ce n'est pas prévu comme ça. En fait, ce qui… ça fait obligation à
une… pardon, une organisation de tenir vraiment quels sont les incidents de
confidentialités qui se sont produits. Aux fins de consultations, la Commission
d'accès à l'information pourrait les demander soit dans son volet
juridictionnel soit dans son volet de surveillance, c'est-à-dire que ça lui est
transmis, mais…
M. Tanguay
: Pas
public?
M.
Caire
: Puis,
ça s'arrête là, ce n'est pas public, non.
M. Tanguay
: Et, ici,
c'est tous, tous, tous les incidents, qu'ils aient résulté de préjudices ou
préjudices sérieux, c'est tous les incidents qui vont être dans le registre?
M.
Caire
: Oui,
oui.
M. Tanguay
: O.K.
M.
Caire
: Et je
vous dirais, en même temps, il y a une idée de ne pas les rendre publics qui
permettrait, j'imagine, de mettre plus d'informations, voire des informations
sensibles sur un état des lieux au niveau de la sécurité de l'information, par
exemple, où, en se disant, bien, si c'est tenu par l'organisme, bon, l'organisme
a l'état des lieux de sa situation au niveau de la sécurité des systèmes d'institution
financière, et où la Commission d'accès à l'information qui, à mon avis, doit
avoir un accès complet à ce genre d'information là, parce que la commission à
cette capacité à traiter de l'information confidentielle dans le cadre de ses
opérations. A contrario, le rendre public, à mon avis, ferait en sorte d'avoir
un registre qui est une espèce de générique un peu beige pâle de choses qui
sont un plus ou moins informatives.
Le Président (M.
Bachand) :M. le député de Gouin.
M. Nadeau-Dubois : Le registre
en question, à 63.10, on peut lire : «une copie de ce registre lui est
transmise.», mais c'est sur demande de la commission. Donc, la commission
devrait, quand elle est intéressée à savoir s'il y a eu incident dans son
registre public, faire la demande, ça lui est transmis. Quand même beaucoup
d'organismes publics au Québec, là…
M.
Caire
: À peu
près 300.
Une voix
: 3 000.
M.
Caire
:
3 000. Ah! oui, c'est vrai, la loi ce n'est pas juste, gouvernement, c'est
les 3 000, excusez.
M. Nadeau-Dubois : Bien là, je
ne demande pas au ministre de me donner des arguments, hein, je… ce n'est pas
nécessaire.
M.
Caire
: Non,
mais on n'est pas à un zéro… On n'est pas un zéro près.
M. Nadeau-Dubois : Et encore
moins à ses juristes.
M.
Caire
: 300,
3 000, c'est un zéro ça, là, là.
M. Nadeau-Dubois : Mais… Et
donc il y a quand même 3 000 organismes publics, là.
M.
Caire
: Oui.
• (15 h 30) •
M. Nadeau-Dubois : Je ne sais
pas si la commission va faire une vigie, tu sais… mettons, tu sais, cette
année… tu sais…
15 h 30 (version non révisée)
M. Nadeau-Dubois : …ministre de
me donner des arguments…
M.
Caire
: Bon,
bien, on n'est pas à un zéro... on n'est pas à un zéro près.
M. Nadeau-Dubois : …ce n'est
pas nécessaire, et encore moins à ses juristes.
M.
Caire
: 300,
3 000, c'est un zéro, ça, là, là.
M. Nadeau-Dubois : Mais… Et
donc il y a quand même 3 000 organismes publics, là.
Je ne sais pas si la commission va faire
une vigie, tu sais, mettons, tu sais : Cette année, à… tu sais :
Cette année, à qui on demande le registre? Bon. Pourquoi ne pas prévoir que
c'est : les organismes publics transmettent des registres à la commission
et… tu sais, je me demande, par exemple, pour des fins de production de
statistiques, de rapports, pour émettre des recommandations? Parce que c'est un
des rôles de la Commission d'accès à l'information, c'est d'avoir une espèce
d'expertise puis de compréhension du phénomène. Tu sais, pour parler de ça, tu
sais, ils ne les liront peut-être pas tous tout le temps. Mais est-ce qu'au
lieu que ce soit sur demande, ce ne serait pas une bonne pratique de dire… Si
on veut faire de la CAI — et je sais que c'est un des objectifs du
ministre — un genre de chien de garde qui a des vraies dents, là, en
matière de renseignements personnels, pourquoi ne pas dire aux organismes
publics… Bien, déjà là, ils ont l'obligation de le produire, le registre, O.K.
La paperasse en question, elle va exister, ils vont la garder. Le gouvernement,
par règlement, peut en déterminer le cadre, et là on dit : Bien, et si la
commission est intéressée, elle peut le demander, qu'elle le reçoive. Mais
pourquoi ne pas dire : Les organismes publics… C'est une bonne pratique,
vous l'établissez de toute façon. Envoyez-le donc à notre chien de garde pour
que le chien de garde en question ait l'information, puis pas nécessairement
dans une optique de surveillance et de répression des mauvais comportements,
mais dans une… comme je le disais, tu sais, dans une logique de production de
statistiques, de rapports.
Encore une fois, là, ça ne sort pas non
plus de mon chapeau, c'est l'Association des archivistes aussi qui proposait
ça, et il me semble que ça pourrait être une bonne pratique en matière de gouvernance.
M.
Caire
: Bien,
d'abord, parce que, bien… puis on me corrigera si je me trompe, mais la CAI ne
l'a pas demandé. On peut comprendre que recevoir annuellement 3 000
registres d'incidents… Je pense qu'il y a une logique à dire : Bien, si la
CAI en a besoin, ces organismes-là doivent rendre disponible cette information,
le registre en question. L'inverse, c'est de présumer que la CAI en a besoin et
va en avoir l'usage, puis ce qui n'est pas le cas, dans le sens où la CAI ne
nous a pas fait cette demande-là, et soyez assuré, M. le député, que, si ça
avait été le cas, j'aurais répondu positivement à cette demande-là. Je pense
qu'elle voyait plutôt dans la situation actuelle, justement, le fait de ne pas
se faire envoyer 3 000 registres par année dont elle n'a pas
nécessairement… ou dont elle juge qu'elle n'a pas nécessairement besoin… Le
fait que ce soit disponible à la demande fait en sorte que, si la CAI, dans une
opération par exemple de surveillance, donc de prévention — parce que
je suis à même enseigne que le collègue, on n'est pas nécessairement dans la
répression, mais dans la prévention… Si, dans un exercice de prévention, le
volet surveillance de la CAI voulait avoir un historique des incidents de
confidentialité ou tout autre usage qu'elle peut faire du registre, bien, c'est
à sa disposition. Donc, je pense qu'il y a une commodité, il y a une question
de commodité là-dedans…
M.
Caire
: ...que
le collègue. On n'est pas nécessairement dans la répression, mais dans la
prévention. Si, dans un exercice de prévention, le volet surveillance de la CAI
voulait avoir un historique des incidents de confidentialité, ou tout autre
usage qu'elle peut faire du registre, bien, c'est à sa disposition. Donc, je
pense qu'il y a une commodité, il y a une question de commodité là-dedans, pour
la CAI, de ne pas recevoir inutilement ces registres-là.
Le Président (M.
Bachand) : Merci. M. le député de Gouin.
M. Nadeau-Dubois : Bien, je le
vois bien, là, tu sais, que c'est disponible à la demande, mais... Puis là
c'est parce que je ne veux pas tomber trop dans la spéculation, mais on est
forcés quand même, quand on adopte une loi comme ça, d'essayer d'imaginer des applications
concrètes, puis ça nous force quand même à faire des hypothèses un peu, là.
Si la CAI voulait, par exemple, prendre la
mesure de l'état de la confidentialité dans les municipalités, elle devrait
contacter chacune des municipalités pour leur faire la demande, obtenir leur
registre, puis en vertu de la loi, chaque municipalité aurait la responsabilité
légale de répondre, bon, en effet. Ça peut quand même être un exercice qui peut
être chronophage, là. Tu sais, ça va prendre du temps, écrire à chaque municipalité
pour demander leur registre de confidentialité, là...
M.
Caire
: Je
peux peut-être leur suggérer d'avoir une liste d'envoi.
M. Nadeau-Dubois : ...puis
avoir une réponse. Puis là est-ce que ça ouvre la porte à des stratégies, tu
sais, par exemple, dilatoires de certaines... Évidemment, je suis conscient que
je spécule, mais, tu sais, une municipalité ou un organisme public, il pourrait
y avoir des délais, tu sais. Je me demande, de prévoir un mécanisme où ces informations-là
sont automatiquement centralisées à la CAI, est-ce que ça ne met pas à la disposition
de la CAI, encore plus rapidement puis de manière plus efficace, une banque d'informations
pertinente pour faire son travail de surveillance puis d'étude du phénomène?
M.
Caire
: Écoutez,
je vais réitérer que ce n'est pas une demande que la CAI a faite. Puis ils ont quand
même passé à travers le projet de loi, puis c'est sûr qu'une disposition comme
celle-là ne leur a pas échappé. Donc, je présume que, si la présidente avait vu
un intérêt à l'exiger d'emblée, elle nous l'aurait fait savoir. Puis je peux
vous dire qu'on a eu quelques discussions avec Me Poitras sur différentes dispositions
du projet de loi n° 64, et à aucun moment, elle n'a
manifesté un intérêt qui allait dans ce sens-là.
Je ne veux pas... Puis vous comprenez mon
malaise, M. le député, là, je ne veux pas parler au nom de la présidente de la
CAI, mais en même temps, je pense qu'on peut comprendre que c'est peut-être
plus simple, de façon ad hoc, de contacter des organismes pour exiger ce
registre-là que d'en recevoir 3 000 systématiquement, chaque année, avec
le traitement que ça implique.
Mais je réitère, M. le député, que si la
CAI avait cette demande-là, je pense que... puis je ne veux pas me prononcer
pour les collègues, mais on recevrait cette demande-là...
M.
Caire
:
…recevra 3 000, systématiquement, chaque année, avec le traitement
que ça implique. Mais je réitère, M. le député, que si la CAI avait cette
demande-là, je pense que… puis je ne veux pas me prononcer pour les collègues,
mais on recevrait cette demande-là très favorablement, là, ça ne serait pas…
parce qu'une fois que la… le registre est produit, il s'agit de l'envoyer, là,
ça fait que ce n'est même pas… Mais j'extrapole, là, mais j'imagine que c'est
parce que, du côté de la CAI, on se dit : Bien, écoute, je vais recevoir,
annuellement, là, 3 000 registres dont j'ai plus ou moins l'usage ou
l'utilité de façon systématique alors que, de façon ponctuelle, elle pourra
aller chercher cette information-là au gré de ses besoins.
Et j'entends ce que le collègue dit mais
la CAI a quand même un pouvoir quand… assez important pour contraindre une
organisation qui ferait preuve d'une certaine négligence, là. Je pense que la
loi va… la loi n° 64 va donner des pouvoirs réels à la CAI de se faire
entendre par tout le monde.
Le Président (M.
Bachand) : Merci beaucoup. Interventions? M. le député de
LaFontaine.
M. Tanguay
: Sur le
dernier point du ministre, pourrait-il nous indiquer c'est à quel endroit, dans
le p.l. n° 64, où, justement, on va revisiter les pouvoirs de la CAI puis
j'imagine si… sa vocation qui est justement d'être un chien de garde, là, avec
plusieurs… Autour de quels articles qu'on va aborder ça?
M.
Caire
: Je ne
les ai pas tous en tête, là, mais entre autres, notamment, quand on va donner
son pouvoir de directive.
Une voix
: À partir
de 35.
M.
Caire
: À
partir de 35? À partir de 35, M. le député.
M. Tanguay
: On parle
de ça comme si c'était un roman : À partir du chapitre 35, vous allez
voir, là, l'intrigue, là…
M.
Caire
: Oui,
c'est ça : Verset 12, chapitre 35.
M. Tanguay
: Ah! bien
là, ça, c'est une autre histoire. Amen. Amen pour le… l'article 14,
M. le Président.
Le Président (M.
Bachand) : Alors, c'était ma question. Est-ce qu'il y a
d'autres interventions sur l'article 14 tel qu'amendé? S'il n'y a pas
d'autres interventions, nous allons procéder à la mise aux voix. Mme la
secrétaire, s'il vous plaît.
La Secrétaire
: Pour,
contre, abstention. M. Caire (La Peltrie)?
M.
Caire
: Pour.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lévesque
(Chapleau)?
M. Lévesque (Chapleau) : Pour.
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Tanguay (LaFontaine)?
M. Tanguay
:
Abstention.
La Secrétaire
: M. Nadeau-Dubois
(Gouin)?
M. Nadeau-Dubois : Pour.
La Secrétaire
: M. Bachand
(Richmond)?
Le Président (M.
Bachand) : Abstention. Donc, l'article 14 tel qu'amendé
est adopté. Merci. M. le ministre, s'il vous plaît.
M.
Caire
: Oui.
M. le Président, article 15, qui se lit comme suit :
L'article 64 de cette loi est modifié par le remplacement du
troisième alinéa par les suivants :
«La collecte visée au deuxième alinéa
doit être précédée d'une évaluation des facteurs relatifs à la vie privée et
s'effectuer dans le cadre d'une entente écrite transmise à la Commission.
L'entente entre en vigueur 30 jours après sa réception par la Commission.
Cette entente doit prévoir :
1° l'identification de l'organisme public
qui recueille les renseignements et celle de l'organisme public pour lesquels
la collecte est effectuée;
2° les fins auxquelles les renseignements…
le renseignement, pardon, est recueilli;
3° la nature ou le type du renseignement
recueilli;
4° les moyens par lesquels le
renseignement est recueilli;
5° les mesures propres à assurer…
M.
Caire
: ...le
renseignement et celle de l'organisme public pour lequel la collecte est
effectuée;
«2° les fins auxquelles le renseignement
est recueilli;
«3° la nature ou le type du renseignement
recueilli;
«4° les moyens par lesquels le
renseignement est recueilli;
«5° les mesures propres à assurer la
protection du renseignement personnel;
«6° la périodicité de la collecte;
«7° la durée de l'entente.».
Alors, M. le Président, l'article 64
de la Loi sur l'accès aux documents des organismes publics et sur la protection
des renseignements personnels est modifié afin de prévoir le contenu de
l'entente qu'il prévoit. Il est également modifié afin de prévoir que cette
entente doit être précédée d'une évaluation des facteurs relatifs à la vie
privée.
Le Président (M.
Bachand) :Merci beaucoup. Interventions? M.
le député de LaFontaine.
• (15 h 40) •
M. Tanguay
: Oui, merci,
M. le Président. On avait un commentaire de la Ligue des droits et libertés qui
faisait écho d'une recommandation qui était à l'intérieur du rapport
quinquennal 2016 de la CAI, mais qui n'était pas dans son mémoire quant à
l'actuel projet de loi, qui indiquait que le consentement ne permet pas de
recueillir des renseignements personnels qui ne sont pas nécessaires aux fins
poursuivies.
Alors, la Ligue des droits et libertés
disait : «Nous souscrivons donc à la proposition suivante de la CAI :
"La commission recommande que les articles 64 de la Loi sur l'accès et 5
de la Loi sur le privé précisent qu'un renseignement qui n'est pas nécessaire
ne peut être recueilli, même avec le consentement de la personne
concernée".»
M.
Caire
: Bien,
je vous dirais que, du moment où quelqu'un consent à quelque chose qui lui
appartient, je ne vois pas comment la loi pourrait l'interdire.
M. Tanguay
: C'est-à-dire,
le consentement, c'est une chose, mais que l'organisme public le recueille,
c'est surtout là, l'écueil, là.
M.
Caire
: Bien,
j'essaie de voir c'est quoi... Parce qu'on dit : «Nul ne peut, au nom d'un
organisme public, recueillir un renseignement personnel si cela n'est pas
nécessaire à l'exercice des attributions de cet organisme ou à la mise en
oeuvre d'un programme dont il a la gestion.
«Un organisme public peut toutefois
recueillir un renseignement personnel si cela est nécessaire à l'exercice des
attributions ou à la mise en oeuvre d'un programme de l'organisme public avec
lequel il collabore pour la prestation de services ou pour la réalisation d'une
mission commune.»
Et là, après ça, on dit, bon bien :
«La collecte visée au deuxième alinéa doit être précédée d'une évaluation des
facteurs...» Donc, je ne sais pas, là. Il m'apparaît que c'est assez clair qu'on
recueille les renseignements qui sont nécessaires à la prestation de services
de l'organisme ou d'un ou de plusieurs organismes.
M. Tanguay
: Et l'ajout
qui est fait, le remplacement du troisième alinéa, quand on parle d'une évaluation
des facteurs, on fait écho ici à une même évaluation de facteurs qu'on avait
vue un peu plus haut, là, à 63.4 et 5, c'est ça, hein?
M.
Caire
: C'est
ça.
M. Tanguay
: O.K. Et
ça, est-ce que c'est... «L'entente entre en vigueur 30 jours après...
M. Tanguay
: ...le
remplacement du troisième alinéa, quand on parle d'une évaluation des facteurs,
on fait écho ici à une même évaluation de facteurs qu'on avait vus un peu plus
haut, là, à 63.4, 63.5, c'est ça, hein?
M.
Caire
: C'est
ça.
M. Tanguay
: O.K. Et
ça, est-ce que c'est : l'entente entre en vigueur 30 jours après sa
réception? Et la façon dont ça doit être interprété, c'est pour l'avenir. C'est
la même logique, j'imagine, on ne revisitera pas des ententes passées?
M.
Caire
: Des
collectes qui ont déjà été faites, oui.
M. Tanguay
: Puis ici,
dans le fond, la collecte... doit être précédée... donc c'est de la
sous-traitance entre organisme public public ou ça peut impliquer un...
M.
Caire
: Entre
public public.
M. Tanguay
: O.K., pas
un privé, là, à ce moment-là.
M.
Caire
: Non.
Public public.
M. Miville-Deschênes
(Jean-Philippe) : ...juste pour la transitoire, en fait, là, pour les
ententes comme à 64, là. À l'article 163, on prévoit que, dans le fond...
je vais juste le lire...
M.
Caire
: Parce
qu'on parle d'organismes publics.
M. Miville-Deschênes
(Jean-Philippe) : L'article 64 continue à s'appliquer à
l'entente, là, l'article 64 actuel, jusqu'à son renouvellement ou au plus
tard deux ans suivant son entrée en vigueur. Donc, il y a comme un délai de
deux ans pour...
M.
Caire
: Ah,
bein ça, c'est le prochain article, oui.
M. Miville-Deschênes
(Jean-Philippe) : Pour s'assurer que l'entente entre 64... respecte le
nouveau 64. Il y a comme une disposition transitoire qui prévoit que deux
ans... si tu as une entente en cours, tu as deux ans pour la renouveler pour
respecter le nouvel article 64.
M. Tanguay
: Autrement
dit... puis ça, c'est le 163 du projet de loi, hein? C'est ça?
M. Miville-Deschênes
(Jean-Philippe) : C'est ça.
M. Tanguay
: On
dit : «Les articles 64 — tels qu'ils se lisent — continuent
de s'appliquer à toute entente conclue conformément...
M. Miville-Deschênes
(Jean-Philippe) : ...de la disposition transitoire.
M. Tanguay
:
...transitoire — à l'un de ces articles avant cette date et toujours
en vigueur et jusqu'à la date...». Autrement dit, c'est pour l'avenir et ça va
être aussi lorsqu'il y a renouvellement d'une entente qui existait déjà. Mais,
troisièmement — c'est-u ça qu'il faut que je
comprenne — troisièmement, s'il ne se passe rien, il n'y a pas... si ce
n'est pas une entente déjà existante qui n'était pas à renouveler, si, dans le
deux ans, il y a une entente déjà existante, elle doit être revisitée en vertu
du nouveau.
