Assemblée nationale du Québec - Retour à l'accueil

Assemblée nationale du Québec - Retour à l'accueil

L'utilisation du calendrier requiert que Javascript soit activé dans votre navigateur.
Pour plus de renseignements

Accueil > Travaux parlementaires > Journal des débats > Index du Journal des débats

Index du Journal des débats - Sujets

42-1 (27 novembre 2018 - )


Affaire inscrite (motion)
Protection des renseignements personnels - Commission permanente des finances publiques - Audition publique - 4005-23

Assemblée
Fascicule n°60, 18 septembre 2019, pages 4005-4023

[...]

Affaires inscrites par les députés de l'opposition

Motion proposant que l'Assemblée mandate la Commission des finances publiques
afin qu'elle procède à des consultations particulières sur la protection des données
des Québécois détenues par les institutions publiques et privées
et sur
l'opportunité de resserrer la Loi sur la protection du consommateur

Et nous sommes toujours aux affaires du jour. À l'article 32 du feuilleton, aux affaires inscrites par les députés de l'opposition, M. le député de Robert-Baldwin présente la motion suivante :

«Que l'Assemblée nationale mandate la Commission des finances publiques afin de faire toute la lumière sur la protection des données des Québécois détenues par les institutions publiques et privées et d'évaluer l'opportunité de resserrer la Loi sur la protection du consommateur dans la foulée des événements survenus récemment, notamment chez Desjardins, Capital One, Revenu Québec et Industrielle Alliance;

«Que dans le cadre de ce mandat, la commission procède à des consultations particulières et tienne des auditions publiques et entende : le Mouvement Desjardins, Capital One, l'Association des banquiers canadiens, Equifax, TransUnion, l'Autorité des marchés financiers, Benoît Boivin, dirigeant principal de l'information du Québec, Revenu Québec, l'Office de la protection du consommateur, Option Consommateurs, Union des consommateurs, la Sûreté du Québec, le Service de police de la ville de Montréal, le Service canadien du renseignement de sécurité, le Conseil canadien de l'identité et de l'authentification numérique, MS Solutions, ARS Solutions, le Centre d'étude en droit économique, Jean-Denis Garon, UQAM, Département des sciences économiques, Benoit Dupont, Université de Montréal, directeur scientifique du Réseau intégré sur la cyber sécurité et titulaire de la Chaire de recherche du Canada en sécurité, identité et technologie, Michel Carlos, spécialiste en lutte contre la fraude, Steve Waterhouse, expert en sécurité informatique, Paul Laurier, président de Vigiteck et ex-enquêteur de la Sûreté du Québec, ainsi que toutes les personnes ou organismes qu'elle jugera nécessaire de convoquer;

«Que l'organisation du mandat soit confiée aux membres de la commission;

«Que la commission fasse rapport à l'Assemblée au plus tard le 4 décembre 2019 à moins que la commission n'en décide autrement;

«Enfin, que cette motion devienne un ordre de l'Assemblée.»

Je vous informe que la répartition du temps de parole pour le débat restreint sur la motion inscrite par M. le député de Robert-Baldwin s'effectuera comme suit : 10 minutes sont réservées à l'auteur de la motion pour sa réplique, 53 min 30 s sont allouées au groupe parlementaire formant le gouvernement, 31 min 52 s sont allouées au groupe parlementaire formant l'opposition officielle, 11 min 23 s sont allouées au deuxième groupe d'opposition, 10 min 15 s sont allouées au troisième groupe d'opposition, puis chaque député indépendant dispose d'un temps de parole de 1 min 30 s. Toutefois, lorsqu'un seul député indépendant participe à un débat, il dispose d'un temps de parole de deux minutes.

Dans le cadre de ce débat, le temps non utilisé par les députés indépendants ou par l'un des groupes parlementaires sera redistribué entre les groupes parlementaires selon les proportions établies précédemment. Mis à part ces consignes, les interventions ne seront soumises à aucune limite de temps.

Et enfin je rappelle aux députés indépendants que, s'ils souhaitent intervenir au cours du débat, ils ont 10 minutes à partir de maintenant pour en aviser la présidence.

Sans plus tarder, je cède la parole à l'auteur de cette motion, M. le député de Robert-Baldwin.

M. Carlos J. Leitão

M. Leitão : Merci beaucoup, Mme la Présidente. Alors, nous voilà rendus à cette étape de la motion du mercredi, qui, à notre avis, c'est un projet modéré, et équilibré, et surtout dans l'intérêt public. En fin de compte, on demande tout simplement de faire toute la lumière sur l'enjeu de la protection des données personnelles des Québécois.

Mes remarques préliminaires seront relativement courtes, et, bien sûr, je reviendrai après, à la fin, pour ma réplique, comme vous l'avez mentionné, de 10 minutes.

Alors, juste un petit peu de... un peu d'historique, pourquoi nous sommes rendus ici maintenant. Comme tout le monde le sait, le 20 juin dernier, le Mouvement Desjardins nous a informés tous, la population, d'une fuite de données massive. 2,9 millions de membres de l'institution ont vu leurs données personnelles être... sortir des serveurs de Desjardins et donc être à risque d'être distribuées on ne sait pas trop où.

Alors, dès le jour 1, dès que ça, c'est arrivé, nous avons souligné l'importance de cet enjeu, comme beaucoup d'autres personnes au Québec, bien sûr, et nous avons exprimé, à ce moment-là, le souhait que ce dossier-là soit rapidement transféré à la Sûreté du Québec et aussi à la GRC, puisque c'était une fuite, donc, tellement massive, on n'avait jamais vu ça au Québec, et on est tous bien conscients des répercussions possibles d'un tel événement, et donc on souhaitait que la SQ soit impliquée dans le dossier dès le début. On n'a pas eu de... Malheureusement, on n'a pas eu de suite à cette demande initiale, cette suggestion initiale, parce que, bien sûr, ce qui nous préoccupait, à ce moment-là — et encore aujourd'hui — c'est le potentiel pour le vol d'identité et ce à quoi cela peut amener.

Le 9 juillet, donc quelques jours plus tard, le 9 juillet, il y a eu une demande d'audition des membres de la Commission des finances publiques, une demande soumise par le Parti québécois, que nous avons tout de suite endossée aussi. Et, dès le départ de cette demande de convocation de la Commission des finances publiques pour se pencher sur cet enjeu, dès le départ, c'était question que la commission se penche sur les organisations privées et publiques. C'est important, et j'y reviendrai un peu plus tard. Malheureusement, c'était silence radio de la part du gouvernement. Pendant pratiquement tout l'été, on n'a rien entendu. Des semaines se sont passées, et, de la part du gouvernement, il y a eu très peu de mouvement, de leur côté.

Finalement, le 20 août, le ministre des Finances, lors d'un point de presse, avait indiqué, à ce moment-là, qu'il était en train... que son ministère et lui, et le gouvernement étaient en train de préparer un projet de loi pour encadrer les agences de crédit. C'est très bien, Mme la Présidente, c'est important, mais c'est loin d'être suffisant, un tel événement.

Plus ou moins une semaine plus tard, on a eu finalement la réunion de la Commission des finances publiques, donc on est rendus au 27, 28 août, où, finalement, cet enjeu-là a été discuté en commission parlementaire, et, surprise, surprise, les collègues du parti gouvernemental refusent le mandat d'initiative, vraiment à la surprise de tout le monde. Alors, ils refusent surtout, donc, d'amorcer une réflexion, une réflexion élargie sur la protection des données personnelles détenues par les organismes privés et publics. Et donc le parti gouvernemental voulait se limiter à Desjardins et l'AMF, et nous jugeons que cela nous priverait tous de l'apport important des experts, que ce soit de la police ou du monde universitaire, qui pourraient alimenter notre réflexion. Et ce refus d'inclure les organismes publics se situait surtout autour de Revenu Québec. Donc, la partie gouvernementale ne voulait pas que Revenu Québec vienne expliquer à la commission de quoi il s'agit, toute cette question-là. Alors, c'est incompréhensible, à notre avis, Mme la Présidente, puisque c'était dès le 9 juillet que c'était clair qu'on souhaitait avoir réseaux public et privé, et on ne comprenait pas pourquoi Revenu Québec ne serait pas convoquée.

Alors, voilà, Mme la Présidente. Moi, je vais arrêter ici. Donc, c'est un mandat, comme j'ai dit, que nous jugeons être équilibré et modéré. Mes collègues prendront maintenant la parole pour adresser plusieurs questions, et puis moi, je reviendrai à la fin pour donner la conclusion. Merci, Mme la Présidente.

• (15 h 10) •

La Vice-Présidente (Mme Gaudreault) : Je vous remercie, M. le député de Robert-Baldwin. Maintenant, pour la prochaine intervention, je vais céder la parole à M. le ministre des Finances.

M. Eric Girard

M. Girard (Groulx) : Merci. Merci, Mme la Vice-Présidente. Et merci au député de Robert-Baldwin pour l'occasion de débattre de cette importante question.

Alors, la motion concerne la protection des données personnelles des Québécois. Et, oui, le 20 juin dernier, Desjardins a informé publiquement que 2,7 millions de ses membres... que les données financières de 2,7 millions de ses membres ainsi que 200 000 entreprises avaient été dérobées par un de ses employés. Et il s'agit évidemment d'un incident majeur, et c'est une... La cybersécurité fait partie de notre époque, et il y a eu plusieurs incidents, mais, de toute évidence, l'ampleur de cette fuite de données excédait ce que nous avions observé au sein d'une institution financière québécoise par plusieurs fois.

Alors, mon message aujourd'hui est très simple : Notre gouvernement est déjà au travail pour les citoyens. Et je tiens à dire à tous les membres de cette Assemblée et aux citoyens que je suis sur ce dossier depuis le jour 1, à chaque jour. Il s'agissait... et il s'agit toujours d'un dossier extrêmement important, mais il s'agissait essentiellement du dossier le plus important de l'été. Ça touche énormément de Québécois. Et c'est un dossier qui a retenu mon attention, nous sommes déjà au travail depuis le jour 1. Et c'est pourquoi, pour ma part, en tant que ministre responsable de l'Autorité des marchés financiers, je me concentre sur le projet de loi qui concerne les agences de crédit pour accroître la sécurité des données financières des Québécois, mais aussi le but ultime, c'est également la stabilité du système financier, parce que la confiance est un élément intangible d'une valeur inestimable dans le système financier, et les Québécois ont besoin d'avoir confiance dans leur institution financière, qui a la responsabilité de protéger leurs données.

Alors, il s'agit d'une situation exceptionnelle. Et je comprends parfaitement les craintes et les insatisfactions des Québécois, et c'est pourquoi je me suis concentré là-dessus avec autant d'intensité.

Et je tiens à dire que nous avons pris une approche, que nous avons divulguée clairement, que nous désirions séparer la gestion de l'incident du post-mortem. D'abord, il y avait un incident. Certains l'ont qualifié de crise ou de... C'est un incident majeur. Et nous avons voulu séparer... C'est une décision que nous avons prise : Occupons-nous du problème d'abord, et ensuite viendront les leçons. Et, j'en ai parlé, un élément du post-mortem sera la loi sur les agences de crédit, mais, bien sûr, il y aura la loi sur la transformation numérique, la loi sur la protection des renseignements personnels. Le gouvernement est en action sur tous les éléments.

Mais j'aimerais revenir sur la gestion de l'incident, parce que c'est ce que nous avons fait d'abord. Il y avait une fuite de données, c'est majeur. Et les gens qui étaient impliqués dans ce dossier, c'est Desjardins d'abord, qui a la responsabilité de la protection des données; l'AMF, qui est le superviseur de notre institution financière d'importance systémique. Desjardins est une institution de 300 milliards d'actif, c'est la plus grosse institution financière du Québec. Son régulateur qui la supervise, c'est l'AMF, directement impliquée. Equifax est devenue un partenaire dans la gestion de l'incident parce qu'Equifax a un service d'alerte et de surveillance qui est primordial dans la gestion de l'incident. Et, bien sûr, le ministère des Finances, qui chapeaute l'AMF, qui supervise Desjardins.

Alors, qu'est-ce qui a été fait dans la gestion de l'incident? La première chose, c'est la prévention des fraudes.

Alors, l'inscription à une agence de crédit est un moyen efficace de prévenir la fraude, avec les systèmes d'alerte et de surveillance. Je suis heureux d'annoncer que nous approchons le million d'inscrits, c'est-à-dire que nous sommes au-delà... nous sommes en chemin, nous n'avons pas atteint encore le million, mais nous y parviendrons. Et ce sera plus de 40 % des membres touchés qui auront choisi, et non sans difficulté, de s'inscrire. Et Desjardins a offert une inscription via son service parce qu'Equifax n'était pas prête à faire face à cette demande d'inscription, d'alerte et de surveillance. Alors, l'inscription à Equifax, je tiens à le rappeler, est un moyen efficace de prévention des fraudes.

La deuxième chose, c'est, lorsqu'il y a fraude, qu'est-ce que les gens ont besoin? Ils ont besoin d'assistance pour prévenir le vol d'identité, et ça, c'est l'assurance que Desjardins a introduite. Nous, on a demandé à Desjardins, tout le long du processus, d'en faire plus. Lorsqu'ils ont offert une protection d'un an, et que les citoyens ont dit : Ce n'est pas suffisant, nous avons fait des représentations, l'AMF, et voilà. Desjardins a bougé, cinq ans. Desjardins a vu que la prévention ne rassurait pas les Québécois. Ils ont ajouté l'assurance, l'assurance que votre institution financière va vous aider si vous êtes victime d'un vol d'identité, va vous aider à faire face à cette situation. Et ça, Desjardins est la première institution à offrir ce service, et c'est important parce que Desjardins a réagi avec agilité aux inquiétudes des Québécois.

L'autre élément de la gestion de l'incident, c'est que de toute évidence il y avait une brèche informatique, pour qu'un employé puisse prendre des données confidentielles, les sortir sans que ce soit détecté. Il y a le volume de données, il y a le fait que ça... il y a l'action, puis le volume de donnée, puis le fait que ça n'a pas été détecté. Clairement, il y avait des brèches informatiques à colmater. Et, encore une fois, Desjardins, l'AMF, le ministère des Finances, le ministre, colmater les brèches, la gestion de l'incident, Mme la Présidente, c'était extrêmement important.

Et toujours il a fallu rappeler aux citoyens, et la communication était extrêmement importante durant cet incident, que vos actifs, en cas de fraude, chez Desjardins, sont garantis. Ils sont garantis par qui? Par votre institution financière, que le gouvernement du Québec a nommée comme institution financière d'importance systémique, parce que Desjardins, c'est une institution de grande qualité. Laissez-moi vous donner quelques chiffres : 47 000 employés, 300 milliards d'actif, plus de 17 % de capital, des ratios de liquidités qui excèdent 130 %. On parle d'une institution financière d'une solidité extrême, d'une grande... d'une exemplarité, qui garantit vos actifs en cas de fraude.

Alors, quelques éléments. D'abord, dans le cadre de la gestion de l'incident, nous avons introduit des indicateurs de performance, et tout l'été nous avons surveillé. Le volume de fraude n'a pas augmenté chez Desjardins. C'est très important.

D'autre part, nous savons combien de données ont été volées; nous ne savons pas, à ce stade-ci de l'enquête, combien de données ont été vendues. Et ça, c'est extrêmement important. Nous avons donc — et là je parle au «nous», mais c'est Desjardins, c'est l'AMF — monitoré le «dark Web», où de telles données financières se vendent couramment, Mme la Présidente. Or, les données qui ont été dérobées ne sont pas visibles actuellement sur le «dark Web». Et ça, c'est important parce qu'il y a de la mésinformation, il y a des... on prend des anecdotes, on fait des reportages avec ça puis on crée de l'anxiété. Les données qui ont été volées ne sont pas visibles présentement sur le «dark Web». Les enquêtes se poursuivent, Mme la Présidente, les enquêtes de la Commission d'accès à l'information, de la Sûreté du Québec. Nous attendons les conclusions de cette enquête, et c'est extrêmement important.

• (15 h 20) •

Et j'aimerais dire... Finalement, j'ai un dernier point au sujet de la gestion de l'incident. Les citoyens ont une responsabilité de vigilance. Nous devons tous, aujourd'hui, avoir une vigilance accrue. Nous devons surveiller nos comptes, nous devons nous assurer qu'il n'y ait pas de transaction erronée. Nous devons être vigilants. Les institutions financières ne communiquent pas avec nous par courriel ou texto, elles communiquent par lettre, directement. Elle vous appelle par téléphone, votre institution financière. Il n'y a pas de texto ou courriel. Et donc les citoyens ont aussi une responsabilité au niveau de la cybersécurité.

Alors, j'ai dit... — et je crois que c'était plutôt le 14 août que le 20 août, mais ce n'est pas important, c'était le premier Conseil des ministres — j'ai dit que la gestion de l'incident était adéquate, parce qu'il s'agit d'un événement extrêmement sérieux, et Desjardins, l'AMF, Equifax ont fait un excellent travail dans une situation qui est extrêmement difficile. C'est une situation... c'est un incident majeur.

Alors, j'arrive au post-mortem, le post-mortem, et là il s'agit de tirer les leçons de cet incident. Et, après avoir observé cet incident de juin à août, et étudié l'ensemble des options qui sont à nous pour mieux faire dans l'avenir, et écouté tous les experts, pseudo-experts, les avis, il y a eu cette commission parlementaire au fédéral où un policier de la GRC nous a dit 22 fois qu'il ne pouvait commenter... Nous avons écouté, toutes les suggestions ont été évaluées. Et voici ce que j'ai communiqué à la population, qu'en vertu de notre rôle de surveillants de cette institution d'importance systémique voici les éléments sur lesquels nous devons travailler directement pour faire une différence pour les Québécois et avoir une meilleure, je reviens sur les objectifs... meilleure sécurité des données financières, meilleure stabilité financière au sens large.

La première chose, c'est la responsabilité de Desjardins. Desjardins a la responsabilité de ces renseignements personnels. J'ai demandé que Desjardins ait les meilleures pratiques de l'industrie au niveau de la gestion des risques. Dans une institution financière, Mme la Vice-Présidente, il y a trois lignes de défense. Il y a ce qu'on appelle la première ligne, les gens qui sont dans les transactions. Il y a la deuxième ligne de défense, qui sont la gestion de risques, les gens qui sont payés, des professionnels, pour surveiller l'équilibre, la gestion de risques, que la recherche de la rentabilité n'influence pas indûment les règles les plus élémentaires de prudence. Ça, c'est la deuxième ligne de défense. La troisième ligne de défense : l'audit interne, qui doit normalement, dans le cadre des meilleures pratiques, se rapporter directement au conseil d'administration d'une institution financière.

J'ai demandé à ce que les lignes de défense de cette importante institution financière soient élevées au rang des meilleures pratiques de gestion des institutions financières dans le monde. Et ce n'était pas le cas actuellement, et c'est pourquoi j'ai fait cette demande. Et Desjardins reconnaît qu'elle a des améliorations à faire. J'ai été en contact avec M. Cormier, je suis en contact avec M. Morisset, de l'AMF, et on reconnaît qu'il y a des améliorations à faire au niveau des lignes de défense.

Ensuite, quelle est l'importance d'un conseil d'administration dans une institution financière? Le conseil d'administration est là pour protéger la marque, l'essence même de l'institution financière. Et, pour que le conseil d'administration puisse jouer ce rôle ultime de chien de garde, il faut de l'indépendance. Or, le conseil d'administration de Desjardins n'a pas évolué avec la taille de l'institution. On parle maintenant d'une institution de 300 milliards d'actif, avec 47 000 employés. Il est essentiel que plus de membres du conseil d'administration soient indépendants et qu'ils aient des expertises, par exemple, en cybersécurité, en technologies de l'information pour faire bénéficier l'ensemble de l'institution financière et ses membres de cette expertise. Alors, Desjardins avait déjà un plan de réforme pour faire évoluer son conseil d'administration; j'ai demandé d'accélérer ce plan. J'arrive... Et, bien sûr, l'AMF va s'assurer que tout ce que je suggère fortement va se faire.

J'ai aussi... Desjardins vous a communiqué qu'ils procédaient à une enquête indépendante. Ils ont engagé des ressources externes pour s'assurer de bien comprendre ce qui s'est passé, tirer les leçons, éviter que ça se reproduise, évoluer vers les meilleures pratiques.

J'arrive à la loi sur les agences de crédit. Nous sommes la seule province canadienne qui n'a pas une loi spécifique sur les agences de crédit. Je ne reviendrai pas sur les motifs, pourquoi le précédent gouvernement n'a pas jugé bon d'avoir une telle loi, pourquoi, dans le fameux projet de loi n° 141, il n'y avait pas un alinéa pour les agences de crédit. Ce qui est important, c'est de constater qu'aujourd'hui nous sommes la seule province canadienne qui n'a pas une loi spécifique sur les agences de crédit, et nous allons changer cette situation, Mme la Vice-Présidente.

De plus, nous serons la première province canadienne à offrir le verrou de crédit. Le verrou de crédit vous permet — le synonyme au verrou de crédit, c'est le gel de crédit — vous permet, lorsque vous vous croyez victime de fraude, lorsque vous croyez que vos données personnelles sont dans le domaine public, de vous assurer qu'il n'y aura aucune consultation de votre dossier de crédit, aucune opération sur votre dossier de crédit. L'addition du verrou de crédit sera au bénéfice de tous les Québécois.

Et on va faire ça avec qui, cette loi sur les agences de crédit? Bien, tout d'abord, on va faire ça avec l'industrie, parce que cette industrie-là, c'est essentiellement deux multinationales américaines, Equifax et TransUnion, et nous allons les consulter pour que ce soit bien fait.

Bien sûr, nous allons observer les pratiques... Puisque nous sommes la seule province canadienne qui n'a pas de loi, nous allons consulter les lois des autres provinces canadiennes pour s'assurer d'avoir la meilleure loi. Puisqu'on arrive en dernier, on va au moins profiter de cet avantage pour avoir la meilleure loi.

Je vais faire ça en collaboration avec la ministre de la Justice, bien sûr, qui a un intérêt dans la protection des renseignements personnels et privés. Je vais faire ça avec qui, Mme la Vice-Présidente? Je vais faire ça avec mes collègues de l'opposition, parce que, lorsque nous aurons déposé le projet de loi, il y aura des consultations. Et la Commission des finances publiques — son président est là — la Commission des finances publiques est reconnue pour son efficacité et la qualité de ses membres. Et nous allons tous faire ça ensemble pour que la loi sur les agences de crédit du Québec soit exemplaire, au bénéfice de tous les Québécois.

Et qu'est-ce qu'il y aura dans cette loi? Il y a d'abord l'inscription des agences de crédit, la surveillance des agences inscrites. Et là on a un débat à avoir, qui est la meilleure entité pour faire cette surveillance. Il y aura les responsabilités des agences de crédit, Mme la Vice-Présidente, parce que c'est beau de charger pour un service, mais après ça il faut le livrer, le service. Et les citoyens qui vivent de l'anxiété parce que leurs données personnelles sont dans le domaine public ont besoin que les agences de crédit donnent un bon service. Et, bien sûr, il y aura le verrou, le verrou de crédit, le gel de crédit. Nous serons la première province canadienne à offrir cet excellent service.

Alors, j'aimerais conclure en vous disant, Mme la Vice-Présidente : Nous sommes déjà au travail, nous sommes au travail depuis le jour 1 de cet incident majeur, qui est extrêmement important. Et il me fera plaisir, dans le cadre de la loi sur les agences de crédit, du projet de loi, devrais-je dire, sur les agences de crédit, de travailler avec mes collègues de l'opposition dans le cadre de la Commission des finances publiques, qui fait un excellent travail. Merci, Mme la Vice-Présidente.

• (15 h 30) •

La Vice-Présidente (Mme Gaudreault) : Je vous remercie, M. le ministre des Finances. Et maintenant je vais céder la parole à M. le député de Rosemont, et tout en vous indiquant que vous disposez d'un temps de parole de 11 min 5 s.

M. Vincent Marissal

M. Marissal : Merci, Mme la Présidente. Tout d'abord, dire qu'il y aurait 1 million de choses à dire, peut-être même 3 millions de choses à dire sur le sujet qui nous préoccupe aujourd'hui. 3 millions, vous l'aurez compris, comme le nombre de dossiers qui ont fui chez Desjardins.

Mais je vais juste d'abord faire une petite remarque. Moi, je me sens... je ressens un malaise persistant, depuis la mi-août, à entendre le ministre des Finances constamment faire l'apologie de Desjardins. Par moments, ici, si je ne connaissais pas sa belle voix de stentor, que je ne savais pas que je suis au salon bleu, que je fermais mes yeux, j'aurais pu croire que c'était le P.D.G. de Desjardins qui parlait. Il me semble qu'on a raccourci le bras de distance nécessaire qu'on devrait avoir, lui comme nous, envers une institution qui, il faut le dire, est à la source du plus grand fiasco de données personnelles au Québec.

Je comprends que le ministre ne veuille pas ébranler les colonnes du temple de Desjardins, tout le monde comprend ça ici. Évidemment, on a une grande fierté envers cette institution qu'est Desjardins. Pour l'anecdote, j'ai moi-même été victime, de même que ma femme, de la fuite. Je ne suis probablement pas le seul ici. Je ne vous ferai pas le coup de lever la main... Bien, si le coeur vous en dit. Et je serais curieux de savoir combien de gens ici et ailleurs qui ont été victimes ont retiré leurs billes de chez Desjardins. Ce n'est pas mon cas. On n'a pas fait ça. On est attachés à cette institution-là. Elle est au coin de la rue chez moi. On a toujours fait affaire avec eux depuis que je suis au primaire. Ça veut dire que ça fait longtemps qu'il y a des petites caisses dans les écoles au Québec. Sauf que j'ai beaucoup d'inquiétudes.

Et, quand le ministre fait l'apologie de Desjardins, il me semble qu'il va un petit peu plus loin, il en met un petit peu plus que le client en demande et il va toujours en amont, il va après l'incident. Oui, Desjardins a pris des mesures extraordinaires après l'incident; oui, Desjardins a mis des mesures exceptionnelles en place, qui ont d'ailleurs commencé de façon assez chaotique, là, il faut le dire, là, et pas toujours dans la langue de Molière en plus, au Québec, ce qui est un peu insultant — je parle d'Equifax, évidemment. Ensuite, Desjardins, oui, a engagé probablement des firmes de communication pour enrober tout ça puis rassurer le monde. Correct, très bien. On sait comment ça marche, la gestion de crise, on a tous été, un jour ou l'autre, dans une crise, on sait comment ça fonctionne. Mais là on est en amont. C'est comme si on félicitait quelqu'un d'avoir engagé Qualinet pour faire le ménage après un incendie chez lui, mais qu'on ne note pas le fait qu'il n'avait pas installé de détecteurs de fumée. Et j'ai d'autant plus un malaise envers l'apologie ou les apologies du ministre qu'il admet lui-même que Desjardins reconnaît qu'il n'avait pas, Desjardins, donc, les meilleures lignes de défense en place.