M. Miville-Deschênes
(Jean-Philippe) : Oui, oui. Dans le fond, il y a des ententes qui se
renouvellent automatiquement ou qui sont pour 10-12 ans, mais, souvent,
c'est plus des ententes qui se renouvellent automatiquement aux trois ans, donc
c'est pour ça qu'il y a un délai maximal qui a été prévu dans 163.
M. Tanguay
: Là, vous
me voyez... ça, ça aurait été un bel argument que j'aurais pu vous servir pour
le passé, pour l'évaluation, l'article et...
M.
Caire
: Mais,
malheureusement, on avait tout prévu.
M. Tanguay
: ...M. le
Président, je demande le consentement de rouvrir l'article 14. Je ne vous
le demande même pas, ça regarde mal. Mais là on voit la logique d'un regard
vers le passé, là.
M.
Caire
: Oui,
mais dans le cas d'un système d'information... puis je l'entends, mais on est
quand même dans deux choses différentes, dans le sens où là on parle d'une
entente pour collecter de l'information, donc par un organisme, alors que dans
l'article précédent on parlait de la refonte, l'acquisition ou le développement
d'une application d'un système. Donc, le système, puis ça, je suis bien placé
pour...
M.
Caire
:
...donc par un organisme, alors que, dans l'article précédent, on parlait de la
refonte, l'acquisition ou le développement d'une application, d'un système.
Donc, le système, puis ça, je suis bien placé pour vous le dire, là, il ne
changera pas ses comportements, là. Le système d'information, là, sa façon
d'opérer sera toujours la même, donc les failles, les vulnérabilités, là, si,
après x mois d'utilisation, vous ne les avez pas détectées, là, vous ne les
détecterez pas avec une évaluation des facteurs relatifs à la vie privée, là.
Donc, ce n'est quand même pas le même
univers où, là, on parle qu'un organisme public peut toutefois recueillir un renseignement
personnel. Donc, on n'est pas dans une application informatique qui suit un
algorithme de travail, là.
M. Tanguay
: Et quand
on regarde justement 63.5, avec la proposition du troisième alinéa nouveau du
64, «la collecte visée doit être précédée d'une évaluation de facteurs relatifs
à la vie privée dans le cadre d'une entente écrite transmise à la commission.
Cette entente doit prévenir...», doit prévoir, pardon, l'identification, la fin
à laquelle est recueillie, la nature, et tout ça. Donc, est-ce à dire que pour
les ententes... Là, ici, la mesure transitoire, il y a deux choses, on parle de
l'évaluation et on parle de ce que doit contenir l'entente. Alors, ça se peut
que les ententes actuelles, qui pourraient être renouvelables, ne contiennent
pas le dernier alinéa, là, 1, 2, 3, jusqu'à 7. Ça, est-ce que ça veut dire que
sur cet aspect-là, une entente déjà existante devrait être reformulée ou
devrait être amendée de manière, le cas échéant, à prévoir tout ça?
M.
Caire
: Selon
les modalités des mesures transitoires.
M. Tanguay
: Donc, dans
les deux ans, si elle n'était pas renouvelée, on va... Par fiction, on va
dire : Il faut que vous la renouveliez, même si c'était prévu, puis là on
va...
M.
Caire
: C'est
ça. Maximum deux ans, on va la renouveler puis on va se conformer aux
paragraphes 1 à 7 de l'article 64.
M. Tanguay
: O.K.
M.
Caire
: Du
nouveau troisième alinéa de l'article 64.
M. Tanguay
: O.K. Alors
là, il y a deux choses. Il y a ce que doit contenir l'entente, 1 à 7, on vient
d'en parler. Puis la deuxième chose, c'est l'évaluation des facteurs relatifs à
la vie privée. Ça, il faut que ce soit fait, dans 100 %, des cas au plus
tard dans les deux ans.
M.
Caire
: C'est
ça.
M. Tanguay
: Donc, il y
a deux choses à faire pour se mettre à niveau.
M.
Caire
: C'est
ça.
M. Tanguay
: Et juste
comprendre, dans le 64, premier, deuxième alinéa, «nul ne peut», «nul», ça peut
être un privé, ça, ou c'est juste un public?
M.
Caire
: Bien
là, on est dans une relation entre deux organismes publics, parce que si vous
regardez le deuxième alinéa, c'est «un organisme public peut toutefois
recueillir un renseignement personnel si cela est nécessaire à l'exercice de
ses...» «des attributions —pardon, — u à la mise en oeuvre d'un
programme de l'organisme public avec lequel il collabore». Ça fait que, là, la
loi est vraiment sur les organismes publics.
M. Tanguay
: Oui. Le
deux, il est clair, mais...
M.
Caire
: …peut
toutefois recueillir un renseignement personnel si cela est nécessaire à
l'exercice des attributions ou à la mise en oeuvre d'un programme de
l'organisme public avec lequel il collabore.» Ça fait que la loi est vraiment
sur les organismes publics.
M. Tanguay
: Oui, le 2,
il est clair, mais le 1 on parle de «nul ne peut,» puis normature en droit,
quand on dit «nul ne peut,» ça inclut tout le monde incluant les privés.
M.
Caire
: Ou
bien c'est tout le monde, tout le monde au nom d'un organisme public.
M. Tanguay
: Mais, ça
peut être un privé au nom d'un organisme public, dans le premier alinéa?
M.
Caire
: Oui,
oui
M. Tanguay
: Oui,O.K.,
mais le deuxième alinéa c'est dans la relation public-public. O.K. puis
l'objectif… juste dernière question de compréhension, «l'objectif de cette
entente doit prévoir,» c'est dans le fond, c'est de documenter, de donner le
sérieux, d'étayer, puis de s'assurer que les bonnes questions soient posées et,
j'imagine, évidemment, on dit : «Une entente est transmise à la
commission.» Puis, elle, elle pourra faire oeuvre pédagogique ou taper sur les
doigts le cas échéant, là.
M.
Caire
: Le
cas échéant
M. Tanguay
: O.K.
Le Président (M.
Bachand) : Interventions sur l'article 15? M. le député de
Gouin, s'il vous plaît.
M. Nadeau-Dubois : Si je
comprends bien l'article 15 qui introduit le 64… puis je vais peut-être
répéter une question du collègue de LaFontaine, mais bon il l'a fait tantôt, ça
fait que… non, mais juste pour être… parce qu'on lit aussi, en tout cas, on
fait beaucoup de choses en même temps, là. L'article 64 permet à
l'organisme public de recueillir un renseignement personnel si c'est nécessaire
à l'exercice de ses activités ou des activités d'un organisme public avec
lequel il collabore. Bien, donc, juste pour être bien compris, là, ça, c'est un
pont ici entre deux organismes publics.
M.
Caire
: Voilà
M. Nadeau-Dubois : Seulement
ça
M.
Caire
:
Strictement, oui
M. Nadeau-Dubois : C'était ma
question.
Le Président (M.
Bachand) : D'autres questions sur l'article 15? S'il n'y a
pas d'autres questions, nous allons procéder à la mise aux voix. Mme la
secrétaire, s'il vous plaît.
• (15 h 50) •
La Secrétaire
: Pour,
contre, abstention. M. Caire (La Peltrie)?
M.
Caire
: Pour
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lévesque
(Chapleau)?
M. Lévesque (Chapleau) : Pour
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Tanguay (LaFontaine)?
M. Tanguay
: Pour
La Secrétaire
:
M. Nadeau-Dubois (Gouin)?
M. Nadeau-Dubois : Pour
La Secrétaire
:
M. Bachand (Richmond)?
Le Président (M.
Bachand) : Abstention. Donc, l'article 15 est adopté.
Merci beaucoup. M. le ministre, s'il vous plaît.
M.
Caire
: M. le
Président, l'article 16. Article 16 : «Cette loi est modifiée
par l'insertion, après l'article 64, du suivant :
««64.1. Les renseignements personnels
concernant un mineur de moins de 14 ans ne peuvent être recueillis auprès
de celui-ci sans le consentement du titulaire de l'autorité parentale, sauf
lorsque cette collecte est manifestement au bénéfice de ce mineur.»»
Et, M. le Président, je dépose un
amendement. Amendement qui dit : «Insérer à l'article 64.1 de la Loi
sur…
M.
Caire
:
…auprès de celui-ci sans le consentement du titulaire de l'autorité parentale,
sauf lorsque cette collecte est manifestement au bénéfice de ce mineur.»
Et, M. le Président, je dépose un
amendement, amendement qui dit : Insérer, à l'article 64.1 de la Loi
sur l'accès aux documents des organismes publics et sur la protection des
renseignements personnels, proposé par l'article 16 du projet de loi,
après «titulaire de l'autorité parentale», «ou du tuteur»
Le Président (M.
Bachand) : Merci beaucoup. Alors, on va suspendre quelques
instants.
M.
Caire
: Ils
sont… ça a tout été déposé ça, M. le Président.
Le Président (M.
Bachand) : On l'a déjà sur Greffier? O.K. Quelle efficacité, M.
le ministre, quelle efficacité! Merci beaucoup.
M.
Caire
: Une
machine.
Le Président (M.
Bachand) : Alors, interventions sur l'amendement du ministre?
M. Tanguay
: O.K. On va
l'ouvrir…
M.
Caire
:
…c'est l'autorité parentale ou le tuteur.
M. Tanguay
: …on a fait
du 84, puis on parle beaucoup du… on parlait des 14 ans, puis ça va
toujours de pair, c'est l'autorité parentale ou le tuteur… 84, on faisait de
ça, hier, ça fait que ça me va, M. le Président.
Le Président (M.
Bachand) : …d'autres interventions sur l'amendement? Nous
allons procéder à sa mise aux voix, donc. Mme la secrétaire.
La Secrétaire
: Pour,
contre, abstention. M. Caire (La Peltrie)?
M.
Caire
: Pour.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lévesque
(Chapleau)?
M. Lévesque (Chapleau) : Pour.
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Tanguay (LaFontaine)?
M. Tanguay
: Pour.
La Secrétaire
: M. Nadeau-Dubois
(Gouin)?
M. Nadeau-Dubois : Pour.
La Secrétaire
:
M. Bachand (Richmond)?
Le Président (M.
Bachand) : Abstention. Donc, l'amendement à l'article 16
est adopté. Donc, interventions sur l'article 16 tel qu'amendé? M. le
député de Gouin.
M. Nadeau-Dubois : Oui. Merci,
M. le Président. L'article 64.1 se termine avec une phrase que certains
pourraient juger un peu… bien, une phrase, avec un bout de phrase que certaines
pourraient juger un peu critique, là : «sauf lorsque cette collecte est
manifestement au bénéfice du mineur». Qu'est-ce que ça veut dire? Comment on
évalue le bénéfice du mineur? «Manifestement au bénéfice du mineur», est-ce que
ça, c'est des notions qui sont usuelles, y a-t-il des précédents, des références
dans d'autres lois? Parce que c'est à la fois très clair et potentiellement
très flou sur qu'est-ce que ça peut vouloir dire. Puis qui est juge de ça, qui
est juge de quel est l'intérêt manifeste du mineur?
M.
Caire
: Je
vais laisser… sur les assises juridiques, je vais laisser Me Miville-Deschênes
répondre à votre question. Mais ce qui est «manifestement au bénéfice du
mineur», si le député de La Pinière était ici, je pense qu'il nous dirait
que, par exemple un renseignement qui est connecté par un médecin ou qui, dans
l'objectif d'une prestation de soins envers le mineur ou… bon, je pense qu'il y
a différents exemples comme ça qu'on peut avoir…
M.
Caire
: …ce
qui est manifestement au bénéfice du mineur. Si le député de La Pinière était
ici, je pense qu'il nous dirait que, par exemple un renseignement qui est
connecté par un médecin ou qui, dans l'objectif d'une prestation de soins
envers le mineur ou… bon, je pense qu'il y a différents exemples comme ça qu'on
peut avoir.
Maintenant, sur la notion juridique de
«manifestement au bénéfice de ce mineur», je vais laisser
Me Miville-Deschênes nous donner les assises juridiques sur lesquelles on
s'est basées pour libeller l'article de cette façon.
M. Miville-Deschênes
(Jean-Philippe) : Oui, bien, en fait, une communication… À l'article
68, on a déjà la communication qui «est manifestement au bénéfice d'une
personne», donc qui peut se faire sans consentement. C'est une communication,
dans le cas de l'article 68, là, exemple, s'il y a un chèque ou un montant
d'argent qui est dû à une personne dans le secteur public, bien, tu peux lui
communiquer des renseignements afin de lui faire parvenir puisque c'est
considéré comme «manifestement à son bénéfice».
Dans le cas de l'article qui nous concerne,
c'est ça, c'était le même libellé… un peu pour s'assurer que c'était clairement
à son bénéficie, puis on visait principalement les cas, justement dans le
secteur de la santé, où il peut soit avoir une urgence pour différentes
raisons, une collecte de renseignements à un moment où le tuteur n'est pas
disponible, puis qu'on veut faire une intervention auprès du mineur, ou il y a
aussi les cas de la DPJ qui nous ont été soulevés où là il pourrait avoir,
évidemment, là, une utilité de collecter des renseignements sur le mineur sans
le consentement du titulaire ou du tuteur. Donc, les exemples qu'on a, c'est
ça. Puis «manifestement», bien, c'était pour que ce soit clair ,que ce soit une
peu à l'instar… l'article 68, là, qu'il n'y ait pas de doute sur le fait que
c'est au bénéfice du mineur ou de la personne concernée.
M. Nadeau-Dubois : O.K. Et, si
c'était dans le cas d'un enfant qui a un parcours DPJ, tout ça, dans ces cas-là
le tuteur, ce n'est pas un réseau que je connais bien, là, ça se trouve à être
qui?
M. Miville-Deschênes
(Jean-Philippe) : Bien, au début de…
M. Nadeau-Dubois : Parce que
vous, tu sais, vous me donnez l'exemple d'un enfant qui serait dans une
situation violence, par exemple, prise en charge par la DPJ. Dans ce cas-là,
qui doit consentir à la cueillette des renseignements personnels?
M. Miville-Deschênes
(Jean-Philippe) : Bien, si on n'avait pas cette exception-là au tout
début de l'intervention, ça serait le tuteur ou le titulaire de l'autorité
parentale, donc la personne qui serait présumée…
Une voix
: Le parent.
M. Miville-Deschênes
(Jean-Philippe) : Le parent… bien oui, qui serait la personne qui
maltraite le mineur, finalement.
M. Nadeau-Dubois : O.K., mais
là, dans le fond… parce que moi, c'est que je ne suis pas familier avec le
statut juridique d'un enfant qui est pris en charge par la DPJ, là, est-ce
qu'il y a… Le titulaire de l'autorité parentale, est-ce que ça reste le parent?
Est-ce que le parent est relevé? Est-ce que ça fait… Est-ce que le parent
biologique se fait retirer ce titre-là? Si oui, à quel moment? Parce que, ce
qu'il y avait derrière mon intervention, c'est justement ce genre de situations
là où les parents peuvent faire partie du problème, là, plutôt que la solution,
comment on fait pour que l'État garde sa capacité d'intervenir auprès de ces
enfants-là, tu sais, donc…
M.
Caire
: Ce
qui va se produire… Un exemple, M. le député, un enfant mineur qui justement…
M. Nadeau-Dubois : ...mon intervention,
c'est justement ce genre de situation là où les parents peuvent faire partie du
problème, là, plutôt que la solution, comment on fait pour que l'État garde sa
capacité§ d'intervenir auprès de ces enfants-là, tu sais, donc...
M.
Caire
: Ce
qui va se produire... Un exemple, M. le député, un enfant mineur qui justement,
bon... j'ai une situation de maltraitance à la maison, c'est signalé à la DPJ,
la DPJ intervient, bien le représentant de la DPJ, compte tenu du signalement
qui pourrait impliquer le titulaire de l'autorité parentale ou le tuteur,
bien... évidemment, à ce moment-là, le représentant de la DPJ aurait
l'autorité, parce que c'est manifestement dans son intérêt de collecter des informations
concernant cet enfant-là pour étayer la plainte, monter le dossier, aller de
l'avant avec des procédures dans l'objectif de protéger l'enfant.
Et dans un cas où évidemment c'est le
titulaire de l'autorité parentale qui fait l'objet de la plainte, bien, vous
comprendrez qu'on ne peut pas lui demander son consentement pour recueillir des
enfants pour aider la DPJ à monter un dossier contre lui pour éventuellement
prendre des mesures administratives, voire judiciaires, là.
Donc, c'est une occasion ou situation
vécue, un enfant se blesse de façon très importante, doit recevoir des soins
rapidement, pas capable de rejoindre les parents. Bien là, j'ai besoin de
collecter des renseignements sur l'enfant, prends-tu des médicaments, ta, ta,
ta, est-ce que tu es asthmatique, tu es diabétique, est-ce que tu es
allergique, est-ce que... bon. Puis là je n'ai pas le temps de demander à
l'autorité parentale ou au tuteur si je peux collecter ces informations-là,
c'est manifestement dans son intérêt. Donc, c'est des situations comme ça qu'on
cherche à couvrir avec cet article-là.
M. Nadeau-Dubois : Dans le
fond, ma question, c'est : Qui va être juge? Parce que les exemples que
j'allais donner, c'est ceux-là, là, par exemple, les services de protection de
la jeunesse souhaitent connaître les antécédents médicaux d'un enfant, puis c'est
une information essentielle dans un contexte comme celui-là. Le parent aurait
de très mauvaises raisons, mais, en même temps, de son point de vue à lui, de
très bonnes, s'il ne veut pas collaborer avec la protection de la jeunesse, de
refuser le consentement. Qui va être juge dans ce processus-là que c'est
manifestement au... Parce que, moi, je suis d'accord, mon opinion personnelle
est celle du ministre, là, mais dans le processus, qui va être juge que, là,
c'est manifestement au bénéfice du mineur, puis que, là, bien, le parent ne
veut pas, ce n'est pas grave, la RAMQ communique, par exemple, les informations
directement à la protection de la jeunesse, puis c'est fini, on ne niaise pas?
Qui va être juge de ça?
• (16 heures) •
M.
Caire
: Bien,
dans le cas de 64.1, ce sera l'organisme public qui a à rendre le service qui
nécessite cette collecte de renseignements personnels là. Donc, si on parle,
par exemple, de la DPJ, bien, c'est l'officier représentant la DPJ qui va...
16 h (version non révisée)
M. Nadeau-Dubois : ...qui va
être juge de ça?
M.
Caire
: Bien,
dans le cas de 64.1, ce sera l'organisme public qui a à rendre le service qui
nécessite cette collecte de renseignements personnels là. Donc, si on parle, par
exemple, de la DPJ, bien, c'est l'officier représentant la DPJ qui va, dans le
cadre de son travail, ou les responsables de qui vont être juges de cette
situation-là. Donc, l'intervenant auprès du mineur qui aura à donner une
prestation de services conditionnée par une situation qui fait en sorte que
l'autorité parentale et/ou le tuteur ne peut être contacté, soit qu'on ne peut
le rejoindre, soit qu'on ne doit pas le contacter parce qu'il est lui-même l'objet
d'une situation problématique, à ce moment-là, il y a quand même une... là, on
parle d'organisme public. Dans ce cas-ci, il y a effectivement une autorité
publique qui a une prestation de services à donner et qui, dans ce sens-là,
peut assumer qu'elle agit manifestement dans l'intérêt du mineur en question.