Alors, pour inquiéter les gens... le ministre nous dit : Il ne faut pas inquiéter davantage, c'est un sujet d'inquiétude, donc, il ne faut pas en rajouter, je postule ici que Desjardins a très bien fait ça tout seul, ils ont été très bien capables tout seuls, sans nous ou qui que ce soit, d'inquiéter grandement les gens. Et il reste, à ce jour... appelons ça une crise ou non, je ne suis pas religieux sur le choix des mots, mais il reste, à ce jour, dans la population du Québec, d'immenses questions et d'immenses angoisses de gens qui se demandent : Où sont mes données personnelles — c'est la question qu'on voulait débattre ici — et comment est-ce qu'on les protège?

Vous savez, Mme la Présidente, moi, je pense que c'est probablement un des maux du siècle et c'est un des problèmes dont on va parler le plus, au cours des prochaines années, c'est le vol d'identité, mais le recel d'identité et ce qu'on fait avec ça. On parle de plus en plus, notamment chez les jeunes, d'écoanxiété. Je pense qu'avant longtemps, si ce n'est pas déjà fait, on va parler de technoanxiété aussi, de gens qui vont tenter de se protéger de toutes les façons possibles, y compris en décrochant complètement des systèmes, parce qu'ils n'auront plus confiance.

Je reviens à la démarche de l'opposition officielle, que nous appuyons même sans amendement, ce qui est probablement une première. Pourquoi on est ici aujourd'hui? Pourquoi on est ici, cet après-midi, à discuter de ce sujet qui est hautement important? Bien, on est ici en ce moment, Mme la Présidente, plutôt que devant la Commission des finances publiques parce qu'il y a une demande de mandat d'initiative qui avait été faite et qui partait d'une très bonne intention de mon collègue, de notre collègue de René-Lévesque, qui a été négociée comme ça doit se faire normalement entre le gouvernement et l'opposition puis qui a finalement viré en eau de vaisselle. On est arrivés dans un cul-de-sac.

On a constaté très rapidement... sans reprendre nécessairement les propos de ma collègue de Saint-Laurent, avec lesquels je suis d'accord, néanmoins, on s'est rendu compte, et je vais le dire de façon polie, qu'on était devant une impasse et qu'on était devant une partie ministérielle qui n'avait pas du tout l'intention de marcher avec nous dans ce qui était pourtant une démarche non partisane, et qui se voulait d'abord et avant tout une façon de rassurer la population, et, oui, d'aller en amont de ce qui s'était passé chez Desjardins, mais ailleurs, ailleurs, notamment Revenu Québec.

On nous a refusé sine qua non cette condition. De facto, on a refusé toute forme de négociation. Pour le moment, cette demande de mandat d'initiative, donc, est dans un cul-de-sac, et c'est très malheureux parce que prenez simplement Revenu Québec, Revenu Québec, dans la gestion des données personnelles au Québec, c'est pas mal le point central. C'est le «ground zero», je dirais, de la manipulation et de la protection des données au Québec. Alors, c'est un peu comme si on faisait une commission parlementaire ou un mandat d'initiative sur la crise des opioïdes, mais qu'on refusait d'entendre la RAMQ, par exemple. Alors, c'est de cet ordre-là. De toute façon, peu importe, on a réduit, du côté du gouvernement, de 21 à 22 groupes qu'on voulait inviter à quatre ou cinq. Évidemment, ce faisant, on ne remplissait plus du tout l'idée même qui était derrière le mandat d'initiative, c'est-à-dire d'aller au fond des choses dans ce domaine-là.

On a compris un peu mieux quand le premier ministre a dit textuellement aux journalistes : Ce n'est pas l'opposition qui va gouverner à ma place, ce n'est pas l'opposition qui va gouverner à la place du gouvernement. Ça me semble démontrer une certaine méconnaissance du fonctionnement des institutions parlementaires parce qu'on n'a pas voulu gouverner à la place du gouvernement. Tout le monde, de ce côté-ci, puis je suis sûr que c'est pareil de l'autre bord, sait compter. 75 sur 125, ça fait une majorité. On a tous pas mal compris ça. On a compris que le gouvernement avait une majorité. On a simplement voulu amener un débat qui a été rabattu par le premier ministre, qui a dit tout simplement : Les partis de l'opposition n'ont pas à se mêler de ça, ce n'est pas les partis de l'opposition qui vont gouverner. Ce faisant, on était ce qu'on appelle... dans ce que les Anglais appellent... devant un «nonstarter». Et c'est pour ça que ce mandat d'initiative, malheureusement, n'est allé nulle part.

Le ministre dit : Par ailleurs, notre gouvernement est déjà au travail, on est au travail depuis le jour 1. Et on apprend effectivement presque tous les jours des bribes d'intention du gouvernement. Ça va un petit peu dans toutes les directions en ce moment. C'est un peu la cour aux miracles. Le ministre des Finances nous prévoit un projet de loi sur le verrou des agences de crédit. La ministre de la Justice, hier, ici, en cette Chambre, à la période des questions, nous a annoncé un projet de loi sur la protection des renseignements personnels. Je pourrais ajouter, là-dedans, le ministre délégué à la Transformation numérique, qui est aussi très actif puis qui n'est jamais bien, bien loin de ces dossiers de protection des renseignements personnels.

Par ailleurs, il y a eu, je l'ai dit, deux demandes de mandat d'initiative, celle de mon collègue de René-Lévesque et la mienne, qui sera entendue ou débattue demain devant la Commission des institutions, qui vise, celle-ci, à revoir les lois justement de protection des renseignements personnels, que ce soit au privé ou au public. Je souhaite, sans trop d'illusions, que ce mandat d'initiative ne subisse pas le sort du mandat d'initiative lancé ou réclamé par mon collègue de René-Lévesque. À suivre, «stay tuned», comme on dit. On devrait avoir des nouvelles assez rapidement là-dessus.

Alors, je veux bien... Et j'ai entendu, à la fin de sa déclaration, le ministre des Finances dire — c'est venu tard, tard, tard : Je veux travailler avec l'opposition. Je pense que c'est effectivement le message qu'on a envoyé ici, c'est vrai aussi des deux autres partis de l'opposition, depuis le début de cette affaire-là qui a, je le rappelle, largement ébranlé la population du Québec. Et je souhaite effectivement qu'on soit capables, dans ce dossier-là comme dans d'autres, de travailler ensemble pour arriver à rectifier certaines incongruités devant lesquelles nous sommes placés maintenant, et je n'en nomme qu'une puisqu'il me reste une minute, et, de ça, nous n'avons que très peu parlé à ce jour, c'est-à-dire les sanctions.

Une fois qu'il y a eu une fuite, là, une fois qu'on a une fuite, là, même si on met des mesures extraordinaires sur place, même si on engage les meilleures agences de communication, les meilleurs lobbyistes, même si on dit qu'on a fait un travail extraordinaire, il reste quand même qu'il y a eu une fuite; dans ce cas-ci, chez Desjardins, une personne apparemment, de ce que j'en sais, a réussi subtiliser 3 millions de dossiers. Il me semble qu'à un moment donné, quelque part, il faut que quelqu'un soit responsable de ça. Et, tant et aussi longtemps qu'on n'enverra pas le message très, très strict que, si vous manipulez les données personnelles puis si, en plus, vous faites de l'argent avec ça, parce que c'est le cas, vous avez une responsabilité... Et on doit envoyer ce message plus tôt que tard. Merci, Mme la Présidente.

• (15 h 40) •

La Vice-Présidente (Mme Gaudreault) : Je vous remercie, M. le député de Rosemont. Je vais maintenant céder la parole à M. le leader du troisième groupe d'opposition et député de René-Lévesque, et je vous confirme que vous disposez d'un temps de parole de 9 min 57 s.

M. Martin Ouellet

M. Ouellet : Merci beaucoup, Mme la Présidente. Donc, à mon tour de prendre la parole en cette motion du mercredi. Je ne suis pas surpris de l'avoir vue apparaître dans notre feuilleton, elle ressemble étrangement aux premières discussions que nous avons eues sur la Commission des finances publiques, à quelques différences près. La première, c'est qu'on fait mention d'une évaluation possible de la Loi sur la protection du consommateur, l'importance, dans ce mandat-là, de regarder l'opportunité de modifier la loi. Et on fait référence aussi à un cas récent, celui d'Industrielle Alliance, qui n'était pas dans l'espace public lors de nos premières discussions sur ces mandats d'initiative.

Donc, Mme la Présidente, vous ne serez pas surprise que ma formation politique et Martin Ouellet, le député de René-Lévesque, va appuyer aussi, de façon très personnelle, cette motion puisque les données des Québécois, la protection des données des Québécois, ça touche l'ensemble des parlementaires. Et je veux être très clair, et de façon non partisane, je pense qu'il était très opportun, il est toujours opportun de discuter de ces enjeux-là puisque, comme le ministre des Finances en a fait mention, ça a été un peu l'affaire de l'été.

Rapidement, je veux juste revenir sur la situation passée. Effectivement, il y a eu Desjardins, la fuite des données chez eux. Rapidement, le président nous a communiqué, avant la conférence de presse, pour nous indiquer qu'est-ce qui s'était passé et un peu les mesures qu'il allait mettre de l'avant. Et ça a été notre premier réflexe, notre formation politique, de demander effectivement un mandat d'initiative sur la situation de Desjardins.

On s'est posé la question de façon non partisane, Mme la Présidente : De quelle façon les parlementaires peuvent et doivent contribuer à mieux protéger l'information personnelle des Québécois et des Québécoises? Et, sur cette demande bien légitime, est apparu d'autres cas dans l'espace public. D'autres institutions importantes comme Capital One, Equifax, et même Revenu Québec ont été victimes de vols de données, et les clients qui étaient touchés ont, dans certains cas, ont été touchés à multiples niveaux. Il y a des gens, dans les médias, qu'on a appris qui ont été touchés par Desjardins, par Revenu Québec, mais aussi par Capital One. Donc, c'étaient trois prises en partant.

Dans le cas de Revenu Québec, pas longtemps après l'apparition effectivement des événements, on a, dans Le Journal de Québec, pour ne pas le nommer, une chronique de Pierre Couture qui fait référence aux cyberattaques et aux fuites de données : Le silence de Revenu Québec inquiète ses employés. Et je cite sa présidente, Line Lamarre : «On ne sait rien. La direction de Revenu Québec ne parle pas et tient ses employés et la population dans l'ignorance», déplore sa présidente. Toujours Mme Lamarre en question : «Revenu Québec communique très mal avec ses employés et la population pour les tenir au courant de ces situations jugées "troublantes. Revenu Québec doit mieux informer ses employés et la population des dangers qui les guettent. Ce n'est pas en cachant les choses que l'on rassure les gens."»

Donc, évidemment, Mme la Présidente, on veut faire la lumière sur ce qu'il s'est passé, pas juste chez Desjardins, mais chez Capital One, chez Equifax, mais aussi chez Revenu Québec, et c'était la nature même de la motion, pas initiale, mais la motion qui a été présentée et discutée en commission particulière justement sur ces événements-là. Et ce qu'on voulait comprendre et bien circonscrire, c'est de quelle façon on peut éviter que ces événements-là se reproduisent. Est-ce que nous, comme parlementaires, est-ce qu'il y a des lois qu'on peut adopter, des mesures-phares qu'on peut annoncer qui permettraient de sécuriser la population du Québec? Parce que c'est un problème global, complexe qui touche l'entreprise privée, mais aussi l'entreprise publique.

Les gens ont peur. Les gens veulent se mettre à l'abri du vol d'identité. Ils ont besoin qu'on revoie tout notre système pour redonner confiance. Donc, cette commission, ce mandat n'est pas pour trouver des coupables, Mme la Présidente, mais surtout pour faire la lumière sur la situation et trouver ensemble des solutions possibles pour redonner le sentiment de sécurité à tous nos concitoyens. C'est notre rôle comme parlementaires. Lorsqu'on est élus, on porte leur voix, et je pense me faire le porte-voix de l'ensemble des collègues. Cet été, je suis convaincu, sans prétention, qu'ici les 125 ont dû entendre, tôt ou tard, lors d'un barbecue, ou sur le bord de la piscine, ou même sur le bord de la plage, quelqu'un nous parler du vol de données et de sa préoccupation.

Donc, Mme la Présidente, ce mandat d'initiative et cette motion se veulent effectivement non partisanes pour que l'ensemble des parlementaires puissent participer à trouver des solutions ici, en cette Chambre, pour faire face à la crise de vol des données ou, dans certains cas, de fuite des données. J'ai entendu le ministre des Finances, tout à l'heure, nous dire : On travaille, on a travaillé, dès le jour 1, sur la situation de Desjardins. Mais il a focussé beaucoup son intervention sur Desjardins, alors que, pour nous, il n'y a pas juste Desjardins, il y a les autres entreprises, privées, mais aussi publiques. Et c'est là que je pense que le gouvernement n'a pas voulu ouvrir son jeu pour nous permettre d'aller au fond des choses sur ce qui s'est passé chez Revenu Québec. On a même proposé, Mme la Présidente, de discuter à huis clos dans certains cas, parce que, si les informations obtenues par les parlementaires étaient à risque ou sensibles d'être à risque, on a proposé de les rencontrer à huis clos, ce qu'on peut faire ici, à l'Assemblée nationale. Ça n'a pas été accepté, Mme la Présidente.