Éventuellement, je vous rejoins, M. le
député. C'est sûr que l'autorité parentale et/ou le tuteur pourront par la
suite prendre action parce qu'ils se sont sentis lésés dans leur droit ou dans
leur privilège, et bon, bien... Mais d'où le fait que l'article est libellé
pour ne laisser aucun doute sur le fait que ça a été manifestement au bénéfice
du mineur de le faire.
Donc, il ne faut pas qu'il y ait de doute
non plus, dire : Bien, oui, tu sais, je ne suis pas capable de rejoindre
ta mère, ou ton père, ou le tuteur, puis, tu sais, ce n'est pas grave, là, tu
peux me le dire. Bon, tu sais, il faut que ça soit vraiment manifeste.
M. Nadeau-Dubois : O.K. Et
donc l'officier représentant la DPJ serait habileté par la loi à agir, à
collecter les renseignements personnels auprès d'un autre organisme public, par
exemple. Si ensuite le parent souhaite... parce qu'il se sent lésé... pourra...
M.
Caire
: Il
aura des recours.
M. Nadeau-Dubois : ...pourrait
avoir des recours juridiques. Mais au moins l'intervention pourrait être faite,
puis on venir en aide au mineur en question.
M.
Caire
: Oui.
M. Nadeau-Dubois : C'était
l'esprit de ma question.
Le Président (M. Bachand) :
Merci. Interventions? M. le député de LaFontaine. Non, ça va, pas
d'intervention? Alors, s'il n'y a pas d'autre intervention sur
l'article 16, tel qu'amendé, nous allons procéder à sa mise aux voix. Mme
la secrétaire, s'il vous plaît.
La Secrétaire
: Pour,
contre, abstention. M. Caire (La Peltrie)?
M.
Caire
: Pour.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lévesque
(Chapleau)?
M. Lévesque (Chapleau) : Pour.
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Tanguay (LaFontaine)?
M. Tanguay
: Pour.
La Secrétaire
:
M. Bachand (Richmond)?
Le Président (M.
Bachand) : Abstention. Donc, l'article 16, tel qu'amendé,
est adopté. M. le ministre, s'il vous plaît.
M.
Caire
: M. le
Président, article 17 se lit comme suit : L'article 65 de cette loi
est modifié :
1° par le remplacement des deux premiers
alinéas par les suivants :
«Quiconque, au nom d'un organisme public,
recueille des renseignements personnels auprès de la personne concernée doit,
lors de leur collecte et par la suite sur demande, l'informer :
«1° du nom de l'organisme public au nom de
qui la collecte est faite;
«2° des fins auxquelles ces renseignements
sont recueillis;
«3° des moyens par lesquels les
renseignements sont recueillis;
«4° du caractère obligatoire ou facultatif
de la...
M.
Caire
:
...personnels auprès de la personne concernée doit, lors de leur collecte et
par la suite sur demande, l'informer:
«1° du nom de l'organisme public au
nom de qui la collecte est faite;
«2° des fins auxquelles ces
renseignements sont recueillis;
«3° des moyens par lesquels les
renseignements sont recueillis;
«4° du caractère obligatoire ou
facultatif de la demande;
«5° des conséquences pour la personne
concernée ou, selon le cas, pour le tiers, d'un refus de répondre à la demande
ou, le cas échéant, d'un retrait de son consentement à la communication ou à
l'utilisation des renseignements recueillis suivant une demande facultative;
«6° des droits d'accès et de
rectification prévus par la loi.
«Le cas échéant, la personne concernée est
informée du nom du tiers qui recueille les renseignements au nom de l'organisme
public et de la possibilité que les renseignements soient communiqués à
l'extérieur du Québec.
«Sur demande, la personne concernée est
également informée des renseignements personnels recueillis auprès d'elle, des
catégories de personnes qui ont accès à ces renseignements au sein de
l'organisme public, de la durée de la conservation de ces renseignements, ainsi
que des coordonnées du responsable de la protection des renseignements
personnels.»;
2° par la suppression, dans le
troisième alinéa, de «se nommer et»;
3° par l'insertion, dans le cinquième
alinéa et après «fait par», de «une personne ou».
M. le Président, l'article 17... pardon...
l'article 17, oui, c'est ça... l'article 65 de la Loi sur l'accès aux documents
des organismes publics et sur la protection des renseignements personnels est
modifié afin de préciser davantage l'information devant être communiquée à la
personne auprès de qui des renseignements personnels sont recueillis au nom
d'un organisme public.
Et, M. le Président, j'ai un amendement à l'article
17. Donc, l'amendement se lit comme suit : Remplacer, dans le deuxième
alinéa de l'article 65 de la Loi sur l'accès aux documents des organismes
publics et sur la protection des renseignements personnels proposé par le
paragraphe 1° de l'article 17 du projet de loi, «et» par «, du nom des tiers à
qui il est nécessaire de communiquer les renseignements aux fins visées au
paragraphe 2° du premier alinéa et».
Le Président (M.
Bachand) :Commentaires? Il y avait des commentaires
sur l'amendement? Je ne sais pas...
M. Tanguay
: ...sur
Greffier?
Le Président (M.
Bachand) : Oui, c'est sur Greffier.
M. Tanguay
: O.K. Est-ce
qu'on peut suspendre une minute, M. le Président?
Le Président (M.
Bachand) : Oui. On va suspendre quelques instants. Merci beaucoup.
(Suspension de la séance à 16 h 5)
(Reprise à 16 h 10)
Le Président (M.
Bachand) :À l'ordre, s'il vous plaît! La commission
reprend ses travaux. M. le député de LaFontaine, s'il vous plaît.
M. Tanguay
: Oui.
M.
Caire
: ...
M. Tanguay
: Alors, sur
l'article 50, M. le Président. Non, à l'article 17, M. le Président.
On voyait que notre collègue de Gouin ne bronchait pas, stoïque, flegmatique.
Sur l'amendement, puis je faire commentaire — puis la petite pause a
été bénéfique, des fois, on fait de l'ordre dans nos idées — je fais
un commentaire, peut-être Me Miville-Deschênes pourra nous aider à voir,
je n'ai pas vu en nulle part — tu sais, puis là, là, ça, c'est un
exemple où on précise bien des choses, là, je veux dire, on précise ça, on
précise ça, puis on vous dit comment marcher, on définit comment vous allez
marcher : vous aller faire un pas, très précis — mais je n'ai
pas vu, puis à moins qu'on pourrait me dire :Non, non, non, c'est déjà dans
la loi actuelle ou c'est ailleurs dans le... je vais le dire tout croche, là,
de ligne de communication constante et permanente avec la personne pour
laquelle on collecte et conserve des renseignements personnels.
Autrement dit, il y a-tu en quelque part
un devoir de s'assurer, lorsque vous collectez des renseignements personnels,
ou si, et dans ce cas-ci, vous êtes un tiers puis vous le collectez pour
d'autres, d'en tout temps être capable d'avoir une ligne de communication avec
la personne? Parce qu'il se pourrait que l'on puisse collecter des
renseignements personnels sans que l'on ait, par exemple, une adresse courriel,
sans qu'on ait une façon efficace de rejoindre la personne. Il y a-tu une
obligation en quelque part qui le dit, que, si vous avez des renseignements personnels,
vous devez avoir une ligne de communication avec la personne? Et ça, ça fait
écho un peu au débat qu'on a eu dans le contexte de l'article 14 où on
dit : Bien, il faut communiquer s'il y a un incident. Mais c'est-u marqué
en quelque part que je vais pouvoir communiquer de façon efficace, là?
M.
Caire
: Bien,
je vais juste demander à mon collègue de préciser sa question, parce que, dans
l'article, on dit «quiconque, au nom d'un organisme public, recueille des
renseignements personnels auprès de la personne concernée doit, lors de la
collecte et par la suite sur demande». Donc... Mais je ne sais pas si c'est à
ce niveau-là.
M. Tanguay
: Puis
encore plus macro, là, à 30 000 pieds d'altitude, on parle des
organismes...
M.
Caire
:
...dans l'article, on dit «quiconque, au nom d'un organisme public, recueille
des renseignements personnels auprès de la personne concernée doit, lors de la
collecte et par la suite sur demande», donc, mais je ne sais pas si c'est à ce
niveau-là.
M. Tanguay
: Encore
plus macro, là, à 30 000 pieds d'altitude. On parle des organismes
publics, puis même, ça a un impact sur les privés. Il y a-tu de quoi, un
principe que dit que lorsque vous détenez de l'information qui concerne un
individu, vous devez vous assurer en tout temps d'avoir un moyen de communication
avec ledit individu, ne serait-ce que pour lui souligner qu'il y a eu un
incident ou ne serait-ce que pour vérifier son consentement ou ne serait-ce que
pour que lui puisse communiquer avec vous, et vice versa?
M.
Caire
: En
fait, là, je vous... puis je vais laisser Me Miville-Deschênes compléter la
réponse, mais compte tenu de la façon dont l'information est gérée de par la
loi, chaque organisme public a la... j'allais dire l'obligation, mais ce n'est
pas une... bien oui, d'une certaine façon. Elle peut collecter les informations
qui sont nécessaires à sa prestation de service, et ce faisant, donc, récolter
l'information qui lui permet d'entrer en contact avec le citoyen. Il n'y a pas,
au niveau du gouvernement du Québec, cette obligation-là, parce que la collecte
d'information, la collecte de données est propre à chaque organisme public, qui
est le détenteur et donc le responsable de l'information qu'il collecte. Donc,
c'est une prérogative de chaque organisme public dans l'état actuel de la loi.
M. Tanguay
: À 63.7,
mettons qu'il y a un préjudice sérieux, je dois aviser toute personne... Puis
vous allez me dire, il coule de source que vous devez donc vous assurer d'avoir
une possibilité de communiquer directement avec la personne, puis oui, il coule
de source. Mais mon point, c'est que... puis ça m'a frappé, dans la petite
pause, tantôt, on est très précis, à 65, là, c'est ça, c'est ça, c'est ça, on
est très précis, très, très cartésien, endigué, mais je n'ai pas vu, à nulle
part, l'obligation nommée, si vous avez des renseignements personnels... Parce
que je pourrais les avoir collectés via un tiers aussi qui pourrait les avoir
collectés. Comme, là, 65, ça met en action un tiers, puis 64 aussi, ça mettait
dans l'action un tiers, mais il n'est pas dit, à nulle part, puis peut-être
qu'on pourrait le dire, je vous lance ça, là, que l'organisme public qui
détient des renseignements personnels doit s'assurer d'être capable de
communiquer en temps efficace et efficacement à la personne notamment visée
à 63.7, parce qu'il va falloir que vous l'avisiez d'une manière ou d'une
autre.
M.
Caire
: Bien,
je vous dirais que ce n'est pas explicite dans la loi, à moins que je me
trompe, là, il n'y a pas… même dans la loi actuelle, il n'y a pas cette
disposition-là, explicite, mais c'est implicite. Et je vous dirais que dans
la...
M. Tanguay
: …et
efficacement à la personne notamment visée à 63.7, parce qu'il va falloir
que vous l'avisiez d'une manière ou d'une autre.
M.
Caire
: Bien,
je vous dirais que ce n'est pas explicite dans la loi, à moins que je me
trompe, là. Il n'y a pas… même dans la loi actuelle, il n'y a pas cette
disposition-là, explicite, mais c'était implicite. Et je vous dirais que dans
la pratique, généralement, le gouvernement qui a besoin de rejoindre un
citoyen, je pense qu'il y a tous les moyens à sa disposition pour y arriver,
là, ce n'est pas…
M. Tanguay
: L'ensemble
du gouvernement, mais lorsqu'on parle d'un organisme, tout seul dans son coin,
là.
M.
Caire
: Non,
c'est ça. C'est ça que je vous expliquais, M. le député. C'est que, dans
l'état actuel de la loi, c'est chaque organisme public qui a cette
prérogative-là, dans une perspective de prestation de service, évidemment, on
s'entend, puis c'est ce que la loi dit, là, de collecter ces informations-là et
d'avoir cette capacité-là, qui est individualisée à chaque organisme. Puis
c'est même, à mon humble avis, puis je… j'ai en tête l'éditorial du… de notre
collègue de La Pinière, là, d'il y a trois semaines, avec lequel
j'étais tout à fait d'accord, c'est même un problème, si vous voulez mon humble
avis. Mais dans…
M. Tanguay
: Parce
qu'il n'y a pas de guichet unique.
M.
Caire
:
Pardon?
M. Tanguay
: Parce
qu'il n'y a pas de guichet unique.
M.
Caire
: Bien,
c'est ça, puis là, bien, ça reste la prérogative et la responsabilité de chaque
organisme public de le faire, de les détenir, de les mettre à jour, de les
sécuriser, ce qui cause plus de problèmes que d'autre chose, à mon humble avis.
M. Tanguay
: Chacun est
tout seul dans son coin.
M.
Caire
:
Absolument, mais c'est l'état de nos lois actuelles.
M. Tanguay
: Puis vous
avez un plan pour… comment…
M.
Caire
:
Absolument, que je vais vous déposer dans les prochains jours.
M. Tanguay
: En
trois ans, il n'a pas été déposé, encore?
M.
Caire
:
C'est-à-dire que, sur cet événement-là, très précis, je vais avoir des choses à
vous proposer.
M. Tanguay
:
Incessamment.
M.
Caire
: Ah!
très. Je brûle, je brûle de vous le communiquer.
M. Tanguay
: O.K. Mais
vous voyez… Puis je ne sais pas si on peut entendre Me Miville-Deschênes,
là.
M.
Caire
: Oui,
oui, absolument.
M. Tanguay
: Parce
qu'encore une fois, on dit tout, comment marcher, aux organismes : Vous
devez faire ci, vous devez faire ça, puis on est précis, on est pointu, mais il
me semble que d'avoir l'obligation de vous assurer de pouvoir communiquer…
parce qu'il va y arriver des cas d'espèce où : Bien, voyons donc, la commission
va taper sur la tête d'un organisme. 63.7. Je reprends cet exemple-là parce que
c'est l'exemple… vous devez avoir une ligne de communication puis il y a une
certaine urgence, là. Si c'est un préjudice sérieux, il y a-tu l'expression
«sans délai», là? Ou, en tout cas, il y a une certaine expression d'urgence,
bien, vous devez vous assurer qu'on va vous le dire parce que, le but, ce n'est
pas de piéger les organismes puis dire : Ah! tu as mal fait, c'est de leur
dire, dans la loi, le livre de recettes. Ça fait que je ne veux pas qu'on
dise : Bien, voyons donc, le gâteau sans sucre, tu n'as pas mis de sucre
dans la recette, bien, moi, j'ai suivi la recette, tu n'as pas dit de mettre de
sucre, bien, il coulait de source que dans un gâteau, on met du sucre. Alors,
tu sais, un moment donné… alors, il n'aurait pas lieu de le dire, ne serait-ce
que pour remplir, encore une fois, 63.7, son obligation, de façon efficiente?
M. Miville-Deschênes (Jean-Philippe) :
Bien, je ne le sais pas. Je vais vous faire un petit état, dans le fond, des
exigences qu'il y a dans la loi, là. Évidemment, au début, il y a, bon, il y a
une exigence d'information, là, l'article 65, où le citoyen… doivent être
informés de différents…
M. Tanguay
: ...alors,
il n'y aura pas lieu de le dire... ne serait-ce que pour remplir, encore une
fois, 63.7, son obligation de façon efficiente?
M. Miville-Deschênes
(Jean-Philippe) : Bien, je ne sais pas. Je vais vous faire un petit
état, dans le fond, des exigences qu'il y a dans la loi, là. Évidemment, au
début, il y a, bon, il y a une exigence d'information, là, l'article 65,
où le citoyen doit être informé de différents éléments par rapport à ses renseignements
personnels. Puis on vient dans une situation où... bien, on vient de voir 64,
tu sais, l'organisme public recueille des renseignements pour ses attributions,
soit la mise en oeuvre de programmes ou... Ça fait que je pense qu'il y a toujours
une relation, là, entre l'organisme public et le citoyen, puis l'organisme
public a aussi l'obligation de tenir à jour, là, ses... Je vais vous sortir
l'article, là, il doit s'assurer que les renseignements qu'il détient sont à
jour, complets et exacts. Donc, il a une obligation quand même proactive de
s'assurer que les renseignements qu'il a sur le citoyen sont quand même à jour,
là, pour... notamment, quand c'est le temps de prendre une décision à son
sujet. Donc, c'est un peu ça, mais, évidemment, le citoyen aussi à un droit
d'accès et de rectification, là. Mais je n'ai pas entendu dans la pratique de
problème par rapport à un organisme public qui n'avait pas le renseignement qui
lui permettait de communiquer avec le citoyen. Mais dans la loi, il n'y a comme
pas cette obligation générale, là, là, de... exemple, que l'organisme détienne
tous les renseignements nécessaires pour communiquer avec le citoyen, ou
quelque chose comme ça, là.
M. Tanguay
: Sur votre
point, je vais à l'article 113 de la loi, ça, c'est rendu au privé, je
pense, à 113, on est rendu au privé, hein, je pense, Me Miville-Deschênes?
M. Miville-Deschênes
(Jean-Philippe) : Oui.
M. Tanguay
: On dit...
M. Miville-Deschênes
(Jean-Philippe) : Mais...
M. Tanguay
: Oui.
M. Miville-Deschênes
(Jean-Philippe) : Excusez-moi. Bien, en fait, pour la mise à jour,
c'est l'article 72 de la loi actuelle. L'article 72, là, si c'est ce
que vous cherchiez, c'est : «Un organisme public doit veiller à ce que les
renseignements personnels qui le concernent soient à jour, exacts et complets
pour servir aux fins pour lesquelles ils sont recueillis ou utilisés.» Donc, il
y a une exigence quand même que l'organisme s'assurer d'avoir tous les renseignements,
là, à jour, notamment si, dans la prestation de services, il doit communiquer
avec les citoyens de façon régulière, là.
• (16 h 20) •
M. Tanguay
: Puis les
personnes concernées des renseignements peut exiger qu'une personne...
diffusion des renseignements. Puis dans le contexte à jour, dans le contexte de
ce qu'on va ajouter, parce que c'est intéressant, ce qu'on fait là, on fait des
liens, 113, puis je veux dire, on travaille, là, mais si on dit : Aïe,
non, on n'est pas sur l'article, non, non, je veux dire, on travaille puis il y
a des liens. C'est parce qu'on va mélanger les oeufs, la farine puis le lait
tantôt. Ça fait qu'il faut parler des... on ne parlera pas juste du lait puis,
à un moment donné, après ça, on va dire : On va aller chercher des oeufs
au dépanneur. L'article 113, 28.1, on dit, dans le contexte des
privés : Dans l'évaluation des critères du deuxième alinéa, il est tenu
compte, notamment, du fait que le renseignement est à jour et exact. Alors, il
y a cette notion-là. Puis vous disiez 72 : Un organisme public doit
veiller à ce que les renseignements personnels qu'il conserve soient à jour,
exacts et complets pour servir aux fins. Ça, ça veut dire... O.K., 63.7, ça
veut dire, pour servir aux fins, s'il faut que tu envoies un avis, assure-toi
que : Aïe, j'ai une liste de 35 000 courriels, mais j'ai
28 000 retours qui sont «undelivered», ça ne va pas bien.
M.
Caire
: Ça ne
va pas bien.
M. Tanguay
: Je pense
qu'il y a... meeting lundi matin à 8 heures.
M.
Caire
: ...
M. Tanguay
: C'est bon.
Sur l'amendement, M. le Président... je pense que vous aviez hâte qu'on
revienne à l'amendement, mais, quand même c'est intéressant, ce qu'on fait là,
puis...