Donc, pour nous, c'est sûr qu'il reste encore beaucoup de travail à faire. Je salue le projet de loi qui sera déposé incessamment par le ministre des Finances sur les agences de crédit. Comme il en a fait mention tout à l'heure, nous n'avions aucune loi pour les encadrer. Nous étions en queue de peloton au Canada à ce sujet, et, dans certains cas... Si je suis son propos, et je vais me garder une petite gêne de voir le projet de loi en question avant de le commenter au final, mais, si, effectivement, j'entends son propos et qu'il y aurait effectivement une loi verrou pour permettre de protéger le crédit, mais effectivement c'est un pas dans la bonne direction. Mais on s'attaque aux agences de crédit qui n'avaient rien. Qu'est-ce qu'on fait pour Revenu Québec? Qu'est-ce qu'on fait pour les institutions publiques et privées qui sont, encore à ce jour, et qui pourraient être ultérieurement victimes d'attaques... de cyberattaques, pardon, ou de fuites de données?

Le ministre des Finances faisait aussi, tout à l'heure, référence au projet de loi n° 14. On a fait une étape encore ce matin, la prise en considération. L'adoption viendra incessamment. Mais le projet de loi n° 14, il ne donne pas plus de sécurité, Mme la Présidente. Il permet au ministre délégué à la Transformation numérique de faire des projets pilotes pour permettre un meilleur échange d'information entre les différents ministères, de rendre accessibles, dans certains cas, des données qui pourraient être utiles pour la recherche, et surtout d'améliorer les communications entre l'appareil gouvernemental et le citoyen.

Donc, on est aux premiers balbutiements. On va faire des essais-erreurs. On a participé au projet de loi en question. On est arrivés avec des amendements. On a encore des craintes, dans certains cas, quant à la sécurité, on n'est pas 100 % garantis. Le ministre nous disait, en commission parlementaire, que le risque zéro n'existe pas. Mais, sur une échelle d'un à 100, j'aime mieux être plus proche de zéro que de 100 et je pense qu'on aurait pu se rapprocher de zéro. Et donc il reste encore des choses à faire.

Cela étant dit, une autre chose que le ministre des Finances nous dit, c'est que la ministre de la Justice va nous déposer un projet de loi sur la protection des données personnelles publiques et privées. Je pense que le collègue de Rosemont va être d'accord avec moi. On en a parlé beaucoup, dans le projet de loi n° 14, sur l'importance d'adopter une réforme de cette loi-là. On a tous convenu que c'était une réforme qui était attendue, qui sera longue, ardue, mais nécessaire.

Alors, permettez-moi, Mme la Présidente, de douter, assurément, du contenu, mais surtout de la vitesse avec laquelle nous allons pouvoir adopter ce projet de loi là, considérant tout le travail qui doit être fait pour s'assurer de corriger cette loi-là, qui date de plus d'une trentaine d'années, et surtout d'adopter des mesures pour nous aider à faire face à ce qui s'en vient, parce que c'est bien de vouloir corriger le passé, mais nos citoyens, citoyennes veulent qu'on fasse des lois aussi en se projetant vers l'avenir, en faisant de la prospective, pour dire : Bien, est-ce qu'on est capables, dans l'avenir, avec ces lois-là, de se prémunir de circonstances qui pourraient être hasardeuses pour nos citoyens et citoyennes?

Donc, j'entends beaucoup d'intentions, mais je suis un gars pratico-pratique, Mme la Présidente, j'ai besoin de tangible. Donc, je n'ai pas le projet de loi du ministre des Finances. Je n'ai pas le projet de loi de la ministre de la Justice. J'ai entendu les intentions du ministre délégué à la Transformation numérique dans le projet de loi n° 14. On va voir qu'est-ce que les projets pilotes vont donner et sa résultante. Donc, aujourd'hui, je n'ai rien à offrir à mes citoyens, citoyennes pour dire : Vous savez quoi, comme parlementaires, nous avons, présentement, entre les mains, les outils nécessaires pour faire face à ces vols d'identité et s'assurer que vos données sont protégées adéquatement.

• (15 h 50) •

Donc, ce mandat d'initiative nous aurait permis, et cette motion nous permet, présentement, du moins, de débattre de la nécessité de tenir une commission parlementaire sur la protection des données privées, mais aussi publiques, d'obtenir de l'information de spécialistes chevronnés en la matière, des gens qui travaillent dans le domaine et qui pourraient effectivement nous donner de l'information pour que nous, à notre tour, en étant bien alimentés, pourrons faire notre travail de parlementaires et répondre à la prérogative du ministre des Finances, de l'aider à bonifier son projet de loi. Parce que, oui, si on est plus informés, on va être plus en mesure de lui donner une meilleure participation quant à la volonté des partis d'opposition d'amender un projet de loi pour assurer, je vous dirais, une meilleure protection des données au point de vue de nos citoyens et citoyennes.

Donc, vous n'êtes pas surprise, Mme la Présidente, on appuie cette motion. Nous sommes d'accord, et on espère qu'on ira un peu plus loin dans ce mandat d'initiative pour faire la lumière sur le vol des données publiques et privées. Merci.

La Vice-Présidente (Mme Gaudreault) : Je vous remercie, M. le leader du troisième groupe d'opposition. Et maintenant je vais céder la parole à M. le ministre délégué à la transformation gouvernementale numérique... numérique, Transformation numérique gouvernementale.

M. Éric Caire

M. Caire : Gouvernemental et numérique sont interchangeables, Mme la Présidente. Il n'y a pas de problème. Ça va bien. Merci, Mme la Présidente.

Écoutez, aujourd'hui, j'entends toutes sortes de choses et je dois vous dire que je suis un peu interloqué, très sincèrement, parce que... D'abord, je veux féliciter mon collègue le ministre des Finances pour son excellente intervention et l'orientation très claire qu'il donne quant aux intentions du gouvernement sur la façon dont on peut protéger les données... en fait, les renseignements personnels des Québécois en ce qui a trait à nos institutions privées. C'est un volet effectivement très important et c'est un volet pour lequel il n'y aurait pas eu de problème à avoir une commission parlementaire. D'ailleurs, la proposition initiale du Parti québécois avait été acceptée par l'ensemble des membres de la commission, il me semble. Je n'en suis pas membre, mais les échos que j'en ai eus, c'est que cette proposition initiale là a été acceptée telle que libellée.

Maintenant, dans une volonté de rattrapage que je salue, que je salue, mais une volonté de rattrapage quand même, je comprends que les oppositions, sans nommer une formation plutôt que l'autre, ont souhaité étendre beaucoup plus largement le mandat en question. Et c'est là que le bât blesse. D'abord, je veux juste rappeler au député de Robert-Baldwin que, si lui s'intéresse à cette question-là depuis le 9 juillet, de notre côté, ça fait des années qu'on s'y intéresse, et donc le cheminement est déjà enclenché depuis longtemps. D'ailleurs, je rappelle à cette noble Assemblée qu'au mois de décembre dernier j'ai annoncé que le gouvernement du Québec allait déposer une politique, la première politique de cybersécurité par un gouvernement du Québec. Donc, on n'a pas commencé le 9 juillet, là. Au mois de décembre, j'annonçais ça, et c'est une annonce que j'ai faite publiquement. Alors, on ne peut pas dire que j'ai profité de l'occasion.

Ensuite, Mme la Présidente, je dois dire que cet appétit soudain et nouveau pour la protection de nos données et des renseignements personnels, j'aurais aimé la retrouver il y a plusieurs années, lorsque ce même député de Robert-Baldwin, alors ministre des Finances et président du Conseil du trésor, comme ministre des Finances, a dit : Nous allons doter le Québec d'un nouveau centre de traitement de l'information; et, comme président du Conseil du trésor, disait : Non, non, il faut les réduire. À ce jour, je n'ai jamais eu la conclusion de cet épineux débat qu'il a eu avec lui-même, sinon qu'on s'est ramassé avec 550 centres de traitement de l'information qui posent un problème, qui posent un problème pour la sécurité de nos données et des renseignements personnels des Québécois. Donc, encore là, je trouve ça intéressant qu'il veuille s'intéresser au sujet, mais ça aurait été intéressant qu'il le fasse au moment où il avait les leviers du pouvoir entre les mains.

Ceci étant dit, nous sommes arrivés au gouvernement et, assez rapidement, on a posé des gestes extrêmement concrets. Et là c'est important, Mme la Présidente, parce que chacun de ces gestes-là est une occasion pour l'ensemble des parlementaires d'avoir des débats sur les sujets qui préoccupent l'ensemble des parlementaires. Je vois ma collègue de Saint-Laurent, je pense qu'on a eu des échanges, dans le cadre du projet de loi n° 14, des échanges intéressants sur cette notion-là de sécurité, de protection des renseignements personnels des Québécois. Même chose avec mon collègue de René-Lévesque, même chose avec mon collègue de La Pinière et même chose, plus brièvement, mais même chose avec le député de Robert-Baldwin.

Donc, le projet de loi n° 14 a été une occasion... Et tantôt j'écoutais mon collègue de René-Lévesque dire : Ouvrir la loi pour aller au fond des choses. C'est un argument que le député de La Pinière nous a servi à plusieurs reprises en disant qu'il voulait aller au fond des choses, et c'est très bien, c'est correct. C'est ce qu'on doit faire. Mais le projet de loi n° 14 a été en partie, pas en totalité, mais en partie, une occasion de le faire. Ce qui me désole un peu plus, c'est que, quand on offre un briefing technique et que les collègues ne se présentent pas, bien là, on se demande : Est-ce qu'il y a vraiment un appétit si féroce...

Une voix : ...

La Vice-Présidente (Mme Gaudreault) : C'est très bien. Vous savez...

Une voix : ...

La Vice-Présidente (Mme Gaudreault) : Merci beaucoup, Mme la députée. Je vous rappelle, M. le ministre, que vous ne devez pas mentionner ni la présence ni l'absence d'un député dans le cadre de nos travaux. C'est très bien.

M. Caire : ...en commission parlementaire et au salon bleu, mais le règlement de l'Assemblée nationale ne s'applique pas aux briefings techniques. Donc, j'aimerais que vous m'expliquiez la décision, Mme la Présidente, parce que je pense que les Québécois ont le droit de savoir qu'aujourd'hui on est devant une demande de mandat d'initiative... et, quand le gouvernement offre un briefing technique et que les députés ne s'y présentent pas... Et le règlement ne s'applique pas à ça, je suis désolé, Mme la Présidente, ne s'applique pas aux briefings techniques offerts par le gouvernement. Donc, je peux comprendre que ça met mes collègues en colère, mais nous qui offrons ces briefings techniques là au nom de cet appétit-là pour l'information et qui ne voyons personne s'y présenter... Bien, je m'excuse, mais je pense que moi aussi, j'ai le droit publiquement de m'interroger sur ces appétits à géométrie variable, Mme la Présidente, et c'est ce que je fais. Merci.

Donc, donc, le projet de loi n° 14, puis là je reprends les propos de mon collègue de René-Lévesque, avec lequel j'ai un certain désaccord, je pense que le projet de loi n° 14 a amené, peut-être pas autant qu'on voudrait, mais a amené de nouvelles mesures de protection des données et des renseignements personnels. On a eu des échanges, notamment avec ma collègue de Saint-Laurent puis le député de La Pinière, qui ont amené des suggestions qui étaient très intéressantes, c'est vrai, puis on les a acceptées, notamment les audits pour les compagnies qui font affaire avec le gouvernement. Ce sont des mesures qu'on a ajoutées. On a ajouté des mesures de transparence avec des rapports qui sont rendus publics, ce qui n'était pas le cas avant. On a ajouté aussi des vérifications qui sont faites et des évaluations des risques potentiels avant tout projet en ressources informationnelles, ce qui ne se faisait pas avant. Donc, maintenant, on évalue le risque pour les données et les renseignements personnels, ce qu'on ne faisait pas. Cette évaluation-là va être validée par la Commission d'accès à l'information.

Donc, dire que le projet de loi n° 14 n'amène pas de nouvelles mesures de protection, j'ai un désaccord avec mon collègue. Je pense que oui. Est-ce que c'est suffisant? Je pense qu'on peut aller plus loin, et c'est ce qu'on veut faire.

Alors, Mme la Présidente, ce matin même, le président du Conseil du trésor a déposé un projet de loi qui crée le Centre d'acquisitions gouvernementales et infrastructures Québec, qui est une autre pièce importante que le gouvernement met en place, oui, pour l'amélioration des services, oui, pour le partage des infrastructures, mais aussi pour la protection de nos données et de nos renseignements personnels, donc des mesures de sécurité additionnelles pour lesquelles on va donner certaines responsabilités à infrastructures Québec. C'est une occasion, pour les collègues, en consultations particulières... Et, Mme la Présidente, j'ai tout lieu de croire que les demandes de l'opposition pour des consultations particulières trouveront un appétit certain, puis c'est correct, c'est correct. On va pouvoir entendre les gens qui vont venir nous guider, mais dans un contexte d'un projet de loi avec une finalité qui va dans le sens de ce que l'opposition dit vouloir, à savoir la protection des données et des renseignements personnels. Donc, il y en a une, tribune, là, pour avoir des consultations, des débats, des échanges, des suggestions et une solution concrète. C'est merveilleux.