M. Tanguay
: …j'ai
28 000 retours… «undelivered», ça ne va pas bien.
M.
Caire
: Ça ne
va pas bien.
M. Tanguay
: Je pense
qu'il y a… meeting lundi matin, 8 heures.
M.
Caire
: …
M. Tanguay
: C'est bon.
Sur l'amendement, M. le Président… Je pense que vous aviez hâte qu'on revienne
à l'amendement, mais quand même c'est intéressant, ce qu'on fait là, puis on
travaille pour l'avenir des articles. Qu'est-ce qu'on veut faire? On dit :
«Remplacer, dans le deuxième alinéa…»
M.
Caire
: Bien,
en fait, ça se lirait, le paragraphe 1° se lirait, donc : «Sur
demande, l'informer du nom de l'organisme public au nom de qui la collecte est
faite et du nom des tiers à qui il est nécessaire de communiquer les
renseignements aux fins visées au paragraphe 2° du premier alinéa et».
Après ça, on enchaîne avec le paragraphe 2°.
M. Tanguay
: O.K. Moi,
j'avais vu aussi… O.K. C'est ça. Puis ça répondait à ma question parce que
j'avais fait à 65 tel que rédigé, à 65, là, de la loi actuelle, pas du 64. Il y
avait le 3° : «des catégories de personnes qui auraient accès à ce
renseignement». J'ai dit : Ah! il n'est pas listé. Lui, on l'a isolé dans
un deuxième alinéa : « la personne concernée est informée du nom du tiers
qui recueille», donc… et par… «du tiers à qui il est nécessaire de communiquer
les renseignements», donc on ajoute… On n'a pas enlevé : «Le cas échéant,
la personne concernée est informée du nom du tiers qui recueille», on fait
juste ajouter : «du nom du tiers à qui il est nécessaire de communiquer
les renseignements».
M.
Caire
: C'est
ça.
M. Tanguay
: Autrement
dit, si j'ai un sous-contractant qui collecte pour moi, la personne qui va
donner son renseignement personnel va connaître l'identité du sous-contractant,
puis il va connaître que c'est pour Revenu Québec ou pour…
M.
Caire
: C'est
pour… au nom de qui, c'est ça.
M. Tanguay
: De qui
c'est fait.
M.
Caire
: C'est
ça.
M. Tanguay
: O.K. C'est
ça, le but de… O.K. Ça me va, M. le Président, sur l'amendement.
Le Président (M.
Bachand) : Merci. Interventions sur l'amendement à
l'article 17? S'il n'y a pas d'autre intervention, nous allons procéder à
sa mise aux voix. Mme la secrétaire, s'il vous plaît.
La Secrétaire
: Pour,
contre, abstention. M. Caire (La Peltrie)?
M.
Caire
: Pour.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lévesque
(Chapleau)?
M. Lévesque (Chapleau) : Pour.
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Tanguay (LaFontaine)?
M. Tanguay
: Pour.
La Secrétaire
:
M. Nadeau-Dubois (Gouin)?
M. Nadeau-Dubois : Pour.
La Secrétaire
:
M. Bachand (Richmond)?
Le Président (M.
Bachand) : Abstention. Donc, l'amendement à l'article 17
est adopté. On revient maintenant à l'article 17 tel qu'amendé pour
discussion. M. le député de LaFontaine.
M. Tanguay
: Oui, merci
beaucoup, M. le Président. Dans la nouvelle mouture de l'article 65, je
vais au troisième alinéa, celui qui commence… le dernier nouveau, là, sur
demande de la personne concernée… «Sur demande, la personne concernée est
également informée des renseignements personnels recueillis auprès d'elle, des
catégories de personnes…» Donc, «Sur demande, la personne concernée est
également informée des renseignements personnels recueillis auprès d'elle», ça
veut dire quoi, ça? C'est bizarre un peu.
M.
Caire
:
…j'essaie de la retrouver, là.
M. Tanguay
: Le dernier
alinéa nouveau, là, le troisième : «Sur demande…» Quatrième avant-dernier
du nouvel article, là : «Sur demande, la personne concernée est également
informée des renseignements personnels recueillis auprès d'elle…» Comment
devons-nous lire ça? Peut-être Me Miville-Deschênes… Il a de l'air à être…
M. Miville-Deschênes
(Jean-Philippe) : Bien, en fait, c'était pour viser les cas où des
renseignements sont…
M. Tanguay
: …quatrième
avant-dernier du nouvel article, là : Sur demande, la personne concernée
est également informée des renseignements personnels recueillis auprès d'elle.
Comment devons-nous lire ça? Peut-être Me Miville-Deschênes, il a l'air à être…
M. Miville-Deschênes
(Jean-Philippe) : Bien, en fait, c'était pour viser les cas où des
renseignements sont collectés… Oui, consentement?
M. Tanguay
: Oui,
consentement.
Le Président (M.
Bachand) : Consentement, toujours pour la séance au complet.
M. Miville-Deschênes
(Jean-Philippe) : Ils sont collectés suite à la… notamment, suite à la
navigation de la personne, ou un peu à son insu. Tu sais, il y a des
renseignements qu'on donne, qu'on fournit, mais il y a d'autres renseignements
qui sont collectés à l'insu de la personne, dans le fond, là, notamment par la
navigation d'un site internet ou par l'utilisation d'un service. Donc, c'est
des renseignements qui sont collectés par l'organisme sur nous, mais qu'on n'a
pas nécessairement conscience.
M. Tanguay
: O.K.
M. Miville-Deschênes
(Jean-Philippe) : C'est un peu pour viser ces situations-là, là.
M. Tanguay
: Ça, c'est
intéressant, parce que, ce matin, j'ai été instruit sur les cookies. Là, on
cherchait le nom sur, justement, puis ça, on ne parle pas des cookies, ça,
c'est d'autre chose. Là on parle, je ne le savais pas que les organismes
publics s'adonnaient, peut-être, sûrement oui, là, à collecter des renseignements
sur, par exemple, la navigation qui est faite sur leur site. J'imagine c'est de
ça dont on parle.
M. Miville-Deschênes
(Jean-Philippe) : Puis je pense la carte Inspire est peut-être un bon
exemple aussi, là.
M. Tanguay
: La carte
Inspire. Ça, c'est la…
M. Miville-Deschênes
(Jean-Philippe) : La SAQ.
M. Tanguay
: La SAQ.
Oui. O.K.
M. Miville-Deschênes
(Jean-Philippe) : Ah! oui, puis je sais que vous ne l'utilisez pas,
là.
M. Tanguay
: Non, je ne
l'utilise pas. Tu sais, c'est contradictoire, j'ai un témoignage
contradictoire, à matin j'ai dit : Je l'utilisais même pour plein
d'autres, mais pas pour moi. Témoignage… pas crédible, le témoin.
Carte Inspire, O.K. Donc, la SAQ peut
collecter des renseignements, évidemment, sur la consommation de la personne
qui utilise la carte, c'est ça? Et donc, ce qu'on dit ici, c'est que si c'est
fait sans qu'on demande le consentement, faut l'en informer, c'est ça? Parce
que là, j'ai dit une hérésie, il va falloir qu'il y ait un consentement.
M. Miville-Deschênes
(Jean-Philippe) : Oui, mais la… Bien, en fait, tu peux demander. Dans
le fond, la personne concernée peut demander, dit : Je veux savoir quels
sont les renseignements collectés sur moi, parce qu'il y a des situations où il
ne les a pas tous nécessairement tous fournis par écrit ou verbalement.
M. Tanguay
: C'est ça,
mais sur demande. O.K. Mais la nouvelle, M. le ministre, la nouvelle logique,
ce n'est pas de dire : On demande des consentements à tout bout de champ,
puis spécifiques? Il ne devrait pas y en avoir un là?
M. Caire : Pas
nécessairement.
M. Tanguay
: Non?
M.
Caire
: La
nouvelle logique, c'est de demander un consentement lorsqu'il y a des finalités
différentes dans un service, mais on va voir plus tard, M. le député, qu'il y a
des consentements qui seront implicites ou qui seront… bien, c'est ça,
implicites. Je ne veux dire en bloc, là, parce que je n'aime pas l'expression.
Mais il ne faut pas non plus… comment je dirais ça. Lorsque je collecte des
informations personnelles sur vous, je vous avise de ce que je veux faire avec,
dans la mesure où ces choses-là peuvent être éloignées les unes des autres, par
rapport à ce que je vous ai dit, puis on a pris l'exemple de la paire de jeans
qu'on s'achète, là, où on nous demande le courriel.
M. Tanguay
: Oui.
M.
Caire
: Bon.
Bien, parfait, si c'est pour m'envoyer une facture par courriel, c'est oui. Si
c'est pour me mettre sur une liste de télémarketing, c'est non. Mais si c'est
pour m'envoyer une facture par courriel, puis que dans la facture, il s'adonne
que…
M.
Caire
:
...mais on a pris l'exemple de la paire de jeans qu'on s'achète, là, où on nous
demande le courriel...
M. Tanguay
: Oui.
M.
Caire
: Bon,
bien, parfait, si c'est pour m'envoyer une facture par courriel, c'est oui; si
c'est pour me mettre sur une liste de télémarketing, c'est non. Mais si c'est
pour m'envoyer une facture par courriel puis dans la facture, il s'adonne que
vous me faites part d'une promotion, O.K., c'est correct, tu sais.
M. Tanguay
: O.K.
M.
Caire
: C'est
ça.
M. Tanguay
: Puis dans
la logique des entreprises, c'est pour servir la relation contractuelle. C'est toujours
pour une finalité ou un objectif qui sert la... Exemple, je prends un exemple peut-être
un peu boiteux, mais «Do not call list», ça ne s'applique pas si j'ai une
relation contractuelle. Moi, je peux vous appeler...
M.
Caire
: Oui.
M. Tanguay
: Si je suis
votre assureur, moi, je peux vous appeler...
M.
Caire
: Bien,
dans ce cas-ci, on parle d'un organisme public...
M. Tanguay
: C'est ça.
M.
Caire
:
...donc dans un contexte de prestation de services. Je suis l'agence de revenu,
je dois entrer en contact avec vous, je vais le faire.
M. Tanguay
: Oui.
D'ailleurs, il faut que je les rappelle.
M. le Président...
M.
Caire
: C'est
rarement une bonne nouvelle.
M. Tanguay
: Non, non,
c'est...
De la durée de conservation de ces
renseignements, je me demande, est-ce que ça, ça tient la route? Autrement dit,
est-ce qu'il... je comprends l'objectif, mais est-ce que les organismes publics
peuvent, ne serait-ce que dire : O.K., parfait, vous leur faites la
demande. Je vous informe qu'on va garder ça un an, deux ans ou trois ans. Ils
vont pouvoir le dire. Est-ce que de facto... O.K., là, je vais revenir à une
fondamentale, tout renseignement, le fait de détenir un renseignement personnel
doit avoir une date de péremption? Ça, c'est impératif?
M.
Caire
: Non,
pas tout renseignement personnel qui a une date de péremption. Par contre...
puis on va reprendre l'Agence du revenu, normalement, vous avez l'obligation de
garder vos états de cotisation cinq ans. Mais on peut penser qu'après x nombre
d'années, c'est une information qu'on peut supprimer.
C'est quand on établit le cycle de vie
d'une information qu'on se dit : Cette information-là, je la conserve...
Vous pouvez avoir une politique, par exemple, je donne un exemple, un autre
exemple : J'ai un fichier... J'ai une politique, si le fichier n'est pas
ouvert pour une durée de tant d'années, après tant d'années, je supprime le
fichier. Donc, ce fichier-là n'a plus d'utilité, je dois le supprimer. Donc...
Et ça, je vous dirais que le problème qu'on a actuellement, ce n'est pas de
supprimer trop de données, c'est d'en garder trop, de la donnée qui est, on va
le dire, là, un peu passée date, là.
M. Tanguay
: Mon point,
c'est qu'il faut lire la durée de conservation de ces renseignements. Le cas
échéant, ça pourrait très bien en arriver, puis probablement dans bien des cas,
que la durée de conservation ne soit pas déterminée, autrement dit, qu'elle
soit... qu'elle soit... il n'y a pas de date de péremption, monsieur.
M.
Caire
: Tout
à fait.
M. Tanguay
: Vous allez
garder ça combien de temps? Bien, monsieur... bien, votre adresse…
M. Tanguay
:
…aujourd'hui, je vous dis qu'on va le garder toujours.
M.
Caire
: Je
vous donne un exemple, votre adresse, je ne peux pas mettre une date de
péremption sur votre adresse.
M. Tanguay
: C'est ça.
• (16 h 30) •
M.
Caire
: Bien,
peut-être que, dans un an, vous allez déménager, peut-être que vous allez
passer votre vie à la même adresse, il n'y a pas… Je ne peux pas établir un
cycle de vie précis pour cette information-là. Par contre, vos données
fiscales, bien je sais qu'après cinq ans, il n'y a plus de recours...
16 h 30 (version non révisée)
M.
Caire
:
…bien, votre adresse…
M. Tanguay
: …aujourd'hui,
je vous dis qu'on va le garder toujours.
M.
Caire
: Je
vous donne un exemple, votre adresse, je ne peux pas mettre une date de
péremption sur votre adresse.
M. Tanguay
: C'est ça.
M.
Caire
: Bien,
peut-être que, dans un an, vous allez déménager, peut-être que vous allez
passer votre vie à la même adresse, il n'y a pas… Je ne peux pas établir un
cycle de vie précis pour cette information-là. Par contre, vos données
fiscales, bien, je sais qu'après cinq ans il n'y a plus de recours, puis normalement,
c'est cinq ans qui est le délai prévu.
M. Tanguay
: Autrement
dit, il ne faut pas lire «de la durée de conservation» comme prévenant un organisme,
comme interdisant un organisme de dire : Bien, je n'ai pas prévu de date
de destruction. Il peut le faire, il peut le dire.
M.
Caire
: Oui,
oui.
M. Tanguay
: Parfait.
Quand on dit… et tout de suite à la fin : «ainsi que des coordonnées du
responsable de la protection des renseignements personnels.», ça, c'est le
responsable auprès de l'organisme public ou le responsable, le cas échéant,
auprès de celui qui collecte, qui pourrait être par ailleurs public, privé?
M.
Caire
: Le
responsable de l'organisme… Bien, dans ce cas-ci, de l'organisme public
puisqu'on parle de l'organisme public.
M. Tanguay
: Du
mandant.
M.
Caire
: C'est
ça.
M. Tanguay
: Et non…
M.
Caire
: Celui
dont on a parlé à l'article 8.
M. Tanguay
: O.K., O.K.
Et on le verra, que ce soit… parce qu'on a vu à l'article 64 précédent, qui
pouvait, tantôt, être… le mandataire pouvait être un public et tantôt pouvait
être un privé. Ces sous-traitants-là, ces mandataires-là, nécessairement, eux
aussi, ils vont avoir des comités tant sur la loi publique que sur la loi sur
la loi privée, et des responsables normalement?
M.
Caire
: Le
privé, il y a…
Une voix
: …
M.
Caire
: Il y
a un responsable, il n'y a pas de comité, hein?
Une voix
: On ajoute
responsable dans le projet de loi.
M.
Caire
: Bien,
c'est ça, c'est ça. C'est ça, il n'y a pas de comité, mais il y a un
responsable.
M. Tanguay
: Il y a un
responsable.
M.
Caire
: Pour…
au niveau du privé, oui.
M. Tanguay
: Mais ici,
on parle du responsable, pas du mandataire du mandant.
M.
Caire
: C'est
ça.
M. Tanguay
: O.K. Là,
ça me va, M. le Président. Ça me va.
Le Président (M. Bachand) :
Intervention, M. le député de Gouin.
M. Nadeau-Dubois : Dans le
champ des informations qui sont à divulguer quand il y a collecte de données,
on n'indique pas notamment… on ne dit pas aux gens à qui ces renseignements-là
seront partagés. On n'informe pas, par exemple, des catégories de personnes qui
vont avoir accès à ces renseignements-là, pourquoi?
M. Miville-Deschênes
(Jean-Philippe) : En fait, c'est l'amendement…
M.
Caire
:
Vas-y.
M. Miville-Deschênes
(Jean-Philippe) : Bien, je dois avouer que c'est l'amendement qui
vient d'être déposé, qui ajoutait… je vais le…
M.
Caire
: C'est
parce que je le cherchais.
M. Nadeau-Dubois : Du nom des…
Oui, c'est les tiers.
M.
Caire
: Au
«nom des tiers à qui il est nécessaire de communiquer les renseignements aux
fins visées au paragraphe 2° du premier alinéa». Je le cherchais, je
m'excuse parce que je scrollais puis…
M. Nadeau-Dubois : Mais, ça,
c'est… Donc, c'est les tiers qui sont… donc, ce n'est pas l'organisme ni la
personne qui consent, ça serait un organisme, donc un autre organisme public
par exemple.
M.
Caire
: Bien,
on a le nom de l'organisme public au nom de qui la collecte est faite.
M. Nadeau-Dubois : Mais,
est-ce…
M.
Caire
: Mais
on ajoute à ça… avec l'amendement, on a ajouté le nom des tiers à qui il est
nécessaire de communiquer les renseignements.
M. Nadeau-Dubois : Oui, mais
je me… Ma question portait plutôt sur, à l'intérieur de l'organisme public,
est-ce que ce ne serait pas pertinent d'informer la personne…
M.
Caire
: Bien,
on a le nom de l'organisme public au nom de qui la collecte est faite…
M. Nadeau-Dubois : Mais,
est-ce que…
M.
Caire
: …mais
on ajoute à ça, avec l'amendement, on a ajouté le nom des tiers à qui il est
nécessaire de communiquer les renseignements.
M. Nadeau-Dubois : Oui, mais
je me… ma question portait plutôt sur à l'intérieur de l'organisme public,
est-ce que ce ne serait pas pertinent d'informer la personne de qui aura accès
aux informations?
M.
Caire
: Vous
voulez dire… là on parle d'individus qui composent l'organisme public.
M. Nadeau-Dubois : Ça pourrait
être des… évidemment, pas une liste, là. M. Stéphane Tremblay,
Mme Magalie…
M.
Caire
: Non,
mais… non, non, non, mais je veux dire, mettons, le responsable de, le
directeur de.
M. Nadeau-Dubois : Voilà, des
catégories de personnes par exemple. Est-ce que ça peut… et c'est vraiment une
question, est-ce que ça peut ne pas faire partie d'éléments qui peuvent être
pertinents pour les gens expriment un consentement qui soit éclairé?
M.
Caire
:
Me Miville-Deschênes brûle du désir de vous répondre.
M. Nadeau-Dubois : C'est ce
que je constate.
M.
Caire
: Je ne
saurais le priver de ce plaisir.
M. Miville-Deschênes
(Jean-Philippe) : C'est gentil. Présentement, au troisième alinéa,
dans le fond, c'est une information qui est donnée sur demande dans
l'article 65 tel qu'il est déposé. Donc, on dit : «Sur demande, la
personne concernée est également informée… des catégories de personnes qui ont
accès à ces renseignements au sein de l'organisme public.» Donc, c'est une
information, dans l'article présentement, qui est donnée à la personne
concernée si elle le demande.
M. Nadeau-Dubois : Bien, en
fait, moi, je lis : «…lors de leur collecte et par la suite sur demande.»
Ma lecture, c'était que c'était automatique dès la collecte et pour d'autres
communications subséquentes sur demande. Est-ce que je lis mal l'article?
M. Miville-Deschênes
(Jean-Philippe) : Non, vous lisez bien l'article. Dans le fond, dans
les six premiers paragraphes, ça c'est… on est obligé de donner lors de la
collecte et aussi sur demande.
M. Nadeau-Dubois : C'est ça.
M. Miville-Deschênes
(Jean-Philippe) : Pour ce qui est du troisième alinéa, là, il y a
d'autres renseignements qu'on donne uniquement sur demande. Donc, il n'y a pas
d'obligation, pour le point que vous soulignez, les catégories de personnes,
dans la mouture actuelle, il n'y a pas d'obligation d'informer la personne
concernée des catégories des personnes. Il y a obligation uniquement s'il le
demande.
M. Nadeau-Dubois : Donc,
l'information elle serait donnée, mais elle ne fait pas partie du bouquet
initial d'informations qui est transmis. Ça, c'est un type d'informations qui
va être seulement transmis si la personne est particulièrement intéressée par
la question, puis de dire : Moi, j'aimerais savoir qui, exactement, va
avoir accès à mes informations dans l'organisme public par exemple? Est-ce que
je comprends bien votre réponse?
M. Miville-Deschênes
(Jean-Philippe) : Exact. Tout à fait.
M. Nadeau-Dubois : Est-ce
qu'il ne serait pas pertinent, quand un organisme public demande des
renseignements personnels et sollicite le consentement de la personne à cet
effet, de l'informer de qui est la personne responsable?
M.
Caire
: Mais,
c'est dit. On doit l'informer de qui est le responsable.
M. Nadeau-Dubois : «…ainsi que
les coordonnées du responsable de…» Parfait, ça répond à ma question.
Le Président (M.
Bachand) : Interventions sur 17 amendé? S'il n'y a pas d'autres
interventions, nous allons procéder à la mise aux voix. Mme la secrétaire, s'il
vous plaît.
La Secrétaire
: Pour,
contre, abstention. M. Caire (La Peltrie)?
M.
Caire
: Pour
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lévesque
(Chapleau)?
M. Lévesque (Chapleau) : Pour
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Tanguay (LaFontaine)?
M. Tanguay
: Pour
Le Président (M.
Bachand) : ...interventions sur 17 amendé? S'il n'y a pas
d'autre intervention, nous allons procéder à la mise aux voix. Mme la
secrétaire, s'il vous plaît.
La Secrétaire
: Pour,
contre, abstention. M. Caire (La Peltrie)?
M.
Caire
: Pour.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lévesque
(Chapleau)?
M. Lévesque (Chapleau) : Pour.
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Tanguay (LaFontaine)?
M. Tanguay
: Pour.
Le Secrétaire
: M. Nadeau-Dubois
(Gouin)?
M. Nadeau-Dubois : Pour.
La Secrétaire
: M. Bachand
(Richmond)?
Le Président (M.
Bachand) : Abstention. Donc, l'article 17, tel qu'amendé,
est adopté. M. le ministre, s'il vous plaît.
M.
Caire
:
Article 18 se lit comme suit :
Cette loi est modifiée par l'insertion,
après l'article 65, des suivants :
«65.0.1. En plus des informations devant
être fournies suivant l'article 65, quiconque recueille des renseignements
personnels auprès de la personne concernée en ayant recours à une technologie
comprenant des fonctions permettant de l'identifier, de la localiser ou
d'effectuer un profilage de celle-ci doit, au préalable, l'informer :
«1° du recours à une telle technologie;
«2° des moyens offerts, le cas échéant,
pour désactiver les fonctions permettant d'identifier, de localiser ou
d'effectuer un profilage.
«Le profilage s'entend de la collecte et
de l'utilisation de renseignements personnels afin d'évaluer certaines
caractéristiques d'une personne physique, notamment à des fins d'analyse du
rendement au travail, de la situation économique, de la santé, des préférences
personnelles, des intérêts ou du comportement de cette personne.
«65.0.2. Toute personne qui fournit ses
renseignements personnels suivant l'article 65 consent à leur utilisation
aux fins visées au paragraphe 2° du premier alinéa de cet article.»
Donc, M. le Président, cet article
introduit les articles 65.0.1 et 65.0.2 à la Loi sur l'accès des documents
des renseignements publics et sur la protection des renseignements personnels.
Le nouvel article 65.0.1 de Loi sur l'accès aux documents des organismes
publics et sur la protection des renseignements personnels prévoit
l'information devant être communiquée à la personne auprès de qui des renseignements
personnels sont recueillis en ayant recours à une technologie comprenant des
fonctions permettant de l'identifier, de la localiser ou d'effectuer un
profilage de celle-ci. Il définit également la notion de profilage.
Le nouvel article 65.0.2 de Loi sur
l'accès aux documents des organismes publics et sur la protection des
renseignements personnels prévoit que toute personne qui fournit renseignements
personnels, suivant l'article 65 de cette loi, consent à leur utilisation
aux fins visées par le paragraphe... du premier alinéa de cet article.
Et, M. le Président, j'ai un amendement à
déposer.
Le Président (M.
Bachand) : Allez-y, M. le ministre.
M.
Caire
:
Alors :
Insérer, dans l'article 65.0.2 de la Loi
sur l'accès aux documents des organismes publics et sur la protection des
renseignements personnels proposé par l'article 18 du projet de loi et après
l'«utilisation», «et à leur communication».
Le Président (M.
Bachand) : Merci. M. le député de Gouin.
M. Nadeau-Dubois : J'imagine
qu'on va traiter d'abord de l'amendement du ministre.
Le Président (M.
Bachand) :L'amendement. Après ça, on va
faire comme on a fait à 14, on va y aller par les articles introduits.
M. Nadeau-Dubois : O.K. Bien,
moi, je vais laisser le ministre nous parler de son amendement, puis j'interviendrai
après sur l'article.
M.
Caire
: Bien,
M. le Président, c'est juste de dire que l'article suit un... les personnes…
voyons, «toute personne qui fournit ses renseignements personnels suivant
l'article 65 consent à leur utilisation...
Le Président (M.
Bachand) : …on va y aller par les articles introduits.
M. Nadeau-Dubois : O.K. Bien,
moi, je vais laisser le ministre nous parler de son amendement puis
j'interviendrai après sur l'article.
M.
Caire
: Bien,
M. le Président, c'est juste de dire que l'article… les personnes…
voyons : «Toute personne qui fournit ses renseignements personnels suivant
l'article 65 consent à leur utilisation et à leur communication aux fins
visées par le paragraphe 2° du premier alinéa de cet article.» Donc, c'est de
rajouter le fait que les renseignements pourraient être communiqués.
Le Président (M.
Bachand) : Donc, interventions sur l'amendement du ministre? M.
le député de LaFontaine.
M. Tanguay
: …on vient
juste d'avoir sur Greffier, bien, il y a 43 secondes, là, l'amendement.
Alors, on essaie d'être le plus efficaces possible, M. le Président, là.
Après «utilisation», «et à leur
communication». Alors, après… «Toute personne qui fournit ses renseignements
personnels suivant l'article 65 consent à leur utilisation et à leur
communication…»
M.
Caire
: «Aux
fins visées…
• (16 h 40) •
M. Tanguay
: Pourquoi
c'était le… alors, utilisation, utilisation n'incluait pas communication, à ce
moment-là?
M.
Caire
: Bien
là, je vais laisser Me Miville-Deschênes compléter la réponse, mais
l'utilisation, c'est lorsque le renseignement sert à la prestation de services
de l'organisme. La communication, j'imagine que, là, quand on parle de collecter
pour un tiers, qu'on puisse communiquer les informations.
M. Tanguay
: …maître.
M. Miville-Deschênes
(Jean-Philippe) : Oui, bien, bref retour en arrière, là, en matière de
consentement, on a prévu que le consentement devait être distinct par finalité,
un consentement vraiment qui ne peut pas être en bloc. Puis il y a eu des
commentaires et des questions à l'effet… à savoir : Est-ce que ça veut
dire qu'il faut qu'on… je consens à une utilisation, puis si… mettons que
j'adhère à un service, puis ça implique une utilisation et une communication,
parce que, souvent, il y a les deux, est-ce que je dois consentir à la fois
pour l'utilisation et pour la communication? Ce qui est… ce qui serait assez
problématique, là. Donc, l'objectif, c'est de dire : Tu es informé,
citoyen, tu es informé, d'une part… bien, de plusieurs éléments, mais d'une
part de quelle façon… à quelles fins on va utiliser ton renseignement, à qui il
va être communiqué pour cette fin-là, puis, une fois que tu es informé, bien,
tu as consenti à cette utilisation et à cette communication. Je ne sais pas…
M. Tanguay
: Autrement
dit, c'est une présomption de consentement, on n'a pas à le demander, si… c'est
une présomption de consentement.
M. Miville-Deschênes
(Jean-Philippe) : Bien, c'est un peu une technicalité, parce que, dans
la loi actuelle, il n'y a pas de consentement rattaché à la collecte. Dans le
fond, on dit : La collecte, je t'informe, puis après, bien, je peux
l'utiliser, etc. On trouve que c'est important de clarifier que c'était un
consentement à la collecte, d'une part pour clarifier que c'était un
consentement à l'utilisation et à la communication, mais aussi pour permettre
le retrait du consentement. Un peu plus loin, on arrive avec la notion de
retirer le consentement, mais pour le retirer, il fallait s'assurer que ça soit
clair dès le début que, quand, moi, je donne mes renseignements à un organisme
public, je consens à cette collecte-là.
M. Tanguay
: ...ça va
être spécifique pour le retrait, mais quand... Ce que dit 65.02, puis avec
l'amendement on fait «utilisation et communication», c'est que lorsque la
personne fournit, bien, de facto, en vertu de fiction de la loi, c'est comme si
c'était un consentement aussi qui…
M. Miville-Deschênes
(Jean-Philippe) : ...mes renseignements à l'organisme public, je
consens à cette collecte-là.
M. Tanguay
: ...ça fait
que ça va être spécifique pour le retrait, mais quand... Ce que dit 65.02, puis
avec l'amendement on fait utilisation et communication, c'est que lorsque la
personne fournit, bien, de facto, en vertu de fiction de la loi, c'est comme si
c'était un consentement aussi qui coule de source pour l'utilisation et la communication,
sans qu'on ait à le demander. C'est ça?
M. Miville-Deschênes
(Jean-Philippe) : Bien, en fait, il y a déjà, à 65, l'exigence de
l'informer de plusieurs éléments, ça fait qu'effectivement c'est un peu une
fiction, mais en même temps, on lui a donné tous les éléments pour que son
consentement soit éclairé.
M. Tanguay
: O.K. C'est
bon. Merci.
Le Président (M.
Bachand) :Intervention sur l'amendement
du ministre? M. le député de Gouin.
M. Nadeau-Dubois : Oui.
J'essaie juste de suivre la cascade des références, là. Quand on dit «au paragraphe
2° du premier alinéa de cet article», c'est l'article actuel, l'article 65 dans
la loi actuelle.
M. Miville-Deschênes
(Jean-Philippe) : Bien, dans la loi telle qu'amendée pae notre projet
de loi.
M. Nadeau-Dubois : Oui, mais
c'est l'article 65 de la loi, pas du... on s'entend.
M. Miville-Deschênes
(Jean-Philippe) : Oui. De la loi. Exact.
M. Nadeau-Dubois : Et les fins
en question, est-ce qu'on peut me les rappeler?
M. Miville-Deschênes
(Jean-Philippe) : Bien, en fait, tout organisme public qui collecte
doit l'informer... les fins : Je collecte pour t'offrir le service de ou
pour pouvoir t'offrir une prestation, RQAP, etc. Donc, c'est une exigence, lors
de la collecte, d'informer la personne des finalités. Puis une fois informée,
bien, la personne a consenti... 65.02 dit, bien, elle a consenti à l'utilisation
pour cette finalité-là.
M. Nadeau-Dubois : Et là on
ajoute... on vient ajouter la notion de communication. Puis c'est quoi,
l'impact? Qu'est-ce que ça change d'ajouter cette notion de communication là?
M. Miville-Deschênes
(Jean-Philippe) : Bien, pour plusieurs produits, services, etc., il y
a une utilisation et une communication à un sous-traitant ou un autre organisme
public. Donc, une fois qu'on a informé la personne de l'utilisation qu'on va en
faire et de la communication que ça nécessite, bien, 65.02, il dit : La
personne a consenti à ces éléments-là.
M. Nadeau-Dubois : Parfait.
Merci.
Le Président (M.
Bachand) : D'autres interventions sur l'amendement? S'il n'y a
pas d'autre intervention, nous allons procéder à la mise aux voix. Mme la
secrétaire, s'il vous plaît.
La Secrétaire
: Pour,
contre, abstention. M. Caire (La Peltrie)?
M.
Caire
: Pour.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lévesque
(Chapleau)?
M. Lévesque (Chapleau) : Pour.
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Tanguay (LaFontaine)?
M. Tanguay
: Pour.
La Secrétaire
: M.
Nadeau-Dubois (Gouin)?
M. Nadeau-Dubois : Pour.
La Secrétaire
: M.
Bachand (Richmond)?
Le Président (M.
Bachand) : Abstention. Donc, l'amendement à l'article 18 est
adopté. Alors, si vous êtes d'accord, nous serions à l'article introduit,
65.01. Intervention? M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : J'ai envie
de reprendre où je l'avais laissé un peu plus tôt, à 65.0.1, on peut lire, donc
«des moyens offerts, le cas échéant, pour désactiver les fonctions permettant
d'identifier, de localiser ou d'effectuer un profilage»...
M. Nadeau-Dubois : ...je
l'avais laissé un peu plus tôt, à 65.0.1, on peut lire donc : «des moyens
offerts, le cas échéant, pour désactiver les fonctions permettant d'identifier,
de localiser ou d'effectuer un profilage.» Plus tôt, on a introduit, dans la
loi, le principe du plus haut niveau de confidentialité par défaut qui implique
que l'utilisateur doit faire le choix d'activer ces fonctions-là. Là, l'article
vient plutôt dire qu'il faut informer des moyens pour les désactiver.
Est-ce qu'il n'y a pas un potentiel hiatus
entre les deux qu'il faudrait combler en disant plutôt que, par exemple,
l'utilisateur doit être informé, puisqu'on prend pour acquis que, par défaut,
tout va être décoché, là? Est-ce que ça ne vient pas être périmé, que cette
disposition-là? Je ne sais pas si le ministre comprend ce que je veux dire.
M.
Caire
: C'est
parce que, dans ce cas-ci, ce que l'article dit, c'est que si je recueille des
renseignements personnels auprès d'une personne concernée en ayant recours à
une technologie comprenant des fonctions, donc c'est que là, c'est
l'utilisation de la technologie qui est inhérente au fait que j'utilise ça.
La différence avec tout à l'heure, c'est
que tout à l'heure je disais : D'entrée de jeu, je dois vous offrir un
environnement qui offre le maximum de la sécurité paramétrable. Parce que vous
êtes dans cet environnement-là, vous n'avez pas nécessairement connaissance de
ce fait-là. Que le site collecte des informations, vous ne le savez pas, puis
là ça se fait un peu à votre insu. Puis ça, on ne veut pas ça.
Dans le cas qui nous préoccupe, on dit «la
personne concernée en ayant recours à une technologie comprenant», donc
c'est... c'est que c'est inhérent... la technologie que j'utilise, c'est
inhérent à son fonctionnement, que j'utilise ça. Alors là, je dois vous en
informer.
Le Président (M.
Bachand) : M. le député de Gouin.
M. Nadeau-Dubois : Mais le
principe de plus haut niveau de confidentialité par défaut, s'il vaut pour les
exemples qu'on a donnés plus tôt, là, un site Internet, une application,
pourquoi est-ce qu'il ne... ne devrait-il pas valoir aussi pour les
technologies? En quoi... Je ne suis pas sûr de comprendre la distinction que le
ministre a faite, il me semble qu'on est dans deux cas de figure extrêmement
similaires. Parce que la technologie à laquelle on a recours, ça pourrait être
une application, non?
M.
Caire
: Oui,
oui, oui. Tout à fait.
M. Nadeau-Dubois : Et donc
pourquoi, dans ce cas-là, ça ne vaut pas le principe de confidentialité par
défaut? Puis pourquoi est-ce qu'on ne pourrait pas simplement changer...
M. Nadeau-Dubois : ...dans deux
cas de figure extrêmement similaires. Parce que la technologie auquelle on a
recours, ça pourrait être une application, non?
M.
Caire
: Oui,
oui, oui, tout à fait. Non, tout à fait.
M. Nadeau-Dubois : Et donc pourquoi,
dans ce cas-là, ça ne vaut pas le principe de confidentialité par défaut? Puis pourquoi
est-ce qu'on ne pourrait pas simplement changer «désactiver» pour «activer»?
M.
Caire
: Parce
que... Bon, bien, je vais reprendre l'exemple que vous avez pris tout à l'heure,
M. le député. Vous dites : Je vais sur le site de la SAQ. Je m'en vais
voir si le vin préféré du député de LaFontaine est disponible à telle ou telle
succursale, espérant pouvoir écouler ses points. Je ne m'en vais pas nécessairement...
C'est-à-dire que je m'en vais faire une navigation sur un site, chercher une
information, et là l'application, elle, est paramétrée pour collecter de
l'information ou non. Donc, moi, je dois vous offrir, d'entrée de jeu, cet
environnement-là qui vous offre le plus haut niveau de sécurité.
Dans le cas qui nous concerne, là, je suis
dans une collecte d'information, donc je ne suis pas dans une application de
services, où il y a des paramètres de sécurité qui pourraient vous géolocaliser
ou... Comprenez-vous ce que je veux dire? Là, je suis... «En plus des informations
devant»... relisez l'article, vous allez voir... «En plus des informations
devant être fournies suivant l'article 65, quiconque recueille des
renseignements personnels auprès [d'une] personne concernée en ayant recours à
une technologie.» Donc là, je suis dans une collecte d'information. Je suis en
train de collecter... Vous n'êtes pas... On n'est pas dans une navigation
générale, où vous entrez sur un site... Vous n'êtes pas en interaction avec qui
que ce soit, là.
Vous êtes en train de naviguer sur un
site, vous voulez acheter une bouteille de vin. Vous vous promenez sur le site,
vous faites votre transaction, vous faites livrer votre bouteille de vin. Donc
là, il y a un certain nombre d'informations personnelles qui sont nécessaires
pour ça. Quand j'entre d'emblée dans le site, je peux peut-être juste aller
voir si tel ou tel vin est disponible, mais je ne veux pas nécessairement
acheter, je ne veux pas... Donc, si je clique sur telle bouteille de vin, bien,
je ne veux pas que ce soit enregistré, parce que vous dites : Ah! ça,
c'est une préférence de la personne qui visite le site, ou je ne veux pas... Ou
si j'achète une bouteille, bien, je ne veux pas que vous enregistriez ça puis
dire : O.K., bien, ça, il aime tel type de vin. Là, on est dans une
collecte qui pourrait se faire à votre insu.
• (16 h 50) •
Donc, ce qu'on dit, c'est que, si c'est
ça, le cadre dans lequel vous naviguez, je dois vous offrir que ces informations-là
ne soient pas collectées, à moins que vous posiez des gestes pour dire :
Oui, oui, ça ne me dérange pas, garde mon adresse en mémoire, oui, fais… garde
en mémoire mon profil de consommateur, je n'ai aucun problème avec ça, ça ne me
dérange pas.
Alors que là, on est dans une collecte d'information.
Donc, vous, vous êtes dans une relation avec le gouvernement, il y a une
prestation de services, je dois collecter des informations...
M.
Caire
: …oui,
oui, ça ne me dérange pas, garde mon adresse en mémoire, oui, fais… garde en
mémoire mon profil de consommateur, je n'ai aucun problème avec ça, ça ne me
dérange pas, alors que, là, on est dans une collecte d'information. Donc, vous,
vous êtes dans une relation avec le gouvernement, il y a une prestation de
services, je dois collecter des informations. Ce faisant, j'utilise des technologies
qui pourraient me permettre de vous géolocaliser, de vous identifier, de… etc.