Mme la Présidente, le ministre des Finances, ici, vient de vous dire : On va déposer un projet de loi. Une autre opportunité, et, encore là, je suis convaincu que l'opposition ne boudera pas son plaisir, il y aura des consultations particulières. Il y en aura, des consultations particulières, j'en suis sûr. Et il n'est pas impossible, Mme la Présidente, que, sur le projet de loi de mon collègue des Finances et le projet de loi qu'on a déposé avec le président du Conseil du trésor, on retrouve les mêmes personnes qui vont venir discuter de ces différents enjeux là.

• (16 heures) •

Donc, c'est extraordinaire. Ça fait une tribune privilégiée, mais, encore là, encore là, dans un objectif de résultat. Alors, il n'est pas question simplement de dire : Nous devons nous informer sur le sujet. Les Québécois s'attendent, de leur gouvernement d'abord mais de leur Assemblée nationale, qu'il y ait un objectif de résultat. Ce que les Québécois ne veulent pas, c'est avoir d'autres épisodes où leurs renseignements et leurs données personnelles se retrouvent entre les mains d'individus malintentionnés. Ça, ils ne veulent pas ça. Et ce à quoi ils s'attendent, c'est que nous, on s'adresse à cette question-là et qu'on mette en place des mesures qui vont empêcher que ça arrive. Donc, une autre pièce législative qui va donner une autre occasion, une troisième, à l'Assemblée nationale de faire des débats, des débats de fond, et d'avoir des échanges constructifs, mais avec une finalité, avec une finalité.

Et, Mme la Présidente, je ne peux pas passer sous silence que ma collègue de la Justice a annoncé ici, à l'Assemblée nationale, son intention de déposer un projet de loi, donc une quatrième opportunité d'avoir quoi? Je vous le donne en mille, Mme la Présidente : des consultations particulières. Et, encore là, ma boule de cristal me dit qu'il y aura des suggestions de la part de nos collègues de l'opposition, de nombreuses suggestions. Et c'est bien. Et c'est bien. On va entendre plein de gens venir nous parler de protection des données et de renseignements personnels, de cybersécurité dans un contexte, encore une fois, où il y a une finalité qui est l'adoption d'une pièce législative qui va devenir un outil pour garantir la sécurité des données et des renseignements personnels des Québécois. Donc, un outil de plus, une pièce législative de plus. Et, on en parlait avec le collègue de La Pinière, ces lois-là doivent être revues. Il y a des refontes majeures qui doivent être faites, et ces lois-là seront revues, et ces refontes-là seront faites.

Donc, de ce côté-là, je pense que l'Assemblée nationale va être servie en termes de tribune pour que les députés puissent non seulement se faire une tête, mais arriver à une finalité, à un objectif, à un résultat concrets. Et c'est ça qu'on propose à l'opposition, et je pense que tout le monde y trouve son compte.

Maintenant, l'action du gouvernement n'arrête pas là parce qu'il y a d'autres mesures qui doivent être mises en place, des mesures qui ne nécessitent pas, effectivement, une pièce législative. Je pense, entre autres, au fait que j'ai annoncé au début de l'année, et on est en train de finaliser ce projet-là, j'ai annoncé qu'on voulait doter le gouvernement du Québec d'un centre de cyberdéfense ou de cybersécurité, si vous préférez ce terme-là. Eh bien, je dois vous dire que ça avance à la vitesse grand V. Effectivement, le responsable est engagé, on a rapatrié, du ministère de la Sécurité publique, le CERT/AQ au Conseil du trésor parce qu'il y avait une espèce de gouvernance éclatée qui était un peu dysfonctionnelle. Donc, on a centralisé ça. On est à mettre en place les unités de cyberdéfense dans les différents ministères qui vont relever de ce centre gouvernemental de cyberdéfense. Tout ça est en train de se mettre en place.

Évidemment, Mme la Présidente, j'aurais aimé retrouver cette organisation-là en arrivant, mais ce n'est pas le cas. Donc, on va le faire. Ça doit être fait, et on va le faire. On le fait.

On est effectivement à revoir tous les processus, notamment pourquoi? Notamment pour le fait que les données qui sont utilisées dans les différents ministères et organismes sont journalisées. Qu'est-ce que ça veut dire, ça, Mme la Présidente? Ça veut dire qu'un employé de l'État qui accède aux bases de données de l'État pour aller chercher de l'information, chaque demande qu'il fait doit trouver une traçabilité, à savoir qui est allé chercher la donnée, à quelle heure il est allé chercher la donnée, quelle donnée a-t-il demandé pour faire quoi avec. Donc, cette traçabilité-là, elle est majeure parce que c'est comme ça qu'on est capable, après ça, de détecter des mouvements illicites.

Alors, ça, Mme la Présidente, ça se faisait. Je le dis en toute honnêteté, ça se faisait. Maintenant, on a renforcé les mesures pour s'assurer que ça se fait de façon standard et ça se fait de façon systématique. Donc, on est en train de mettre ça.

J'écoutais tout à l'heure le député de Rosemont, et je suis tellement d'accord avec lui, parler de sanctions. Oui, on est en train, d'une part, de s'assurer que les vérifications qui sont faites sur les employés de l'État qui ont accès à des grands volumes de données, que ces vérifications-là sont en profondeur pour s'assurer que les individus à qui on confie ce grand volume de données là ne sont pas en situation de vulnérabilité, et vous comprenez ce que je veux dire, j'en suis sûr, et que ce sont des individus à qui on peut confier une telle responsabilité.

Maintenant, il faut aussi, en cas d'échec ou au cas où ces individus-là, malheureusement, ne seraient pas à la hauteur de la confiance qu'on met en eux, il faut s'assurer que les sanctions sont à la hauteur de la faute. Et là-dessus je partage le point de vue de mon collègue de Rosemont. C'est vrai au privé, mais c'est vrai au public, c'est vrai pour toute organisation qui doit jouir de la confiance, dans notre cas, de nos concitoyens, dans le cas des entreprises privées, de leur clientèle.

Donc, c'est une démarche que nous sommes en train de faire pour nous assurer que, dans l'ensemble de l'appareil gouvernemental, les sanctions sont à la mesure de la faute qui est commise. Bien sûr, de façon préventive, on souhaite évidemment s'assurer que les enquêtes qui sont faites sont faites de façon à ne pas confier ces responsabilités-là à des individus qui pourraient trébucher et nous mettre dans une situation problématique, mais, comme rien n'est parfait et que le risque zéro n'existe pas, je pense qu'il faut aussi avoir des moyens dissuasifs. Ces moyens dissuasifs là, Mme la Présidente, nous sommes à les mettre en place au gouvernement du Québec. En fait, il y avait déjà des mesures qui existaient, mais nous sommes à renforcer ces mesures-là, Mme la Présidente.

Donc, oui, le gouvernement du Québec est en action. Oui, le gouvernement du Québec pose des gestes lorsque ça relève de sa compétence. Mais le gouvernement du Québec, à travers les différents projets de loi, offre des tribunes où on peut consulter la population, les experts, se faire une tête, mais surtout se donner un objectif, une finalité, un objectif de résultats. Et, avec ce gouvernement, un objectif de résultats, c'est incontournable. Et c'est pourquoi, Mme la Présidente, je ne suis pas d'accord avec la motion qui a été déposée. Je pense qu'il faut travailler de façon à faire avancer des pièces législatives qui vont nous donner les moyens de protéger les données et les renseignements des Québécois, et c'est très exactement ce que nous allons faire.

La Vice-Présidente (Mme Gaudreault) : Je vous remercie, M. le ministre. Maintenant, je vais céder la parole à Mme la députée de Saint-Laurent.

Mme Marwah Rizqy

Mme Rizqy : Je m'ennuie. Je m'ennuie sincèrement du shérif de la CAQ, celui qui s'époumonait, dans l'opposition, pour réclamer ici et là, de gauche à droite, des commissions d'enquête pour le bordel informatique puis, une fois rendu au pouvoir, s'écrase sur son siège. Il nous regarde de haut à nous donner des leçons. Pour un homme qui a réclamé 14 fois une commission d'enquête et qui est maintenant rendu dans la fonction de ministre délégué en charge d'une stratégie numérique importante, bien, c'est drôle, il n'est plus capable de gouverner. Tout à coup, le shérif de la CAQ nous dit : Faites-moi confiance. Pas besoin de regarder qu'est-ce qui se passe. Moi, je vais rencontrer mes fonctionnaires puis je vais les avoir à l'oeil.

En décembre dernier, il était en entrevue et il disait : Inquiétez-vous pas, si un fonctionnaire fait deux fois la même erreur, vous allez me trouver sur votre chemin parce que, là, vous devenez des incompétents. La première chose qu'il fait à titre de ministre, Mme la Présidente, c'est de cracher sur le personnel. Première étape. Deuxième étape, il ajoute la chose suivante : Et, si, à la fin de l'année, vous faites plus d'erreurs que de bons coups, vous êtes des incompétents. Deux fois le terme «incompétents» dans cette entrevue sur la fonction publique, ceux qui sont, en ce moment, en train de travailler fort pour s'assurer de protéger les données personnelles des Québécois pendant que lui, le shérif de la CAQ, prend les clés de la maison puis les confie à qui? À des entreprises étrangères. Bien, avec un shérif comme lui, il n'y a plus besoin de prison, hein? Ça ne sert plus à rien, ça ne sert à rien.

Alors, avant de nous donner des leçons sur son briefing technique... C'est que nous, Mme la Présidente, on n'a pas besoin de briefing technique pour comprendre que sa Stratégie numérique, qui, à terme, va donner les renseignements personnels des Québécois à des entreprises localisées au pays de Donald Trump, bien, ce n'est pas une bonne idée. Ça fait que votre briefing technique, on n'en a pas vraiment besoin.

Par contre, ce qu'on a besoin aujourd'hui, c'est un ministre qui prend au sérieux l'inquiétude des Québécois. On a besoin d'un ministre présent, un ministre qui comprend que ce n'est pas normal qu'aujourd'hui on a des Québécois qui ont vu leurs données personnelles être dérobées, des Québécois qui se posent la question suivante : Comment ça se fait que, chez Desjardins, journalisation ou pas de journalisation, en ce moment, ça leur a pris des semaines à être en mesure de s'inscrire à Equifax? Pourquoi que ce n'était pas automatique? Pourquoi qu'il n'y a pas de service en français? Pourquoi c'était si compliqué et si long? Comment ça se fait qu'ils ont tergiversé? Comment ça se fait que ça fait plus de six mois qu'eux autres, ils le savent qu'il y avait un vol de données, mais qu'eux, les citoyens, les clients, ne le savaient pas?

• (16 h 10) •

Quand vous parlez des fonctionnaires qui, s'ils se trompent deux fois, ils vont vous trouver sur votre chemin, vous étiez où dans le dossier de Revenu Québec? Moi, je vous ai cherché. Je ne vous ai pas vu. C'était très silencieux. Dans le dossier de Revenu Québec, en tout cas, il y en a un qui m'a surpris, Mme la Présidente, le député de Saint-Jérôme, qui me fait la leçon : Aïe! Ce n'est pas la même altitude, Revenu Québec, Desjardins. Desjardins, c'est 2,3 millions de clients québécois. Puis moi de répondre au député de Saint-Jérôme : Allô, la Terre! Revenu Québec, c'est le coffre-fort du Québec. C'est 4 millions de contribuables québécois. Alors, hein, pour l'amplitude, on repassera.

Moi, ce qui me désole, c'est qu'à ce jour il n'y a personne d'imputable dans ce gouvernement-là. Non. On est en train de faire la leçon, on parle de tout et de rien, mais on ne parle pas de l'inquiétude.

Moi, j'aimerais que le ministre aujourd'hui explique à une femme du Saguenay comment ça se fait qu'elle s'est réveillée avec deux hypothèques sur son dos puis qu'en ce moment, là, elle essaie, là, de peine et de misère, de blanchir son dossier de crédit. Comment ça se fait qu'il y en a qui partent en vacances puis qu'ils reviennent, ils ont deux contrats de location d'auto? Comment ça se fait que c'est si compliqué?

Il parle du ministre des Finances. Le ministre des Finances, en tout respect, est économiste. Bonjour. Mais, ce matin, si on se fie à son expertise, là, alors, en matière de fiscalité, c'était un petit peu boiteux. J'offre mes services, mais, si jamais il est devenu tout à coup un enquêteur de haute voltige, j'aimerais voir c'est quoi, ses qualifications, parce que jamais que le ministre des Finances serait en mesure aujourd'hui de déposer un projet de loi à la hauteur des attentes des Québécois parce qu'on n'a pas l'expertise nulle part dans cette Assemblée nationale, avec 125 députés, pour être en mesure, juste nous autres, entre nous, d'avoir le projet de loi qui va être parfait pour répondre aux inquiétudes des Québécois.

C'est pour ça que, Mme la Présidente, on demande un mandat d'initiative, parce que nous, on a envie de gratter. Nous, on veut savoir qu'est-ce qui s'est réellement passé. Et je n'accepte pas, nous n'acceptons pas la réponse du député de Saint-Jérôme, qui est la suivante : On ne va quand même pas braquer les projecteurs sur le gouvernement. Non, on n'accepte pas cette réponse. Même le gouvernement a des devoirs à faire. Nous sommes les premiers gardiens des données personnelles des Québécois. Personne n'est au-dessus des lois, et tout le monde devrait être imputable.