Donc, ça… là, je dois vous le dire : Bien, j'utilise telle application, et
cette application-là pourrait avoir pour effet de vous géolocaliser. Ça vous
dérange-tu? Et sinon, voici comment la désactiver. Mais là, je suis dans une
collecte d'information. On n'est pas dans une navigation où vous vous promenez
sur un site comme vous allez vous promener dans une succursale de la SAQ, là.
M. Nadeau-Dubois : Je
comprends ce que le ministre me dit, mais je n'ai pas l'impression que c'est ça
qui est écrit, c'est-à-dire que dans les commentaires on lit : «Le nouvel article
prévoit l'information devant être communiquée à la personne auprès de qui des renseignements
personnels sont recueillis en ayant recours à une technologie — une
technologie — comprenant des fonctions d'identification, de
localisation et de profilage.» Moi, quand je lis ça, ce que je lis,
c'est : Cet article prévoit qu'est-ce qu'on doit dire à la personne quand
une personne utilise une technologie qui recueille des renseignements
personnels, et donc notre fameux exemple qui est pratique, parce que c'est un
exemple qu'on connaît tous, par exemple de l'application d'un organisme public
comme la SAQ. Quand je lis l'article et les commentaires, l'article m'apparaît
s'appliquer, puisque l'application, c'est une technologie. En y ayant recours,
la technologie recueille des renseignements personnels sur moi. Cette
technologie-là comprend des fonctions d'identification, de localisation et de
profilage, et donc l'article me semble s'appliquer. Et donc il me semble y
avoir une contradiction entre ce qui est écrit ici, c'est-à-dire : Dites
aux gens que vous… par exemple, que vous les localisez et dites-leur comment
désactiver la localisation, alors que plus tôt on a adopté le contraire, on a
adopté : Vous devez informer les gens du contraire, c'est-à-dire comment
activer la fonction. Donc, il me semble y avoir une contradiction entre cet
article puis celui qu'on a adopté tantôt. On pourrait faire le même exemple
avec un… je ne sais pas, l'application de la… Je présume qu'Hydro-Québec a une
application également.
Donc, j'ai comme l'impression qu'il y a
une tension ici, là, parce que… D'ailleurs, tu sais, les fonctions comme
identification, localisation, profilage sont comme… c'est des fonctions qu'on
peut juger plus invasives que d'autres, que par exemple juste donner
volontairement son adresse. Donc, je ne suis pas sûr de comprendre la
distinction que fait le ministre entre…
M. Nadeau-Dubois : …ici, là.
Parce que, d'ailleurs, tu sais, les fonctions comme d'identification ou
localisation de profilage, sont, comme… tu sais, des fonctions qu'on peut juger
plus invasives que d'autres, que, par exemple, juste donner volontairement son
adresse. Donc, je ne suis pas sûr de comprendre la distinction que fait le
ministre entre… le ministre parlait de navigation générale, puis là, d'une
technologie précise. Il me semble que…
M.
Caire
: Non,
je disais juste que, là, on est dans… on parle de… là, on parle vraiment de
collecte d'information. Je ne suis pas dans un… je ne suis pas dans une
application où vous allez… Bon. J'essaie de trouver un exemple. Mettons, je
renouvelle mon permis de conduire. Puis là, j'essaie de voir une application
pratique versus la SAQ, tu sais, où je m'en vais…
M. Nadeau-Dubois : Oui. Bien,
mettons, j'appelle pour renouveler mon permis de conduire, là, au téléphone.
M.
Caire
: Non,
mais je vais sur le site de la SAAQ, là.
M. Nadeau-Dubois : Parce que
ça dit… ça parle, quand même… «en ayant recours à une technologie».
M.
Caire
: Oui,
oui, c'est ça.
M. Nadeau-Dubois : Donc, ça ne
fait pas référence à une interaction humaine, par exemple, tu sais, on parle de
technologie.
M.
Caire
: Non,
non, je ne m'en vais pas à un guichet de la… on s'entend, là, je ne suis pas au
guichet de la SAAQ, là. Je m'en vais sur le site de la SAAQ, je renouvelle mon
permis de conduire, je dois transmettre ma photo, je dois donner… je dois
passer par l'application de paiement, donc, est-ce… pour payer mon permis de
conduire. Et donc, avec… je transmets ma photo, bien, on s'entend que la photo,
c'est biométrique, biométrique, profilage. Est-ce que je peux désactiver cette…
Ce n'est pas la même… c'est parce que ce n'est pas la même finalité, là, quand
on collecte de l'information versus quand on offre un service… un site où on
offre un service plus général.
M. Nadeau-Dubois : Tu sais, je
comprends, mais ça me semble… il me semble que ce n'est pas écrit dans la loi,
ça, tout le contexte que le ministre rajoute. Moi, ce que je lis, à 65.0.1,
c'est «En plus des informations devant être fournies suivant
l'article 65». Quand on est dans des… ça semble être un cas spécifique de…
du cas général, pas un autre cas. Ça… Moi, ce que je lis, c'est : Il y a,
à l'article 65, des dispositions pour prévoir quelles…
M.
Caire
: Ce
que je dois vous donner comme informations.
M. Nadeau-Dubois : Exactement,
quelles informations doivent être données. Et là, on dit : Cas spécifique
de ce cas plus général, 65.0.1, donc, de manière générale, vous devez
communiquer les informations suivantes dans toutes les situations où il y a
collecte de renseignements personnels.
M.
Caire
: C'est
ça.
M. Nadeau-Dubois : 65.0.1 moi,
je le comprends comme un cas plus spécifique où, ah! attention, là, quand on
est dans des situations spécifiques où il y a technologie qui permet
d'identifier, de localiser ou de profiler, là, on rajoute une exigence de plus,
puisque c'est un cas plus... puisqu'on est dans des situations qui peuvent être
potentiellement plus invasives, et on ajoute... Là, il faut informer qu'il y a
une technologie comme celle que je viens de décrire, et vous devez dire aux
gens comment désactiver la localisation si ça ne fait pas leur affaire.
M.
Caire
:
Voilà.
M. Nadeau-Dubois : Mais le
concept de confidentialité par défaut, c'est le contraire. C'est qu'on devrait
dire aux gens : Il y a une technologie, vous...
M. Nadeau-Dubois : ...et on
ajoute : Là, il faut informer qu'il y a une technologie comme celle que je
viens de décrire et vous devez dire aux gens comment désactiver la localisation
si ça ne fait pas leur affaire.
M.
Caire
:
Voilà.
M. Nadeau-Dubois : Mais le
concept de confidentialité par défaut, c'est le contraire. C'est qu'on devrait
dire aux gens : Il y a une technologie, vous entrez dans un environnement
numérique qui va vous profilez, si vous voulez que ce soit le cas, activez-le.
La logique de la confidentialité par défaut, il me semble que c'est celle-là,
alors que là, on dit non, ce qu'on va dire aux gens, c'est : Nous allons
vous profiler, si vous ne voulez pas que ça arrive, désactivez-le. Il me semble
qu'on est en train de renverser la logique de la confidentialité par défaut
dans un cas spécifique de la règle plus générale.
M.
Caire
: Non,
mais je ne dis pas... Mais comprenons-nous bien, puis je vais laisser
Me Miville-Deschênes... mais, oui, ce que je vous dis, c'est que c'est le
contexte qui est différent dans le sens où, dans un premier cas, c'est un site
de navigation, de service, et on veut s'assurer que vous êtes... dans cette
navigation-là, dans cet univers numérique là, on veut s'assurer qu'ils vous
offrent le meilleur niveau de sécurité. Dans le cas précis ici, c'est que je
suis dans une collecte d'information. Je me sers d'un outil. Cet outil-là, qui
me permet de collecter cette information-là, peut aussi me permettre de faire
le profilage, la, la, la. Si vous ne voulez pas, je dois vous en informer et
vous donner l'opportunité de le désactiver. Bon, est-ce qu'on aurait pu
dire : Je le désactive puis je te demande de l'activer?
M. Nadeau-Dubois : Bien, il me
semble que c'est ça, la logique de... ma compréhension de la logique de la
confidentialité par défaut, c'est qu'il faut qu'il y ait un geste actif de la
personne...
M.
Caire
: Mais
ça, je le comprends.
M. Nadeau-Dubois : ...pour
l'activer.
M.
Caire
: Je
veux juste... pour les fins de la discussion, je veux juste que mon collègue
comprenne qu'on n'est pas dans le même contexte. On n'est pas dans le contexte
où, de façon candide, j'entre dans un site puis là, je me fais ramasser de
l'information personnelle à mon insu, puis ça, je ne veux pas ça.
M. Nadeau-Dubois : Oui, oui,
mais ça...
M.
Caire
: Mais
ce que je veux dire, c'est qu'il n'y a quand même pas la notion, ici, de :
ceci va se passer à votre insu. C'est pour ça, je dis : Ce n'est pas la
même chose. Maintenant, on peut avoir le débat. Est-ce qu'on veut pousser plus
loin puis dire : Bien, il faut qu'il soit désactivé par défaut puis on va
vous demander de l'activer? Là-dessus, je vais demander à
Me Miville-Deschênes de peut-être compléter parce qu'il y a peut-être des
raisons juridiques à tout ça, mais ce que je veux dire, c'est qu'on n'est pas
dans le même univers, ce n'est pas quelque chose qui va être fait à votre insu.
M. Nadeau-Dubois : Non, je
comprends parce qu'on est dans... puisqu'il y a collecte, il y a eu demande de
consentement.
M.
Caire
: C'est
ça.
• (17 heures) •
M. Nadeau-Dubois : Mais je
vais donner un exemple. Reprenons notre fameux exemple de l'application de la
SAQ, là. Moi, je m'inscris volontairement à cette application-là, je m'ouvre un
compte. Donc, j'inscris déjà mon courriel, je me crée un mot de passe, je me
crée un profil, bon. Donc, j'ai déjà consenti à l'utilisation de l'application
puis j'ai déjà donné certaines informations, à commencer, toujours bien, par
mon nom, mon courriel pour m'ouvrir un compte. Bon...
17 h (version non révisée)
M. Nadeau-Dubois : ...je
m'inscris volontairement à cette application-là, je m'ouvre un compte. Donc,
j'inscris déjà mon courriel, je me crée un mot de passe, je me crée un profil,
bon. Donc, j'ai déjà consenti à l'utilisation de l'application puis j'ai déjà
donné certaines informations, à commencer, toujours bien, par mon nom, mon
courriel pour m'ouvrir un compte.
Bon, honnêtement, tu sais, je ne connais
pas comment est programmée la fameuse application qu'on utilise comme exemple
depuis tantôt, mais, si j'arrive dans une situation où je fais une certaine
action sur l'application, par exemple un achat... Non, en fait, je vais prendre
un exemple qui existe vraiment. Je veux savoir si un produit est disponible
dans une succursale près de moi, et cette fonctionnalité-là, elle existe sur l'application.
Je clique «Informez-moi s'il y en a proche de moi». Pour me fournir cette information-là,
l'application doit me géolocaliser, on en convient? Le principe de plus haut
niveau de confidentialité par défaut, ce qu'il veut dire, c'est que l'application
devrait me dire : Pour faire ça, je vais devoir te géolocaliser. Et là il
faudrait que moi, je clique «Oui, géolocalise-moi». L'impression que j'ai. Et
ça serait... Et ça, tout le petit récit que je viens de faire, ce serait
respectueux du principe de «privacy by design».
Moi, ce que je lis là, c'est que ce n'est
pas exactement ça. Ce que je lis là, c'est : Il faudrait que l'application
m'informe des moyens pour désactiver la fonction de géolocalisation, et ça
pourrait se faire donc sans que je fasse un geste volontaire pour l'accepter. Il
pourrait me dire : Si vous ne voulez pas qu'on vous géolocalise, allez le
désactiver dans x, y, z, le menu à droite, à gauche, trois onglets, machin,
machin, machin, ce qui représenterait un obstacle supplémentaire pour
l'utilisateur.
Donc, et c'est tout ça, la logique du
«privacy by design», c'est de dire : Il faut que ça soit l'option la plus
simple, la plus facile par défaut, comme ça, la personne qui a le moins de
littéracie numérique, qui s'y connaît moins dans l'environnement, si elle
manipule mal l'objet, ça, il n'y a pas de risque, on minimise les risques que
ces technologies soient actives de manière plus ou moins consciente.
Donc, est-ce qu'en vertu du «privacy by
design» on ne devrait pas juste venir faire cette précision subtile, j'en
conviens? Mais puisqu'on ne sait toujours pas, bien, quelles applications vont
être développées par les organismes publics dans les 10, 15, 20, 30 premières
années, être plus clairs que clairs sur le fait que : Non, non, vous ne
demandez pas aux gens de le désactiver, vous demandez aux gens de l'activer, la
fonction, parce qu'elle est plus invasive. C'est un peu ça, ma question.
M.
Caire
: Bien,
la réponse à ça, c'est oui, M. le Président. Puis c'est ce que je disais
tantôt, à l'article 14, on pourra le modifier. La seule chose que moi, je
voulais faire, ce n'était pas de dire : C'est une mauvaise idée, ne
faisons pas ça. C'est dire que ce n'est pas un même contexte, le contexte est
différent. Puis la raison pour laquelle on l'a libellé comme ça, c'est qu'on
est vraiment dans...
Puis là on le lit dans 65, là. Il faut
lire 65. Donc, 65, je communique avec vous, je le fais dans un but avoué de
collecter des informations sur vous...
M.
Caire
:
…contexte. Le contexte est différent, puis la raison pour laquelle on l'a
libellé comme ça, c'est qu'on est vraiment dans… Puis là, on lit dans 65, là,
il faut lire 65. Donc, 65, je communique avec vous, je le fais dans un but
avoué de collecter des informations sur vous, et je dois vous dire, bon, tout
ce que 65 prévoit, les six paragraphes de 65 : à qui, s'il y a un tiers,
pourquoi, qu'est-ce que je vais faire avec ça, ça va être… Alors, c'est tout
ça, la mise en contexte, là. On n'est pas dans le contexte où je m'en vais sur
le site de la SAQ, là, on est dans un contexte où vous devez renouveler votre
permis de conduire, il arrive à échéance — puis là je prends cet
exemple-là, ce n'est peut-être pas le meilleur exemple, mais bon — et
là je dois collecter de l'information sur vous, je dois collecter des
renseignements biométriques, parce que je dois avoir votre photo sur le permis
de conduire, et donc je vous dis, je dois vous dire, si j'utilise une
technologie pour collecter ces informations-là, que cette technologie-là peut
m'amener aux éléments dont nous avons discuté, je dois vous en aviser, donc je
ne peux pas le faire à votre insu.
Alors, ceci étant, M. le Président, puis
je l'ai dit à 14, là, je ne suis pas hostile à ce qu'on le modifie, mais il faut
juste comprendre qu'on n'est pas dans le même contexte, ce n'est pas la même
finalité, et dans 14 on voulait s'assurer qu'il n'y avait pas quelque chose qui
se faisait à l'insu de la personne qui va naviguer, alors que, ça, on le sait,
que ça ne se fera pas à son insu. Maintenant, est-ce qu'on pourrait aller plus
loin et dire qu'on doit l'en aviser et lui permettre de l'activer? Bien, je ne
suis pas hostile à ça, M. le Président, là, puis, si les collègues veulent
soumettre un amendement dans ce sens-là, je leur dis d'emblée que je ne serai
pas hostile à ça du tout, là. Mais on n'est pas dans le même contexte, et c'est
sûr qu'il faut comprendre que ça a un impact pour nos organismes publics, parce
qu'on change la dynamique, mais je ne pense pas que ce soit dramatique.
Le Président (M.
Bachand) :M. le député de Gouin.
M. Nadeau-Dubois : Oui, bien, c'est
ça. C'est que je pense qu'une des raisons qui expliquent le niveau
d'abstraction de la conversation qu'on a en ce moment, c'est qu'on essaie de
mettre des règles pour des technologies qui existent, mais on essaie aussi de
se dire : Bon. Qu'est-ce qui pourrait exister comme technologie
prochainement?, puis ça nous… Et c'est pour ça qu'on tourne autour du même
exemple. Il faudrait se donner le défi d'en trouver un autre pour notre
prochaine séance de commission, mais… parce qu'on pourrait créer des
imbroglios. Mais, moi, je me dis : Ce n'est pas impossible de penser que
les organismes publics développent des technologies ou des applications dans leur
interaction avec les citoyens et citoyennes où il y a par exemple de la
localisation plus fréquente. C'est : Trouvez un point de service près de
chez vous. Grâce à votre profil de consommation, nous allons vous aider à… on
va personnaliser le service à la clientèle quand vous allez appeler dans tel
organisme public. Je ne sais pas, moi tu sais. Bon. Ça fait que c'est… Puis
c'est… ça qu'on parle quand on parle de profilage, de localisation. Bon. C'est
dans ces cas-là où c'est encore plus important, il me semble, le «Privacy by
Design», parce que c'est encore plus invasif qu'une simple… qu'une collecte
générale de renseignements…
M. Nadeau-Dubois : …on va
personnaliser le service à la clientèle quand vous allez appeler dans tel organisme
public. Je ne sais pas moi, tu sais. Bon, ça fait que c'est qu'on parle quand
on parle de profilage, de localisation, bon. C'est dans ces cas-là où c'est
encore plus important, il me semble, le «privacy by design», parce que c'est
encore plus invasif qu'une simple… qu'une collecte générale de renseignements personnels.
Donc, je vais déposer l'amendement pour qu'on continue la conversation. Ça a
été envoyé, M. le Président.
Le Président (M.
Bachand) : Si vous voulez en faire la lecture, on va le mettre
sur Greffier, s'il vous plaît.
M. Nadeau-Dubois : Parfait.
Donc : Remplacer, dans le deuxième paragraphe de l'article 65.0.1 proposé
par l'article 18 du projet de loi, «désactiver» par «activer».
Le Président (M.
Bachand) : Parfait. Donc, il va être sur Greffier dans quelques
instants si ce n'est pas déjà fait.
M. Nadeau-Dubois : Simple de
même.
M.
Caire
: On va
prendre une petite minute, M. le Président.
Le Président (M.
Bachand) : O.K., on va suspendre quelques instants. Merci
beaucoup.
(Suspension de la séance à 17 h 7)
17 h 30 (version non révisée)
(Reprise à 17 h 43)
Le Président (M.
Bachand) :À l'ordre, s'il vous plaît! La
commission reprend ses travaux. M. le ministre, s'il vous plaît.
M.
Caire
: Après
des débats... O.K.
Le Président (M.
Bachand) : Donc, interventions sur l'amendement?
M. Tanguay
: O.K., à
quoi, là?
M.
Caire
: À l'amendement.
Le Président (M.
Bachand) : À l'amendement du député de Gouin.
M. Nadeau-Dubois : C'était le
passage de la deuxième opposition comme opposition officielle à l'Assemblée
nationale.
M.
Caire
: Tant
que ce n'est pas le gouvernement, moi, ça va.
M. Nadeau-Dubois : Non,
c'était l'amendement à mon amendement, pour le bénéfice de tout le monde qui en
a discuté, était de remplacer «désactiver» par «activer» dans
l'article 65.0.1, là, au deuxième... le cas échéant pour... Donc, ça
deviendrait : «activer les fonctions permettant d'identifier, localiser ou
d'effectuer un profilage».