Quand le ministre délégué à la Stratégie numérique dit que le risque zéro n'existe pas, je suis d'accord avec lui. Mais, en ce moment, par leur inaction, leur entêtement, leur petite politique, le risque zéro est rendu presque 200 %.

La Vice-Présidente (Mme Gaudreault) : Mme la députée, je vais vous inviter à être un peu plus prudente dans la façon de présenter vos propos. Et ça fait quelques fois que je laisse passer certaines expressions. Je vous invite à poursuivre.

Mme Rizqy : Je m'excuse. Je sais que c'est un grand homme qui aspire à faire de grandes réalisations et j'essaie de l'aider là-dedans. Nous essayons fortement. Un petit peu de misère, c'est un peu boiteux, ça sourit, mais nous, en attendant, on est serré dans nos demandes. On n'a pas le luxe, Mme la Présidente, de passer à côté d'un mandat d'initiative.

Le 28 août dernier, clairement, on a été invités à un... je vais vous le dire, c'était sur l'heure du lunch, là, puis vous m'excuserez d'avance, je sais que vous allez peut-être vous lever, mais vous m'excuserez d'avance, on a été invités à un dîner de cons, sincèrement. On s'est présentés là sur l'heure du lunch, tout était déjà attaché et ficelé. Ils n'en voulaient pas, de mandat d'initiative. Ils nous ont niaisés sur la liste d'experts pendant quoi? Environ 45 minutes puis après ça pour nous dire... Aïe! J'en ris parce que, sinon, je pourrais en pleurer, mais mon mascara pourrait couler. Alors, vous comprenez, je fais des choix dans la vie. Alors là, je m'excuse, mais, sur un mandat d'initiative aussi important, 45 minutes où est-ce qu'on négocie le nombre d'experts, qui qui s'en vient, surprise, coup de théâtre, on tire la plug. Le député de Saint-Jérôme : Ah! non, mais vous savez quoi? Nous, on n'est même pas d'accord avec le libellé d'en haut, là. On ne veut quand même pas... «institutions publiques». Le député de Rosemont, je pense qu'il a failli cracher son gâteau. Puis moi, sincèrement, là, je dois avouer, vous me connaissez maintenant un petit peu, bien, je suis montée au créneau.

Puis j'espère que demain, lorsqu'on aura l'occasion de se retrouver à la Commission des institutions, bien, premièrement, que le premier ministre va se taire pour une fois et ne pas entraver les travaux du législatif, parce que je vous rappelle que le 28 août dernier, pendant que nous, on travaillait fort, on a un premier ministre qui a dit : Les commissions parlementaires, bon, on n'en a pas vraiment besoin. Nous, on est là pour gouverner. Donc, l'Exécutif, une chance qu'il est là. Moi, là, M. Legault mérite le triple O : omniprésent, omniscient, omnipotent.

Des voix : ...

La Vice-Présidente (Mme Gaudreault) : C'est correct. C'est correct. Je vous remercie. Mme la députée, vous savez très bien que vous ne devez pas mentionner le nom des membres de cette Assemblée. Vous devez les appeler par leur titre. Je vous invite aussi encore à la prudence de la façon d'étayer vos propos. Je vous remercie.

Mme Rizqy : J'ai pourtant vérifié à l'index, et «omniscient» n'y était pas.

La Vice-Présidente (Mme Gaudreault) : Ce n'est pas à ce mot-là que je faisais référence, et vous le savez très, très bien.

Mme Rizqy : Mais tout ça pour dire que ça serait très intéressant que, demain, le ministre délégué à la Stratégie numérique, avec le ministre des Finances, parle avec ses collègues et s'assure que, demain, la deuxième chance au bâton soit la bonne, et qu'ils vont prendre au sérieux la préoccupation dégagée par l'ensemble de la population québécoise, et qu'ils comprennent qu'on n'a plus le temps de niaiser, puis c'est l'heure de passer à l'action. Et, pour ce faire, on a besoin de convier nos experts québécois. Et sachez quelque chose, on est au Québec, j'ai été professeure longtemps, assez pour vous dire qu'on a des chaires de recherche, qu'on a, oui, de l'expertise québécoise et qu'on est capables de faire des grandes choses lorsqu'on les consulte. On a aussi des gens expérimentés au SPVM, à la SQ, à d'autres endroits aussi, qui ont juste envie de nous donner un coup de main pour écrire le meilleur projet de loi. Alors, on vous tend la main.

La Vice-Présidente (Mme Gaudreault) : Je vous remercie, Mme la députée de Saint-Laurent. Et maintenant je vais céder la parole à M. le député de Chapleau.

M. Mathieu Lévesque

M. Lévesque (Chapleau) : Merci beaucoup, Mme la Présidente. Comme vous le savez fort probablement, nous vivons aujourd'hui à l'ère du numérique où la capacité des réseaux de communication à partager l'information est gigantesque et ultra rapide. Il en va de même avec la capacité de générer et de stocker des données. De nos jours, il serait tentant de croire que, puisque tout va si vite en matière informatique et technologique, notamment sur les réseaux sociaux et dans l'actualité, une publication et une nouvelle n'attendent pas l'autre, qu'il n'y a pas vraiment d'informations ou de données qui restent ou qui sont emmagasinées, qu'elles ne feraient que passer. Mais il y a un mais, Mme la Présidente, certaines de ces informations et de ces données sont parfois, voire très souvent, gardées et conservées sur des serveurs. Et cela peut, avec raison, engendrer la crainte qu'un individu ou un groupe d'individus mal intentionnés comme des pirates informatiques, aussi connus sous le nom de hackers, tentent d'obtenir ces données personnelles des gens.

Évidemment, j'ai ici en tête, Mme la Présidente, le vol de données ou l'atteinte à la vie privée, des crimes et des agissements qui ont le potentiel d'avoir des répercussions très graves sur la vie des gens. Il est à rappeler, Mme la Présidente, que personne sur la planète n'est vraiment à l'abri de ce phénomène. Pour ces raisons, le gouvernement s'est donc engagé à assurer la sécurité de ses citoyens en matière de protection des renseignements personnels. Ces droits et protections sont d'abord enchâssés dans, hein, dans la charte québécoise des droits et libertés de la personne, particulièrement aux articles traitant du droit au respect de la vie privée et du droit à l'information.

À ce stade-ci, afin de bien comprendre ce dont nous parlons, je crois qu'un rappel historique serait utile afin de bien saisir les mécanismes de protection qui sont déjà en place au Québec pour protéger les consommateurs et tous les citoyens dans le respect de leur vie privée et de leurs informations personnelles. Donc, commençons avec ce rappel.

Depuis les années 1980, nous possédons la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, qui vise à encadrer la divulgation de certains documents détenus par les entités publiques, de même que leur protection. Un organisme, la Commission d'accès à l'information, a été mandaté pour surveiller l'application de la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels. D'ailleurs, la ministre de la Justice est responsable de l'application de cette loi. De plus, le Secrétariat à l'accès à l'information et à la réforme des institutions démocratiques, dont la ministre de la Justice est responsable, voit à l'application et à la supervision de cette loi.

J'aimerais insister sur le fait que la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels s'applique à plus de 3 000 organismes publics et encadre la manière dont les documents confidentiels détenus par ces organismes peuvent être partagés et comment ils doivent être protégés. Il est à noter que Mme la ministre de la Justice a la latitude nécessaire pour réaliser des études, des recherches, des inventaires ou des analyses qu'elle juge pertinents sur les enjeux et les problématiques qu'elle identifie de façon à assurer la protection des renseignements personnels et, bien entendu, bien faire appliquer la loi.

De plus, la Commission d'accès à l'information doit produire tous les cinq ans un rapport sur l'application de cette loi. À ce jour, un tel rapport a été produit en 1987, en 1992, en 1997, en 2002, en 2011, et en 2016. Il va sans dire que ces rapports servent et ont servi à ce qu'une révision constante de la loi soit faite, de même qu'une amélioration continue.

Suite au rapport de 2011, qui s'intitulait Technologies et vie privée, à l'heure des choix de société, la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels a été modernisée, et des auditions publiques se sont tenues sur ce rapport, par la Commission des institutions, visant la modernisation de cette loi.

• (16 h 20) •

Plus récemment, le 17 mai 2018, l'ancienne ministre responsable de l'Accès à l'information et de la Réforme des institutions démocratiques, notre collègue la députée de Notre-Dame-de-Grâce, a déposé le projet de loi n° 179, lequel avait l'intention de modifier et de bonifier la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels. Ce projet de loi est mort au feuilleton au déclenchement des élections, avant qu'il puisse être débattu en commission parlementaire, mais l'on constate la bonification de la loi et l'amélioration de la protection des renseignements personnels qui se fait de façon continue et dans le temps.

Nous voyons ainsi, Mme la Présidente, qu'il est normal que la révision de la loi se fasse périodiquement. Grâce aux mécanismes de consultation populaire dont nous nous sommes dotés ici, à l'Assemblée nationale, il n'est pas absolument nécessaire que nous procédions à un mandat spécial, alors que nous nous engageons déjà dans la voie empruntée par nos prédécesseurs afin de déterminer les meilleurs moyens de moderniser cette loi.

Il est clair maintenant que la situation est différente des années précédentes, et c'est pourquoi plusieurs ministres, comme on l'a entendu tout à l'heure, se penchent et se sont penchés sur ces problèmes dès leur arrivée en poste. D'ailleurs, nos collègues ministres en ont fait mention tout à l'heure. Les malheureux événements des derniers mois ne font qu'illustrer la nécessité d'agir, et notre gouvernement agit. Je suis rassuré de savoir que trois ministères travaillent de concert pour trouver une solution pérenne, concrète et ancrée dans la réalité actuelle du numérique.

Maintenant, en ce qui a trait au domaine privé au Québec, c'est également la ministre de la Justice qui est responsable de l'application de la Loi sur la protection des renseignements personnels dans le secteur privé. En plus de cette loi, des articles du Code civil et de la Charte des droits et libertés de la personne, nous garantissent un droit à la vie privée.

Au Canada depuis avril 2000, la Loi sur la protection des renseignements personnels et les documents électroniques vient compléter et encadrer la Loi sur la protection des renseignements personnels de 1983. Dans un contexte d'augmentation du commerce électronique, elle venait accroître la confiance des consommateurs à faire les transactions en ligne, notamment par le biais de divulgation de numéro de carte bancaire. Elle a depuis été critiquée par son manque de mordant, entre autres par le Commissariat à la protection de la vie privée du Canada.

La Loi sur la protection des renseignements personnels et les documents électroniques canadienne encadre donc la divulgation d'informations personnelles entre provinces et à l'international d'entreprises qui oeuvrent au Québec dans les secteurs fédéraux des banques, des télécommunications, des fournisseurs de services Internet ou encore des compagnies aériennes ou de transport. Toutefois, pour le reste des entreprises, la loi québécoise a préséance sur son territoire en ce qui a trait à la collecte de données par des entreprises privées, puisqu'elle est assez similaire à celle entérinée au fédéral. À ce sujet, on entend beaucoup parler dans les médias de groupes qui réclament aux politiciens un meilleur encadrement juridique de la collecte des données et de leur usage par les entreprises.

Le gouvernement se penche actuellement sur la question. Il regarde ce qui se fait ailleurs, dans d'autres juridictions, et étudie la question. Par exemple, l'État de New York vient de promulguer le Shield Act, qui met à jour leurs lois actuelles sur la protection de la sécurité des données, et la Californie possède également le California Consumer Privacy Act, qui sera en vigueur l'année prochaine. Nous pouvons donc au Québec nous inspirer de ces lois afin de mettre en place de très bonnes pratiques.

L'Union européenne a adopté, en 2016, le Règlement général sur la protection des données, qui est entré en vigueur au printemps 2018. Le règlement établit des limites claires sur l'usage des données, des obligations de sécurité et de divulgation en cas de brèche. Le gouvernement en est donc à gérer la situation.

La ministre de la Justice et son équipe se penchent avec tout le sérieux et le professionnalisme requis, et, personnellement, j'ai grandement confiance que la ministre de la Justice saura trouver les solutions appropriées, avec les collègues, à ces grands enjeux. Merci beaucoup, Mme la Présidente.

La Vice-Présidente (Mme Gaudreault) : Je vous remercie, M. le député de Chapleau. Et maintenant je vais céder la parole à Mme la députée de...

Mme Lise Thériault

Mme Thériault : Anjou—Louis-Riel.

Le Vice-Président (M. Picard) : ...d'Anjou—Louis-Riel, merci.

Mme Thériault : Merci, Mme la Présidente. Évidemment, Mme la Présidente, vous n'êtes pas surprise de voir que je me lève sur la motion qui a été déposée par mon collègue le député de Robert-Baldwin. Mme la Présidente, hier, j'ai adressé une question à la ministre responsable de la Protection des consommateurs, qui a répondu qu'elle était en train de travailler sur la loi sur les renseignements privés des gens. Mme la Présidente, j'aimerais porter à l'attention des collègues ainsi que des gens qui nous écoutent qu'il n'y a pas que cette loi-là qui est importante et qui régit nos vies, votre vie, la mienne, la vie de tous les Québécois. Il y a aussi la Loi de la protection des consommateurs, Mme la Présidente.

Vous savez, Mme la Présidente, j'ai écouté avec beaucoup d'attention les interventions des collègues de l'autre côté, puis, quand le ministre des Finances dit... tout le long, il n'a parlé que de Desjardins. Mais qu'advient-il des autres institutions financières? Moi, j'ai fait la revue de presse également sur les différents cas qu'on a vus, et il y a d'autres institutions financières dont leurs clients sont aux prises avec un vol de données personnelles, l'usurpation d'identité, Mme la Présidente.