M. Tanguay
: O.K. Maintenant,
le débat... Parfait, c'est un pas dans la bonne direction. Maintenant, l'impact
du «cas échéant», quant à la valeur systémique ou systématique de «activer». Il
y a la Commission d'accès à l'information qui, dans le contexte où c'était
marqué : «le cas échéant pour désactiver», disait : Bien là, «le cas
échéant», ça veut dire... quand ça sera offert, ça veut dire que, dans certains
cas, ça ne sera pas offert. On le disait : retirer «le cas échéant» parce
que ça devrait être offert partout. Alors, des moyens offerts pour activer, on
pourrait peut-être terminer notre cheminement en enlevant «le cas échéant».
M.
Caire
: Non,
ça, là-dessus, sur le «activer, désactiver», j'ai fait... Mais «le cas
échéant», c'est qu'il va y avoir des applications où ce ne sera pas possible.
M. Tanguay
: O.K. Ça
fait que, ça, on est «back to square one».
M.
Caire
: Ça
fait que... Puis là, puis c'est le débat que nous avons eu sur le «activer, désactiver»,
il pourrait arriver que 63.6.1 ne couvre pas tous les cas de figure, notamment
une technologie où ce ne serait pas possible, auquel cas, là, avec la notion de
«activer», il faut que je te donne «le cas échéant, la possibilité de
l'activer».
M. Tanguay
: O.K.
Autrement dit, l'amendement du collègue de Gouin est un pas dans la bonne
direction. On n'a pas 100 %, mais en changeant...
M.
Caire
: …une
technologie où ça ne serait pas possible, auquel cas, là, avec la notion de
«activer», il faut que je te donne, le cas échéant, la possibilité de
l'activer.
M. Tanguay
: O.K.
Autrement dit, l'amendement du collègue de Gouin est un pas dans la bonne
direction. On n'a pas 100 %, mais en changeant «désactiver» par «activer»,
ça veut dire, à ce moment-là, que, quand c'est technologiquement possible, il
faut qu'on puisse… qu'on se fasse demander de l'activer, là, qu'on se fasse
demander…
M.
Caire
: Puis
ce que ça veut dire, c'est que, par défaut, je vais le désactiver. Donc, c'est
ça, «le cas échéant», c'est si c'est possible, si ça se fait, il sera
désactivé, et je vais vous offrir la possibilité de l'activer. Si j'enlève «le
cas échéant», ça veut dire qu'il faut que, dans toutes les circonstances, ce
soit possible, puis si, là, l'application ne le permet pas, bien, on fait quoi.
M. Tanguay
: Quelle
surveillance va être faite pour que, de bonne foi — tout le monde est
présumé de bonne foi — ce soit technologiquement possible de demander
pour activer les fonctions, mais que l'organisme dit : Ah! c'est marqué,
«le cas échéant», moi, je ne le demande pas? Quel sera…
M.
Caire
: Bien,
c'est la beauté de l'amendement du collègue de Gouin parce que voilà, hein?
Non, mais je suis bon prince quand même. Non, mais, sérieusement, parce que,
«le cas échéant, de l'activer», ça, ça veut dire que, moi, comme organisme, là,
c'est désactivé. Donc, mon intérêt de recueillir cette information-là par un
moyen technologique, je ne l'ai pas, à moins que vous alliez l'activer. Ça fait
que l'incitatif est plus du côté de l'utilisateur que de celui de qui on
collecte les informations.
M. Tanguay
: Je
reprends votre même exemple, vous êtes l'organisme et vous voulez… vous êtes
technologiquement capable d'aller chercher cette fonction-là, qu'est-ce qui va,
mon point est très, très terre à terre, là, qu'est-ce qui va vous… parce que,
oui, si vous avez l'option, vous vous dites : Moi, j'ai une obligation de
le demander,si je suis capable de le demander. Si je le veux et que je suis
technologiquement capable d'aller chercher le consentement pour que ce soit
activé, je dois faire ça, mes obligations en vertu de la loi. Mais il va
falloir que mon organisme soit tout à fait de bonne foi pour me dire :
Bien, je vais le collecter sans demander le consentement, de l'activer, même si
je sais… ou prétendant que je ne peux pas le faire autrement technologiquement.
M.
Caire
: Non,
non, non, je comprends le point du député. Non, non, non, ce que la loi dit,
c'est que : Je dois vous informer, premièrement, je dois vous informer que
j'ai recours à cette technologie-là. Et ce que ça dit, c'est que je dois vous
indiquer comment… parce que ce paramètre-là…
M.
Caire
:
...non, non, non, je comprends, je comprends le point du député. Non, non, non,
ce que la loi dit, c'est que je dois vous informer... premièrement, je dois
vous informer que j'ai recours à cette technologie-là, et ce que ça dit, c'est
que je dois vous indiquer comment... Parce que ce paramètre-là doit être
désactivé. Puis on le lit dans la perspective de 63.6.1, qui dit que je dois
offrir le plus haut niveau de sécurité à la navigation, dans le paramétrage.
Donc, ici, je dis que je dois aussi vous indiquer comment l'activer, le cas
échéant, le cas échéant étant si cette possibilité-là, l'application le permet.
Mais ce n'est pas si l'application...
C'est parce que l'application ne peut
pas... Tu sais, vous ne pouvez pas arriver puis dire : Bien non, mais
c'est parce que moi, je n'ai pas le choix. Je veux dire, c'est actif, puis ça
ne se désactive pas. Non, parce que... Puis c'est le débat que nous avons eu.
L'état d'un paramètre, ça se change, c'est sûr. Donc, la question est de savoir
est-ce que, par défaut, on veut le mettre dans un état inactif ou on veut le
mettre dans un état actif. Ici, l'interprétation à faire, au vu et au su de
63.6.1, combiné à ça, c'est que l'état, par défaut, on souhaite qu'il soit
inactif, et si une telle possibilité existe. Si elle n'existe pas, je ne peux
pas vous le demander, elle n'existe pas. C'est... Il n'y a pas... Ce
paramètre-là n'existe pas. Ce n'est pas paramétrisable. Ça, ça se peut que ce
ne soit pas paramétrisable, ce n'est pas impossible.
Et c'est... d'où la proposition des
juristes de dire actif ou... activer ou désactiver. Parce qu'ils se
disaient : Bien, c'est parce que là, je veux couvrir l'ensemble des cas.
Et je disais : Si je peux l'activer, je peux le désactiver. Donc, ce n'est
pas comme ça qu'on va couvrir l'ensemble des cas. Mais la notion de cas
échéant, là, elle est... elle prend encore plus d'importance, au contraire. Parce
que là, je dis d'entrée de jeu : Si une telle possibilité existe, ce
paramètre-là doit être inactif, et ce que... je dois poser un geste concret
envers vous pour le rendre actif. Donc, ça, je dois vous informer que ça existe
et je dois vous informer comment le rendre actif, ce que je ferai. Si cette
collecte d'information là, elle m'est nécessaire, bien là j'ai, moi, le fardeau
de vous indiquer comment le faire, de vous le demander. Ce qui ajoute une
couche de plus parce que ça devient une forme de consentement explicite.
• (17 h 50) •
M. Tanguay
: À la
collecte.
M.
Caire
: À la
collecte.
M. Tanguay
: Et pas à
l'utilisation. Parce que plus tard, on pourra en parler, dans le dernier...
Plus bas, là, dans la définition de profilage, on parle de collecte et
utilisation. On pourra en reparler. Mais là je vais rester sur l'amendement du
collègue.
Le Président (M.
Bachand) : M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : Bien, je
salue l'ouverture du ministre puis je pense que...
M.
Caire
:
...explicite.
M. Tanguay
: À la
collecte.
M.
Caire
: À la
collecte.
M. Tanguay
: Et pas à
l'utilisation. Parce que plus tard, on pourra en parler, dans le dernier...
plus bas, là, dans la définition de profilage, on parle de collecte et utilisation,
on pourra en reparler, mais là je vais rester sur l'amendement du collègue.
Le Président (M.
Bachand) :M. le député de Gouin, s'il
vous plaît.
M. Nadeau-Dubois : Bien, je
salue l'ouverture du ministre puis je pense que c'est normal qu'on prenne le
temps de bien comprendre ce qu'on est en train de faire, là. Parce que je l'ai
répété à plusieurs reprises puis j'ai l'occasion de le faire encore, là, tu
sais, c'est des enjeux qui sont nouveaux, technologiquement, puis on écrit la
loi pour encore de nombreuses années.
La Commission d'accès à l'information
avait parlé du problème de l'expression, «le cas échéant», puis ce qu'elle nous
disait, c'est : «Les mots «le cas échéant» laissent entendre qu'il n'est pas
obligatoire pour une entreprise ou un organisme public d'offrir aux personnes
la possibilité de désactiver ces fonctions.» Eux recommandaient qu'on retire le
mot «le cas échéant», parce qu'ils disaient : Il faut que dans tous les
cas... sauf dans certains cas exceptionnels, ça devrait être permis de
désactiver.
M.
Caire
: Mais
si je peux me permettre, M. le député...
M. Nadeau-Dubois : Là, ce
qu'on... en changeant désactiver pour activer...
M.
Caire
: On
applique la même logique.
M. Nadeau-Dubois : On vient de
faire... on vient d'atteindre le même objectif que celui de la Commission
d'accès à l'information...
M.
Caire
: Absolument,
mais je réitère...
M. Nadeau-Dubois : ...et dans
ce cas, ça devient plus problématique de conserver l'expression «le cas échéant»,
puisque l'idée, c'est de dire : Si c'est possible de demander l'activation
de ces fonctions, vous devez le faire.
M.
Caire
: Bien,
oui, puis je n'y vois pas d'objection, mais c'est surtout que l'interprétation..
parce que, là je comprends qu'il pouvait potentiellement, selon la CAI, y avoir
un problème d'interprétation. Là, je pense que ce problème d'interprétation là
ne se pose plus, parce que... «le cas échéant» était, du point de vue de ce que
nous, on voulait faire, était vraiment lorsque la technologie le permet.
C'était ça, le point, bon, en phrasé juridique.
Maintenant, comme il s'agit d'activer,
bien, on comprend qu'il n'y a plus de possibilité pour un organisme de
dire : Bien, je vais l'activer en douce puis... non, là, par défaut, tu
dois le désactiver. C'est ça, la logique de l'article.
Le Président (M.
Bachand) :Intervention sur l'amendement
du député de Gouin? S'il n'y a pas d'autre intervention, nous allons procéder à
sa mise aux voix. Mme la secrétaire, s'il vous plaît.
La Secrétaire
: Pour,
contre, abstention, M. Nadeau-Dubois (Gouin)?
M. Nadeau-Dubois : Pour.
La Secrétaire
: M.
Caire (La Peltrie)?
M.
Caire
: Pour.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lévesque
(Chapleau)?
M. Lévesque (Chapleau) : Pour.
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Tanguay (LaFontaine)?
M. Tanguay
: Pour.
La Secrétaire
: M.
Bachand (Richmond)?
Le Président (M.
Bachand) : Abstention. Donc, l'amendement est adopté. Donc,
nous sommes toujours à l'article introduit... M. le député de LaFontaine.
M. Tanguay
: Oui.
Merci, M. le Président. À la fin de 65.0.1, le profilage s'entend de la
collecte — on vient d'en parler ad nauseam, de la collecte — et
de l'utilisation de renseignements, bon. Donc, j'en suis au niveau de
l'utilisation de renseignements personnels afin d'évaluer certaines
caractéristiques d'une personne physique, notamment — puis là on
donne des exemples, notamment, c'est des exemples — à des fins
d'analyse du rendement au travail... Ça, j'imagine que c'est le rendement au
travail, évidemment, des...
M. Tanguay
: ...parler
ad nauseam de la collecte — et de l'utilisation de renseignements — donc,
j'en suis au niveau de l'utilisation — de renseignements personnels
afin d'évaluer certaines caractéristiques d'une personne physique,
notamment — puis là on donne des exemples, notamment, c'est des
exemples — à des fins d'analyse du rendement au travail...» Ça,
j'imagine que c'est le rendement au travail, évidemment, des personnes qui
travaillent au sein d'organisme public.
M.
Caire
: Oui,
oui.
M. Tanguay
: Donc, pour
des fins autres que pour servir le citoyen qui nous a données, on veut utiliser
ça pour tester des affaires puis atteindre d'autres objectifs que de servir le
citoyen. Alors : «...des situations économiques, de la santé, des
préférences personnelles, des intérêts ou du comportement de cette personne.»
Ne pourrions-nous pas ajouter, M. le
Président, un amendement qui dirait textuellement ce qui suit : «Le
consentement de la personne est nécessaire pour l'utilisation de renseignements
personnels à des fins de profilage.» Parce que là c'est des fins autres. Et je
pourrais, moi, pouvoir décider de ne pas être dans des statistiques qui vont
analyser mon comportement, notamment.
M.
Caire
: Bien,
je vous dirais, M. le député, que l'amendement qu'on vient d'adopter... En
fait, dans l'état initial, je vous aurais dit : Oui, effectivement,
regardons ça. Mais avec l'amendement du député de Gouin, le fait d'activer les
technologies qui me permettent de faire ça, pour moi, puis je laisserai Me Deschênes
me corriger, mais pour moi, c'est un consentement explicite.
C'est un peu ce que je vous disais tantôt,
M. le député, c'est qu'on vient effectivement de faire d'une pierre deux coups,
dans le sens où on dit à la personne : Je vais faire ça. Si tu es d'accord,
vas à tel endroit, active l'application. Et ça, ça devient un consentement, et
un consentement explicite. Puis ça relève de ce qu'on disait à 65, en
disant : Si tu me donnes les informations, dans le contexte où je te dis
pourquoi je les collecte, à quelles fins je les collecte, bien, ça revient à me
donner le consentement de les utiliser, ce pour quoi je t'ai dit que je les
collectais. Donc, il y a une...
M. Tanguay
:
Excusez-moi. Quand on dit à 65 «les fins auxquelles ces renseignements sont recueillis»,
je ne... on ne peut pas, je crois, le lire comme étant l'obligation de tout
lister les fins à titre de profilage pour les lesquelles j'utiliserais
l'information. Les fins de 65, 2°, là, paragraphe 2°, c'est : Je collecte
tels, tels, tels renseignements, moi, organisme public, vous concernant, puis
je vais utiliser ça afin de vous émettre un permis, afin de vous donner une
carte d'assurance maladie, tati, tata. Mais les fins de profilage, je pense, ne
seront jamais divulguées en vertu de 65, 2°, parce qu'elles sont multiples,
elles sont changeantes et elles sont autres, par définition...
M. Tanguay
: ...de vous
donner une carte d'assurance maladie, tati, tata. Mais les fins de profilage,
je pense, ne seront jamais divulguées en vertu de 65, 2°, parce qu'elles sont
multiples, elles sont changeantes et elles sont autres, par définition.
M.
Caire
: Bien,
en fait, c'est parce que le paragraphe 1° et 2°... Vous dites : Moi, je...
Donc, en plus des informations, «si vous recueillez des renseignements
personnels auprès de personne concernée en ayant recours aux technologies
comprenant des fonctions permettant d'identifier... de l'identifier, de la
localiser ou d'effectuer du profilage de celle-ci, on doit l'informer que...»
Je dois vous informer que je fais ça, puis non seulement je dois vous informer
que je fais ça, mais vous devez aller, puis pour reprendre l'exemple du député
de Gouin, vous devez aller dans tel onglet, à telle case, activer telle case à
cocher pour me permettre d'activer ces outils-là qui vont me permettre de faire
ce dont je viens de vous informer.
M. Tanguay
: Autrement
dit, puis je suis ministre, je suis le ministre, jusqu'à un certain point,
autrement dit, puis là, on pourrait suivre totalement, c'est qu'en activant de
façon proactive, moi, je suis l'utilisateur, là, on a changé «désactivé» par
«activé», en activant, comme dirait Jean Lapierre, là, j'achète un cochon dans
un sac, je ne l'ai pas vu, je ne sais pas ce qu'on va faire avec ça, mais on va
faire du profilage.
M.
Caire
: Non,
non, non. Parce que moi, je vous ai informé de ça, là. Ça, c'est paragraphe 1°,
je vous informe.
M. Tanguay
: Mais
l'utilisation pourra être...
M.
Caire
: Non,
mais je vous dis : Écoutez, là, moi, là, je collecte ces informations-là,
bon, 65, je décline le pourquoi, le qui, le quand, le où, et en plus, je vous
le dis, là, les outils que j'utilise, ça ve me permettre de peut-être vous
identifier, de faire du profilage et ou de vous géolocaliser. Et là, dans la
loi, puis là, vous allez me dire : Tout le monde ne lira pas la loi, là,
je suis bien d'accord, mais quand même, ça me donne les exemples de ce que
c'est le profilage. Mais moi, je vous informe de ça, là.
M. Tanguay
: C'est ça,
mon point, profilage... c'est «sky is the limit», le profilage, l'utilisation.
M.
Caire
: Je
comprends, mais ça reste que vous avez l'opportunité de ne pas l'activer puis
de dire : Bien, écoute, moi, non, je ne suis pas sûr que... je ne sais pas
trop, là. Tu veux faire du profilage? Parce que ça, je vous le dis, là :
C'est du profilage, c'est de la géolocalisation, c'est de l'identification. Ça,
paragraphe 1°, je vous dis que j'ai recours à cette technologie-là. Je vous
informe comment l'activer. Vous ne l'activez pas? Parfait. Vous l'activez?
Bien, vous me posez trois, quatre questions avant, là : O.K., tu vas faire
quoi avec ça, là?
• (18 heures) •
M. Tanguay
: Parce que
le collègue de Gouin avait un autre exemple aussi. Si on veut sortir de la SAQ,
l'exemple, le cas échéant, d'une passe de transport en commun électronique, qui
va être une mine d'informations extraordinaire pour la collectivité, savoir si,
dès le circuit... Avant, rappelez-vous, on était sur le quai de gare puis on
faisait des sondages : Bonjour, madame. Bonjour, monsieur. D'où vous
venez? Quelles sont vos habitudes de transport? Là, ça va être en temps réel si
vous cochez «activé», puis ça va être extraordinaire, mais il y a des enjeux,
évidemment, de vie privée là-dedans aussi, là. Mon point est que, tel
qu'illustré, les utilisations de profilage...
18 h (version non révisée)
M. Tanguay
: …on faisait
des sondages : Bonjour, madame. Bonjour, monsieur. D'où vous venez?
Quelles sont vos habitudes de transport? Là, ça va être en temps réel si vous
cochez «activé», puis ça va être extraordinaire, mais il y a des enjeux, évidemment,
de vie privée là-dedans aussi, là. Mon point est que tel qu'illustré les utilisations
de profilage seront tellement… puis les exemples, je pense que les exemples ne
sont pas anodins et ne sont pas candides. Ça pourrait même être du profilage,
pas pantoute pour dire : Hé! il y a du monde sur cette ligne-là, le matin,
là, il va falloir mettre deux autobus à l'heure, parce qu'il y a réellement
trop de monde, ça, je vais embarquer à 100 milles à l'heure là-dessus. Mais ça
pourrait même être pour le comportement, oui, de cette personne, mais ça
pourrait être pour des caractéristiques à des fins de rendement au travail, tu
sais, quand je dis l'analyse du rendement au travail, des personnes qui
travaillent, tout ça, là, c'est réellement, là, 365 degrés, là.
M.
Caire
: Bien,
en tout cas, là-dessus, je suis moins d'accord avec le collègue, mais comme je
dis, il n'en demeure pas moins que le fait d'avoir la possibilité ou non
d'activer les technologies en question, pour moi, c'est l'arme ultime. C'est
que, dans le fond, tout le reste, oui, on peut, mais, tu sais…
M. Tanguay
: Mais rien
n'empêcherait, ceci dit… mais rien n'empêcherait, de façon spécifique, de
demander l'autorisation spécifique en vue d'améliorer le service de transport,
nous permettez-vous, de façon spécifique… on peut, de façon ad hoc, aller
chercher un organisme… pourrait construire une façon d'aller chercher la
donnée.
M.
Caire
: C'est
juste que, dans les circonstances où, vraiment, là, on active, de le mettre,
dans la loi, parce que je me dis, il y a des cas, puis c'est là que je vais
rejoindre mes collègues juristes…
M. Tanguay
: Vous
réconciliez avec eux autres, parce que, par contre, ça brassait, puis on s'est
dit : Hé! on n'interviendra…
M.
Caire
: On a
des discussions cordiales mais viriles, mais cordiales. Mais, bref, tout ça
pour dire, M. le Président, que là je pense, compte tenu du fait qu'on a
quasiment donné l'arme nucléaire, là, le reste, je me dis : Il me semble
qu'on commence à rajouter des couches, puis là, c'est là que ça devient
bureaucratique, ça devient lourd, ça devient… Ça fait que, dans le fond, le
contrôle ultime, c'est la personne qui l'a, en disant : Bien, moi, je ne
vais pas activer ça, je ne sais pas qu'est-ce que tu vas faire avec ça, là, ça
fait que je ne l'active pas.
Le Président (M.
Bachand) :Député de Gouin? O.K. Donc, un
vote. M. le député de Gouin, on va suspendre pour vous permettre d'aller voter.
Merci beaucoup.
(Suspension de la séance à 18 h 3)
(Reprise à 18 h 14)
Le Président (M.
Bachand) :À l'ordre, s'il vous plaît! La commission
reprend ses travaux. Interventions? M. le député de LaFontaine, s'il vous plaît.
M. Tanguay
: M. le
Président, on est... là, on est sur l'article 18, qui introduit 65.0.1 puis
65.0.2, c'est ça? On est... On ne saucissonne pas les deux, là. La conversation
est sur les deux. Moi... Puis il n'y a pas d'autre article. Moi, ça me va, il
n'y a pas d'autre commentaire.
Le Président (M.
Bachand) :M. le député de Gouin.
M. Nadeau-Dubois : Nous
parlions de profilage, d'identification et de localisation, tout à l'heure,
sujets bien importants à la fois dans le public, puis on aura des discussions
similaires dans le privé, là... dans le privé... c'est-à-dire dans la partie du
projet de loi qui porte sur le secteur privé. Dans son mémoire, la Commission
d'accès à l'information recommande plusieurs choses relativement aux dispositions
qui portent sur le profilage. Une de ses recommandations, c'est d'interdire carrément
l'utilisation de renseignements personnels sensibles à des fins de profilage.
J'ai déposé un amendement, un peu plus tôt
dans l'étude détaillée, pour préciser la définition de ce qu'est un
renseignement personnel sensible...
M. Nadeau-Dubois : ...de renseignements
personnels sensibles à des fins de profilage. J'ai déposé un amendement, un peu
plus tôt dans l'étude détaillée, pour préciser la définition de ce qu'est un renseignement
personnel sensible. Et ce que recommande la CAI, pour des raisons qui, moi,
m'apparaissent assez évidentes, là, c'est d'interdire l'utilisation de renseignements
sensibles à des fins de profilage, sauf en cas de consentement exprès de la personne
concernée ou dans les cas où la loi l'autorise, expressément.
J'aimerais savoir... le ministre a dit à plusieurs
reprises qu'il avait eu des conversations avec la CAI, qu'il trouvait l'avis de
la CAI vraiment important dans l'élaboration du projet de loi, je voulais
savoir quelles sont ses réflexions sur cette recommandation de la CAI. Puis, en
toute transparence, on a un amendement qu'on pourrait présenter pour donner
suite à cette recommandation-là, qui n'est pas une porte fermée à double tour,
hein, mais qui est de dire : Par défaut, c'est interdit de profiler avec
des renseignements sensibles, tels que nous les avons collectivement ici
définis un peu plus tôt, sauf quand il y a un csonsentement exprès. Qu'en pense
le ministre?
M.
Caire
: Bien,
je vous dirais que j'ai... peut-être à cause de mon mandat, j'ai peut-être un
peu moins d'a priori. Je m'explique, M. le Président. Ce que nous vivons, au Québec,
présentement, ce n'est pas une utilisation... Puis là je parle des organismes
publics, parce que, là, on est... puis comme le collègue de Gouin l'a précisé,
on parle des organismes publics, nous aurons une conversation sur les entreprises
privées le cas opportun. Mais dans nos organismes publics, on n'est pas dans
une dynamique d'utilisation pernicieuse de renseignements personnels, renseignements
sensibles. Et aux fins de la discussion, je vais parler de renseignements
personnels en englobant les renseignements sensibles si le collègue le permet.
Ce qu'on vit, c'est exactement le
contraire. C'est-à-dire que, tout à l'heure, je parlais avec le député de LaFontaine
puis je lui disais : L'état du droit fait en sorte que tous nos organismes
publics sont propriétaires et détenteurs des renseignements qu'ils collectent.
Il n'y a pas ou peu... «pas», le mot est trop fort, mais il y a peu de possibilités
de s'échanger des informations justement au nom de la protection, je dirais justement
au nom d'un concept de la protection des renseignements personnels qui veut que
je dois garder ça le plus serré possible.
L'impact de ça, M. le député, c'est une
médiocre qualité de service à nos concitoyens. Médiocre. Et le mot, je...
M.
Caire
:
...qui veut que je dois garder ça le plus serré possible. L'impact de ça, M. le
député, c'est une médiocre qualité de services à nos concitoyens, médiocre. Et
le mot... je pèse mes mots. L'impact, de ça, c'est une offre de services
anémique. Services numériques, on s'entend, quand je parle de l'offre et de la
qualité, c'est les services numériques.
Je donne un exemple que j'aime bien
reprendre pour les fins de la discussion. Mon fils, j'inscris mon fils le plus
jeune au secondaire pour l'année prochaine, ce qui, outre le fait de me faire
sentir encore plus vieux, me permet de tester l'état des lieux en termes de
services numériques. Donc, je vais à une école X, dont je tairai le nom, pour
inscrire mon fils. Cette école me demande les bulletins de mon fils de l'année
dernière. Or, la question : Pourquoi une entité du ministère de
l'Éducation me demande de communiquer avec le ministère de l'Éducation pour
demander au ministère de l'Éducation de me procurer un document que je vais
donner à cette entité du ministère de l'Éducation? Pourquoi ils ne se parlent
pas? Pourquoi je suis obligé de... Pourquoi moi, je suis obligé de jouer à
l'intermédiaire entre deux entités du ministère de l'Éducation pour fournir une
information au ministère de l'Éducation qui est produite par le ministère de
l'Éducation? Comme citoyen, c'est ça, c'est ça, ma vision des choses.
Alors là, on pousse un peu plus loin. On
me demande aussi un original de son certificat de naissance. Donc, je vais
aller à l'État civil, entité du gouvernement, lui demander de produire un document,
papier évidemment, que je vais amener à l'école en question, qui va prendre une
copie dudit document et qui va retourner à l'État civil pour demander à l'État
civil d'attester qu'il s'agit bien d'un document produit par l'État civil.
C'est fou, là. C'est d'une efficacité honteuse, honteuse! Ça me met hors de moi
qu'au XXIe siècle les Québécois soient au quotidien pris, je dis bien «pris», à
jouer les intermédiaires entre deux organismes, deux organisations publiques du
gouvernement du Québec parce que ces organisations publiques là ne sont pas
capables de se parler. On pollue l'existence de nos concitoyens, alors qu'on a
juré de les servir.
• (18 h 20) •
Ça, M. le député, c'est la vision du
ministre délégué à la Transformation numérique, qui se dit : Au XXIe
siècle, là, ce n'est pas normal, ce n'est pas acceptable. Or, les organismes...
M.
Caire
: ...de
les servir. Ça, M. le député, c'est la vision du ministre délégué à la
Transformation numérique, qui se dit : Au XXIe siècle, là, ce n'est pas
normal, ce n'est pas acceptable.
Or, les organismes publics en question
vont vous dire : M. le député, je voudrais bien faire ce que vous me
demandez, je n'ai pas le droit. La loi ne me le permet pas. Puis là je pourrais
vous donner, M. le député de Gouin, nombre d'exemples où on a demandé à nos
concitoyens de poser des gestes totalement inutiles. Je pourrais vous donner
nombre d'exemples où on a demandé à des employés de l'État de poser une
panoplie de gestes totalement inutiles et injustifiables au XXIe siècle, parce
qu'ils ne se parlent pas, parce que la loi dit qu'ils n'ont pas le droit de se parler.
Bien, comme législateur... puis moi, je
renvoie la balle au collègue, je renvoie la balle au collègue... comme
législateur, est-ce qu'on se sent interpellés par ça? Est-ce qu'il ne serait
pas temps d'aborder la loi dans une perspective où nous avons une obligation,
oui, de protéger les renseignements personnels qui nous sont confiés,
clairement, mais où nous avons aussi une obligation de donner des services à la
population, de faciliter la vie de nos concitoyens, de rendre le service,
aussi, convivial, et disponible, et simple à utiliser que possible, et jamais
le contraire?
Alors, je dis à mon collègue... Ce que
j'en pense? Bien, j'en pense, M. le Président, qu'on doit trouver... à chaque
fois qu'on prend une décision, on doit trouver un équilibre. Le rôle de la
Commission d'accès à l'information, pour qui j'ai le plus grand respect, n'est
pas de faire ces arbitrages-là. Le rôle de la Commission d'accès à
l'information, c'est de s'assurer de veiller à ce que la loi soit respectée
dans une perspective où on a une protection adéquate des renseignements
personnels de nos concitoyens. Ça, c'est son rôle, et elle le joue très bien, à
mon avis.
Maintenant, pour aller plus précisément à
la question du collègue, ce que j'en pense, je ne suis pas d'accord. Je ne suis
pas d'accord qu'on devrait l'interdire. Je suis d'accord qu'on doit mettre des
mécanismes en place pour s'assurer que ces renseignements-là, sensibles,
personnels, pas sensibles, soient utilisés aux fins pour lesquelles ils sont
collectés. Je suis de ceux qui pensent qu'on doit prendre tous les moyens
possibles et nécessaires pour en assurer la protection d'une utilisation
malveillante, frauduleuse, négligente. J'en suis. Mais l'interdiction
systématique sous-entend que je ne peux pas utiliser ces renseignements-là à
des fins bénéfiques pour le citoyen, sauf si le citoyen y consent, alors qu'on
a amené tout à l'heure, avec Me Miville-Deschênes, la...
M.
Caire
:
...sous-entend que je ne peux pas utiliser ces renseignements-là à des fins
bénéfiques pour le citoyen sauf si le citoyen y consent, alors qu'on a amené tout
à l'heure, avec Me Miville-Deschênes, la situation où l'intérêt manifeste
est quelque chose qu'on peut aussi considérer dans l'utilisation des renseignements
personnels. Et, pour moi, le renseignement sensible ne fait pas exception à ça,
dans le sens où si je les utilise dans l'intérêt manifeste d'un citoyen, bien,
je devrais pouvoir le faire.
Donc, avoir une vision rigide, une vision
en tunnel parce que ce sont des renseignements sensibles, c'est de dire qu'il
ne peut pas y avoir une utilisation... Bien non, là, je vais trop loin. C'est
de présumer que, outre le consentement, il n'y a pas une utilisation légitime
qui peut être faite de ces informations-là, et je ne loge pas à cette
enseigne-là.
Le Président (M.
Bachand) : Merci. M. le député de Gouin.
M. Nadeau-Dubois : Bien,
j'apprécie le plaidoyer du ministre, c'est juste que ce n'est pas l'objet ni de
l'article ni de l'amendement que je dépose, c'est-à-dire que la...
M.
Caire
: Mais,
si je peux me permettre, je faisais un commentaire général à l'invitation du
député de Gouin...
M. Nadeau-Dubois : Oui, oui,
non, c'est correct, c'est juste que... puis on pourrait... c'est parce que moi,
je pourrais répondre sur le commentaire général, et de commentaire en
commentaire général, on pourrait avoir une discussion philosophique ou
politique générale, mais bon.
M.
Caire
: 120,
c'est moins.
M. Nadeau-Dubois : Pardon?
M.
Caire
: 120,
c'est moins.
M. Nadeau-Dubois : Oui, c'est
ça, sans profilage de la part de la SAQ pour nous conseiller les bons achats de
vins, ces déductions qui sont moins le fun. Mais non, mais plus sérieusement,
là, ici, la recommandation de la caisse, ce n'est pas comme disait le ministre,
là, une interdiction systématique, là, c'est d'exiger un consentement pour ce
type de renseignement personnel, les renseignements personnels sensibles, pour
d'autres renseignements personnels.
M.
Caire
: Mais
on le fait, M. le député.
M. Nadeau-Dubois : Donc, c'est
de dire : Bien, j'y arrive, c'est-à-dire qu'on a défini, notamment suite à
mon amendement, on a bien cerné ce qu'est un renseignement personnel sensible, c'est-à-dire
un renseignement qui, de par sa nature, et là on avait ajouté notamment
médical, biométrique ou autrement intime, ou en raison du contexte de son
utilisation ou de sa communication suscite un haut degré d'attente raisonnable
en matière de vie privée, critère qui nous a été expliqué par nos juristes, un
critère qui existe déjà, notamment défini par des décisions de la Cour suprême
sur les fouilles abusives. Donc, on a déjà défini dans le projet de loi qu'il y
a une certaine catégorie de renseignements personnels qui sont plus sensibles
que d'autres. À partir...
Le Président (M.
Bachand) : ...M. le député de Gouin. Vous parlez de votre amendement,
aimeriez-vous le déposer?
M. Nadeau-Dubois : Bien, on y
viendra, là, je parlais... je répondais au commentaire général du ministre.
Le Président (M.
Bachand) : Parfait. C'est beau. Juste parce que le temps file,
je voulais juste m'assurer...
M. Nadeau-Dubois : Oui, bien,
sinon, je le déposerai, je veux dire, la prochaine fois, là, je...
Le Président (M.
Bachand) : Parfait. Merci.
M. Nadeau-Dubois : Vous allez
avoir le plaisir d'avoir ma compagnie mercredi prochain, M. le Président.
Le Président (M.
Bachand) : Ah!
M. Nadeau-Dubois : Donc, on
a...
Le Président (M.
Bachand) : ...vous parlez de votre amendement, aimeriez-vous le
déposer?
M. Nadeau-Dubois : Bien, on y
viendra, là, je parlais... je répondais au commentaire général du ministre.
Le Président (M.
Bachand) : Parfait. C'est beau. C'est juste parce que le temps
file, je voulais juste m'assurer...
M. Nadeau-Dubois : Oui, bien,
sinon, je le déposerai, je veux dire, la prochaine fois, là, je...
Le Président (M.
Bachand) : Parfait. Merci.
M. Nadeau-Dubois : Vous allez
avoir le plaisir d'avoir ma compagnie mercredi prochain, M. le Président.
Donc, on s'est entendu sur le fait qu'il y
a certains types de renseignements personnels qui sont plus sensibles que
d'autres, bon. À partir de ça, et si on a défini ça dans le projet de loi,
c'est bien parce qu'ils méritent d'être traités différemment s'ils sont plus
sensibles. On n'aurait pas pris la peine de créer cette catégorie dans le projet
de loi si nous n'avions pas comme intention de, plus loin dans le projet de loi,
les considérer différemment des renseignements personnels qui ne sont pas
sensibles. Je pense que la... sinon, on n'aurait écrit une définition. On a
écrit une définition parce qu'ils sont particuliers puis qu'on veut les traiter
de manière particulière. C'est juste ça, mon commentaire.
Et donc la CAI recommandait, dans son... à
la page 23 de son mémoire, d'interdire l'utilisation des renseignements
sensibles à des fins de profilage. Donc, ce n'est pas interdire toute
utilisation des renseignements sensibles, c'est d'interdire leur utilisation à
des fins de profilage. Et la CAI faisait une grosse exception, c'est-à-dire
sauf en cas de consentement exprès de la personne concernée ou dans les cas où
la loi l'autorise, expressément. Donc, ce n'était ni dans l'intention de la CAI
ni dans mon intention d'interdire systématiquement l'utilisation des
renseignements personnels sensibles par les organismes publics ni même de les interdire...
d'interdire systématiquement leur utilisation à des fins de profilage. Donc, il
y a deux niveaux de nuance : de un, personne ne dit qu'ils ne doivent pas
être utilisés, de deux, personne ne dit qu'ils ne doivent pas être utilisés à
des fins de profilage, ni moi, ni la CAI.
Ce que la CAI dit et que je reprends à mon
compte, c'est : Pour qu'ils puissent être utilisés à des fins de
profilage, ces renseignements sensibles, on devrait demander un consentement
exprès de la personne concernée ou prévoir dans la loi, de manière explicite,
les moments où c'est possible pour les organismes publics d'utiliser les
renseignements personnels à des fins de profilage. Là-dessus spécifiquement,
qu'est-ce qu'en pense le ministre?
M.
Caire
:
Bien...
Le Président (M.
Bachand) : En quelques secondes, M. le ministre.
M.
Caire
: Oui.
Bien, je dirai qu'on le fait déjà. Quand on a parlé... abordé les
renseignements sensibles dans les articles précédents, on a dit que, dans ce
cas-là... parce que souvenez-vous, là, il y avait des cas de consentement où...
on a établi les cas de consentement, mais dans le cas des renseignements
sensibles, on a dit que le consentement devait être donné expressément. Donc,
ça, on a déjà fait ça dans la loi et...
M. Nadeau-Dubois : Juste, à
quel article, juste pour mon... pour que mes réflexions, d'ici mercredi
prochain, soient productives.
M.
Caire
:
Me Deschênes...
M. Miville-Deschênes
(Jean-Philippe) : Il y a 65.1, en fait, c'est le 19, par rapport à l'utilisation.
M.
Caire
: Mais
dans la définition des renseignements sensibles puis du…
M. Miville-Deschênes
(Jean-Philippe) : C'était à 59, article 12.
M.
Caire
: Oui,
c'est ça, article 12. C'est-u ça, 12?
• (18 h 30) •
M. Miville-Deschênes
(Jean-Philippe) : Les renseignements sensibles dans le privé…
M. Nadeau-Dubois : …d'ici
mercredi prochain soient productives?
M. Miville-Deschênes
(Jean-Philippe) : Il y a 65.1 — en fait c'est 19 — par
rapport à l'utilisation.
M.
Caire
: Mais,
dans la définition des renseignements sensibles puis du…
M. Miville-Deschênes
(Jean-Philippe) : C'était à 59, article 12.
M.
Caire
: Oui, c'est
ça, article 12. C'est-u ça, le 12?
M. Miville-Deschênes
(Jean-Philippe) : Les renseignements sensibles dans le privé…
M.
Caire
: Article
12.
M. Miville-Deschênes
(Jean-Philippe) : Article 12 du projet de loi, 59 de la loi sur
l'accès..
M.
Caire
: C'est
ça, où on dit : «Un organisme public ne peut communiquer un renseignement
sans le consentement de la personne concernée. Ce consentement doit être
manifesté de façon expresse dès qu'il s'agit d'un renseignement personnel
sensible.» Article 12, qui introduit l'article 59.
Le Président (M.
Bachand) : Merci... Merci beaucoup à tout le monde.
M. Nadeau-Dubois : On lira…
Le Président (M.
Bachand) :Compte tenu de l'heure, la
commission ajourne ses travaux sine die. Merci.
(Fin de la séance à 18 h 31)