Ma collègue la députée de Saint-Laurent a fait état que ce n'était pas normal que quelqu'un qui s'en va en vacances, quand il revient, il a une deuxième hypothèque sur sa maison. Pas du tout, ce n'est pas normal. Ce n'est pas normal que quelqu'un puisse acheter une deuxième puis une troisième voiture, puis prendre des crédits bail location sur des véhicules, et qu'il puisse s'en aller quelque part ailleurs au Canada se débarrasser de la voiture puis mettre l'argent dans ses poches, Mme la Présidente. Ce n'est absolument pas normal, toujours en usurpant l'identité de quelqu'un, évidemment, parce que nos données personnelles ont été mises à mal par notre système, Mme la Présidente.

La motion que mon collègue présente ne touche pas que Desjardins, Mme la Présidente. Capital One, Costco... Costco! Tout le monde connaît Costco. Qui ne va pas chez Costco, Mme la Présidente? Bon, ça se peut que vous n'y alliez pas. Ça se peut que mon collègue n'y aille pas. Moi, je n'ai pas de carte pour aller chez Costco, Mme la Présidente, mais je connais plein de gens qui en ont, par exemple. J'en ai déjà eu une, par contre. Mais tout le monde va chez Costco, presque. Eux aussi sont interpelés. Moi, quand je lis dans les journaux que les employés de Revenu Québec ont eu accès à mes données puis je me demande : Est-ce que ces personnes-là, qui ont eu accès à mes données, qui les ont sorties de chez Revenu Québec, est-ce que c'est parce qu'on a voulu faire pression sur eux au niveau du crime organisé pour avoir accès aux dossiers fiscaux des gens?, je m'interroge, Mme la Présidente. Je ne suis pas la seule à s'interroger.

Vous savez, comme porte-parole de la protection du consommateur, moi, ce qui est important, c'est de savoir ce que les entreprises vont faire. Dans le cas qui nous occupe, on a vu Desjardins dire : O.K., on va vous offrir une protection d'une année. Ils l'ont passée à cinq ans. Woups! Devant le tollé que ça a suscité, protection à vie tant qu'on est client de Desjardins. Je suis cliente Desjardins. Pour répondre à la question du collègue le député de Rosemont, je fais partie de celles dont les données ont été mises à mal également. J'ai le sang vert, Mme la Présidente, je ne changerai pas mes affaires, là, chez Desjardins non plus. Ça ne m'empêchera pas de faire affaire avec eux autres. J'aurais pu être dans une autre institution financière, puis ça aurait pu se produire parce qu'on a vu qu'il y a des cas de d'autres institutions financières aussi où les gens se sont fait usurper leur identité pour avoir des prêts, notamment la Banque Royale.

Mme la Présidente, là où je m'interroge, c'est la responsabilité de l'institution avec qui j'ai fait affaire. Et ça peut être vrai si je loue une voiture ou que j'achète une voiture, si je loue des meubles... pas loue, mais j'achète des meubles dans un magasin d'ameublement et une institution financière. C'est quoi, ma protection, Mme la Présidente, si l'entreprise à qui j'ai confié mes données n'a pas les bons pare-feux, puis qu'on usurpe mon identité, et qu'on va se servir de mon nom pour aller chercher du crédit? Puis quand je me fais dire : Bien, tu as juste à te faire inscrire à Equifax, parfait, il n'y a pas juste Equifax, il y a TransUnion, il y en a d'autres. Pourquoi une compagnie et pas les autres? Pourquoi je n'ai pas de protection à vie si je change d'endroit? La question est légitime, Mme la Présidente. Pourquoi ai-je une protection juridique seulement qui couvre 50 000 $ de frais? Imaginez si c'est cette même institution financière qui a donné mes données, puis qu'en plus de ça elle me fait une deuxième hypothèque, puis qui va m'amener en cour pour que je paie l'hypothèque. Ça va être beau tout à l'heure, ça. Aïe! Juge et partie. Honnêtement, pourquoi juste 50 000 $? Les frais d'avocats, ça va vite. Pourquoi ce n'est pas toute la facture? Pourquoi ce n'est pas conjoint et solidairement?

Savez-vous que, lorsqu'on a changé la Loi sur la protection du consommateur la dernière fois, ce qu'on a fait, c'est, quand tu achètes des meubles dans un magasin d'ameublement et qu'il y a une institution financière qui est liée parce qu'il fait du financement sur x nombre de temps, ils sont conjoints solidairement les deux. Si ton appareil ne fonctionne pas, puis que tu paies encore, puis que le magasin d'ameublement ne veut pas te réparer, la compagnie qui t'a financé doit s'assurer que ton meuble soit réparé ou remplacé, particulièrement pour les électroménagers. Conjoints solidairement.

Je confie mes données à un magasin d'ameublement, je confie mes données à un garage automobile, je confie mes données personnelles dans une transaction commerciale. Pourquoi ne pas protéger moi, le consommateur, quand je fais une transaction commerciale? C'est ça, la Loi de la protection du consommateur, M. le Président — bienvenue sur le trône. C'est ça. Pourquoi ne pas aller rouvrir cette loi-là aussi pour qu'on puisse avoir la bretelle, les ceintures puis tout ce que vous voulez pour protéger?

• (16 h 30) •

Moi, j'ai entendu le collègue, l'autre bord, parler d'un incident. À 2,9 millions de personnes dans une institution financière, je n'appelle pas ça un malheureux incident du tout, du tout. Quand on regarde la quantité de données qui est disponible dans les mains des institutions gouvernementales, bien, je ne vois pas pourquoi on ne les entendrait pas. Moi, je suis intéressée, M. le Président, à entendre ce que les autres ont à dire dans la manière dont ils protègent nos données. Je suis intéressée à entendre les spécialistes qui travaillent sur la question, y compris en cybersécurité, pour comprendre comment ça fonctionne puis savoir ce qu'on doit faire.

Ce que je ne suis pas intéressée, M. le Président, c'est de me faire dire par le premier ministre qu'on ne se laissera pas dicter notre conduite par les membres d'une commission. Le législatif, c'est une chose, puis l'exécutif, c'en est une autre. Puis moi, comme critique de la protection des consommateurs, je suis parfaitement légitimée de demander au gouvernement : Qu'est-ce qu'on fait pour protéger les 8 millions de Québécois, qui sont tous des consommateurs? Donc, vous comprendrez que, lorsqu'on inclut des groupes qui travaillent pour les consommateurs dans une motion, M. le Président, c'est tout à fait légitime.

Le collègue a dit, de l'autre côté : Oui, mais on va avoir des occasions sur les consultations. M. le Président, on soumet des listes de groupes, on se les fait couper au quart, puis on est obligés de négocier, à part de ça, très sérieusement, pour être sûrs que les gens puissent venir, puis on se fait dire : Bien, j'ai entendu tel groupe, je n'ai pas besoin d'entendre le deuxième groupe. Je trouve que c'est un peu particulier de se faire dire : Oui, oui, il va y avoir des lois, on va les entendre, les groupes. Non. Pourquoi on ne travaille pas tous ensemble?

Le seul objectif qu'on a, c'est de protéger les données de tout le monde, des Québécois, des consommateurs. Puis savez-vous quoi, M. le Président? Entre le moment où la première motion a été déposée puis aujourd'hui, il y a eu des groupes qui se sont ajoutés. Puis savez-vous quoi? Avant le dépôt des prochains projets de loi, M. le Président, il y a certainement d'autres groupes qui vont s'ajouter.

C'est une question qui est importante, c'est une question qui fait l'unanimité chez tous les parlementaires de l'opposition, et j'ai beaucoup de difficultés à accepter qu'on nous dise non, qu'on détienne la vérité, alors qu'on devrait tous travailler ensemble là-dessus, M. le Président. Et, si la ministre est vraiment sérieuse et qu'elle veut protéger les gens, bien, j'espère bien que, demain, elle votera en faveur de notre motion, M. le Président.

Le Vice-Président (M. Picard) : Merci. Je reconnais maintenant M. le député de Chauveau, en vous rappelant qu'il reste 9 min 35 s à votre groupe.

M. Sylvain Lévesque

M. Lévesque (Chauveau) : Merci beaucoup, M. le Président. Très intéressant de discuter de ce sujet-là aujourd'hui, un sujet qui touche beaucoup de personnes, en fait tout le monde. La protection des données personnelles, ça touche l'ensemble des Québécois, et c'est normal, il y a une crainte.

Puis j'écoute depuis tantôt mes collègues, notamment le ministre des Finances, le ministre responsable de la Transformation numérique. Je ne peux pas prétendre, M. le Président, que j'ai la connaissance technique de nos ministres ici présents, mais je vais vous parler un peu plus à titre de citoyen, comment moi, je le vois.

Puis évidemment c'est un grand drame qu'ont vécu plusieurs personnes récemment. On parle d'incident, oui, un incident, mais très grave, quand même, 2,7 millions de personnes qui ont été touchées, dont 200 000 entreprises également. Le député de Rosemont en parlait. Lui-même a été touché ainsi que son épouse. C'est triste. Moi, je n'ai pas vécu ça personnellement, j'en suis très heureux, mais j'ai une pensée pour les citoyens de ma circonscription. Plusieurs, dans Chauveau, m'en ont parlé qui, eux, ont été touchés personnellement. Puis évidemment ça crée beaucoup d'insécurité, on ne sait pas ce qui va se passer avec ces données-là, les données qu'on perd, qu'est-ce qui va survenir. Alors, ça, c'est stressant.

Mais, vous savez, M. le Président, la société a tellement évolué. J'ai 45 ans aujourd'hui. On parle juste des données bancaires, par exemple. Lorsque j'étais enfant, on transigeait toutes nos transactions avec de la monnaie papier, de la monnaie dans nos poches. On a passé aux chèques, aux cartes de crédit, à la carte de débit. Puis aujourd'hui tout se passe numérique, à peu près, bien rarement on a de l'argent sur nous, puis on paie nos factures. Puis c'est évident que tout ce qui se fait numériquement, bien, ça occasionne aussi que des personnes tentent de se l'approprier : ton numéro d'assurance sociale, ton numéro d'assurance maladie, permis de conduire, et j'en passe, là. Puis, si, malheureusement, tu perds tes données, bien, on peut peut-être te frauder. Oui, il y a de la protection qui se fait au niveau du système bancaire canadien, qui est un des plus solides au monde, fort heureusement. Mais, les gens, ce qu'ils nous disent, c'est : Protégez-nous, protégez-nous, de grâce, on veut être protégés de ça. Puis les fraudeurs ont toujours des bons trucs pour venir arracher l'information.

Mais malheureusement — j'ai fait quelques recherches, M. le Président — ce n'est pas la première fois que ça arrivait dans l'histoire. On a quand même été alarmés. La technologie avance vite, mais il y a des situations qui sont arrivées. Les données bancaires, c'est arrivé notamment à la TJX Companies en 2006, qui est une compagnie d'épargne, une société d'épargne américaine. Il y a Heartland Payments Systems en 2008, une entreprise transactionnelle américaine également. Il y a le U.S. Office of Personal Management en 2012 puis J.P. Morgan en 2014, sans oublier l'épisode d'Equifax. Donc, vous voyez, M. le Président, c'est des événements, des épisodes et des moments dramatiques pour ces populations-là.

Donc, on savait que le Québec n'était pas à l'abri non plus de vols de données personnelles. Donc, c'est clair qu'on doit, ensemble... Et je ne doute pas du tout, M. le Président, de l'intérêt de l'ensemble des collègues, peu importe la formation politique, sur ce sujet-là. Je suis convaincu que tout le monde souhaite trouver les meilleures solutions pour régler le problème. Mais, je vous l'ai dit, M. le Président, on a commencé avec des premiers cas en 2006. Les collègues de l'opposition officielle, qui, à l'époque, étaient de notre côté de la banquette, malheureusement n'ont pas agi dans ce dossier-là. Récemment, le collègue de Robert-Baldwin s'est exprimé au micro de Louis Lacroix. Il lui a posé la question, M. le Président : Pourquoi, M. le député, lorsque vous étiez ministre des Finances, vous n'avez pas posé les gestes? La réponse fut assez claire : Ce n'était pas à ce moment-là une priorité de notre gouvernement. Je ne doute pas qu'aujourd'hui ça évolue, ça change. Je le crois. La bonne foi, je la présume, M. le Président, mais cette bonne foi là...

Maintenant, on doit le régler ensemble, on doit y travailler. Et le débat d'aujourd'hui se fait sur les moyens. Les collègues proposent un mandat d'initiative. Moi, j'ai écouté ce que nos collègues ont dit tout à l'heure, le ministre des Finances, le ministre de la Transformation numérique, le collègue de Chapleau l'a dit également : La ministre de la Justice est au travail. Il y a trois projets de loi au moins qui seront sur la table pour régler cette problématique-là, de mettre des jalons supplémentaires pour améliorer la situation. Alors, ce qui est intéressant dans ce cas-là, c'est qu'il y aura beaucoup d'opportunités à l'ensemble des groupes que le député de Robert-Baldwin nous propose, là, plusieurs, plusieurs groupes tout à fait pertinents qu'on a le goût d'entendre... et ces gens-là auront l'opportunité, dans très peu de temps, de pouvoir s'exprimer, venir bonifier le projet de loi.

Alors, vous avez devant vous, M. le Président, une équipe ministérielle qui est en action, qui prend le taureau par les cornes puis qui veut le régler, le problème, et qui veut améliorer au maximum la problématique du vol des données personnelles et la protection des données personnelles.

Alors, M. le Président, ce que les citoyens veulent, c'est plus de transparence, plus de protection, qu'on améliore la situation. Mais je ne crois pas, M. le Président, que le moyen qui est proposé aujourd'hui, c'est le meilleur, considérant le fait que notre équipe a des projets de loi dans le collimateur, prêts à être mis sur la glace bientôt. Alors, à ce niveau-là, moi, je demande à l'équipe d'en face de nous appuyer, de travailler avec nous éventuellement sur ces projets-là, qui seront rapidement mis en place, et on pourra avancer. M. le Président, je vous remercie beaucoup.

Le Vice-Président (M. Picard) : Merci. Je cède la parole à M. le député de La Pinière, en lui indiquant qu'il dispose de 7 min 41 s.

M. Gaétan Barrette

M. Barrette : Ah! merci, M. le Président. Je suis vraiment content de parler. Je me retiens depuis tantôt, et nos règles m'empêchaient de parler, ça fait qu'il est vraiment temps que je parle.

M. le Président, là, on va en avoir entendu, là, aujourd'hui, là, comme ça ne se fait pas. Dans la comédie des arguments, là, je pense que le dernier acte était très bon. C'est un succès. Je félicite le député de Chauveau. C'était très bon. Puis il l'a fait sans aucune malice. Je ne reconnais aucune malice dans son intervention. Mais, à un moment donné, là, les i, ça sert à avoir un point dessus, hein, puis les t, ça prend une barre, ça fait qu'on va mettre les points sur les i puis des barres sur les t. J'en ai deux dans mon nom.

M. le Président, là, le député de Chauveau vient de nous dire une affaire qui est complètement dans le champ gauche, hein? Il vient de nous dire, là, que, ses collègues, là, à qui il nous demande de faire confiance, pas juste aux trois collègues qui ont parlé, mais à l'ensemble de la députation de la CAQ, on a trois projets de loi qui vont parler de sécurité. Bien non. Alors, il y en a deux, là, qui ont été nommés puis qui existent, qui ne parlent pas de sécurité, pas de sécurité, puis un qu'on ne connaît pas encore. Ça fait que, lui, on espère que ça va être vrai, parce que les deux autres, là, ce n'est pas vrai.

Le projet de loi n° 14 n'est pas un projet de loi de sécurité. Non, c'est un projet de loi pilote pour faire la transformation informationnelle, à propos de laquelle on espère qu'il y aura de la sécurité mise en place par d'autres lois éventuelles. Ce n'est pas ça, là. Ça ne traite pas, le projet de loi n° 14, de la sécurité, point à la ligne. C'est des applications informatiques qu'on met en place, «that's it, that's all», c'est de même. C'est de même. Le projet de loi, là, sur... Les autres, ce n'est pas ça. On s'assure qu'il y ait des redditions de comptes, que des choses soient mises en place, et ainsi de suite. Bien non. Et le projet de loi dont on ne connaît pas encore la teneur, bien là, on ne le sait pas.

Maintenant, je vois la ministre de la Culture gesticuler comme elle le fait régulièrement, mais, comme d'habitude, bien, il n'y a absolument rien qui sort de ça...

• (16 h 40) •

Le Vice-Président (M. Picard) : M. le député, on s'adresse à moi, on essaie de ne pas susciter de débat, donc...

M. Barrette : Je suis d'accord avec vous, je ne suscite aucun débat. Je ne pensais...

Le Vice-Président (M. Picard) : ...de tenir des propos qui ne susciteront pas de débat.

M. Barrette : Alors, M. le Président, ce dont il est question ici et la raison pour laquelle nous avons déposé le mandat d'initiative, il est très simple : Qu'est-ce qui est en place et qu'est-ce qui doit être fait pour qu'il n'y ait pas d'événement dramatique? Pas comment on va gérer la suite des événements pour ne pas qu'il y en ait. Ce n'est pas la même affaire. Ce n'est pas la même chose.

Alors, ce que le ministre des Finances a légèrement nommé comme étant une anecdote, bien, M. le Président, là, quand on est, nous personnellement, l'anecdote, ce n'est pas une anecdote, c'est un drame. Et normalement, nous individuellement, quand on dépose nos données personnelles, nos états financiers, nos dossiers médicaux en quelque part où ça sera hébergé de façon électronique, on s'attend à ce qu'il y ait de la sécurité.

Le député de Chauveau, M. le Président, il nous disait, il y a quelques instants : Pourquoi vous n'avez rien fait? Bien, M. le Président, là, hein, tous les gouvernements de la planète ont considéré dans les dernières années, sans exception, que l'industrie était responsable... je m'excuse, l'«industrie» est un mauvais mot, que les détenteurs de données, les hébergeurs de données se comportaient de façon correcte. Bien, ce n'est peut-être pas le cas aujourd'hui, là, compte tenu de l'augmentation de la fréquence de ces drames. Et c'est pour ça, le mandat d'initiative. C'est pour savoir si essentiellement les choses sont en place partout pour protéger adéquatement aujourd'hui et demain les données. Pourquoi? Parce qu'on se rend compte, et ça, en général, c'est caché, que les gens qui disent qu'ils hébergent nos données, eh bien, ils sont à date dans leur protocole, dans leur façon de faire, dans leur système, et souvent ce n'est pas le cas.

Moi, M. le Président, j'ai participé aux travaux qui ont ému, d'une certaine manière, les collègues il y a quelques minutes. J'avais demandé une chose, M. le Président, moi. J'avais demandé que des experts en sécurité, et tout ce qui touche la sécurité avant qu'il y ait une fuite, soient entendus pour que nous, tous les parlementaires, soyons équipés pour pouvoir débattre de façon correcte les fameux projets de loi qui vont être déposés, dont deux n'ont aucun rapport et dont un va peut-être avoir un rapport à la sécurité mais dont on ne connaît pas la teneur. Ce n'est pas compliqué, ça. On a demandé essentiellement le respect parlementaire et on ne l'a pas eu. Et on ne l'a pas eu parce que, du côté gouvernemental, on a invoqué le fait que, si on met dans la demande Revenu Québec, ça, c'est un crime de lèse-majesté. Pas du tout. Nous, on est arrivés là, M. le Président, de façon neutre et ubiquitaire. On s'est dit : Les citoyens qui ont des données hébergées en quelque part, ils ont des données hébergées partout, et partout on doit poser des questions. Ce n'est pas pour mettre en boîte qui que ce soit, c'est pour nous documenter.

Alors, la partie gouvernementale, évidemment, a réagi de façon défensive et partisane et ne nous a pas donné l'opportunité d'avoir le mandat d'initiative sur la base d'un critère : il ne fallait pas mettre Revenu Québec. On aurait pu prendre l'Assurance maladie, on aurait pu en prendre un autre, on aurait pu prendre la SAAQ. Non, il ne fallait pas s'intéresser à l'environnement gouvernemental. Franchement, là, est-ce qu'il y a une ségrégation des clientèles, dans l'esprit de la CAQ, sur la question de la sécurité des données personnelles? Ça a l'air à ça. Puis là il nous dit, là : Bien, faites-nous confiance, on a trois projets de loi, tout va bien. Mais je vous fais la démonstration qu'il y a deux des trois projets de loi qui ne traitent pas de la sécurité avant l'événement. Elle ne fait pas ça. Vous pouvez vous construire, là, des histoires, là, ça ne fait pas ça.

Alors, c'est triste. C'est triste, M. le Président, parce que tout ce qu'on a demandé, qui nous a été refusé, c'est de faire en sorte que nous, parlementaires, quitte à le faire à huis clos, on puisse avoir des gens qui ont une expertise en enquête, en technique, en informatique, dans les environnements physiques, dans la programmation, pour venir nous instruire. Moi, je suis pas mal bilingue en informatique, M. le Président. Je ne l'ai pas, cette connaissance-là, pour ce qui est de tout ce qui touche la sécurité. Et ça, ça nous aurait permis, nous, M. le Président, de participer aux travaux parlementaires d'une façon éclairée, au bénéfice de qui? Des citoyennes et des citoyens qui actuellement ne se sentent pas protégés, et à propos duquel sujet la CAQ aujourd'hui ne répond pas. C'est gênant. Ils ne devraient même pas se lever en Chambre pour critiquer ça.

Le Vice-Président (M. Picard) : Merci, M. le député. Je cède la parole à M. le député de Vachon. Il reste quatre minutes à votre groupe parlementaire.

M. Ian Lafrenière

M. Lafrenière : Merci beaucoup, M. le Président. Alors, je vais accepter l'offre. Non seulement je vais me lever, mais je ne serai pas gêné. Merci beaucoup.

Alors, j'ai bien aimé l'exposé avec les points sur les i, les barres sur les t. Notre collègue de La Pinière nous a fait un bel exposé. Pendant un bout de temps, j'aurais peut-être cru à de la comédie, mais c'est plus du devin parce qu'il nous a dit connaître les projets de loi que nous-mêmes, on ne connaît pas aujourd'hui. Alors, je pense qu'on peut se laisser le temps là-dessus.

Vous savez, M. le Président...

Une voix : ...

M. Lafrenière : Vous avez parlé à votre tour tout à l'heure, collègue. Vous savez, M. le Président, j'ai bien écouté ce qui a été dit tout à l'heure, et, à entendre les gens de l'opposition, c'est comme si c'était un nouveau crime. C'est une nouveauté, on vient de découvrir ça. Mais j'ai une mauvaise nouvelle, je ne sais pas où ils étaient à ce moment-là, mais ça fait des années que ça existe. On l'a vu en 2000. Année 2000, la SAAQ, vol d'informations importantes, des taupes du crime organisé. On l'a vu dans mon ancienne vie, Davidson, un cas qui ne nous a pas fait plaisir du tout, du tout, des gens qui ont volé de l'information, qui l'ont vendue au crime organisé. Et ça, ça fait des années que ça existe.

Je ne vous dis pas que la situation n'a pas évolué. Je ne vous dis pas que la situation n'est pas plus urgente. Mais, de venir nous dire ou nous faire croire aujourd'hui que c'est tout nouveau puis c'est pour ça qu'il faut s'y intéresser, bien, je vous dirais : Ils étaient où à ce moment-là? Mais je pourrais vous répondre : Ils étaient au pouvoir. Ça fait qu'on va peut-être se garder une petite gêne aussi avant de dire qu'on n'a rien fait.

Vous savez, il y a la Côte d'Ivoire où on a connu des brouteurs. Des brouteurs, c'est des spécialistes qui vont hacker nos gens, et spécialement des gens qui sont ici, au Canada. On a les taupes, j'en ai parlé. Vol d'identité chez Yahoo!, Uber, WhatsApp, ce n'est pas l'année passée, là, ça fait déjà un bout. Ça existait déjà.

Qu'est-ce qui a été fait? On a tenté... Et je dois donner raison aux deux collègues tout à l'heure qui ont parlé, on est dans un cul-de-sac, M. le Président. Il y a des tentatives qui ont été faites dans les commissions pour trouver une façon de régler ce dossier-là ensemble, et malheureusement on est rendus dans un cul-de-sac.

Et les citoyens à qui je parle... Et j'écoutais notre collègue de René-Lévesque aussi, qui disait : Les citoyens, moi, m'ont parlé cet été. M. le Président, moi-même, j'ai été victime, tout comme mon collègue de Rosemont, et les gens autour de moi m'en parlent. Ça les inquiète. Pourquoi? Ça a des grandes conséquences, c'est vrai. Mais, de se faire répondre aujourd'hui qu'on est dans un cul-de-sac puis qu'on ne donnera pas suite, je ne pense pas qu'il y a grand monde qui vont nous écouter qui vont être fiers de nous. Et des collègues l'ont dit tout à l'heure : On a un devoir de résultat. On doit faire quelque chose. De venir leur dire qu'on n'est pas capables de s'entendre aujourd'hui, ça ne nous aidera pas, mais pas du tout.

Alors, comme gouvernement, comment on peut se faire reprocher d'être dans l'action? Comment on peut se faire reprocher qu'aujourd'hui on a trois ministres qui nous disent : Écoutez, on va déposer des projets de loi, en passant, qui ne sont pas supposés être connus? On prend action. On ne veut pas attendre. Le but d'entendre trois groupes rapidement pendant les commissions, c'était d'avoir un résultat, de les entendre, d'avoir une piste de solution et de rapidement se mettre dans l'action.

Et je veux rassurer aussi les gens. Bien que ça n'a pas été possible d'avoir un mandat dans une commission, donc d'avoir des discussions, d'entendre des experts, ça va être fait pour chacun de ces projets de loi. On va entendre des gens, mais on ne peut plus être en attente. On doit absolument avancer. Pourquoi? Parce que nos commettants nous le demandent. Ils veulent des actions, puis on est un gouvernement d'action.

Je crois, en terminant, M. le Président, que c'est le meilleur des deux mondes. On a une action, on dépose quelque chose et on permet aux groupes de l'opposition de questionner, parce qu'on le sait, dans les commissions, comment ça fonctionne, on va entendre des gens qui sont des spécialistes. Mais on le doit à nos commettants, M. le Président, et nous, je vous le dis, on va le faire. On ne restera pas assis. On n'attendra pas dans six ans pour être sur une banquette et questionner l'autre groupe. Nous, on est dans l'action et on le fait pour les gens qui nous écoutent parce que, pour nous, c'est important, M. le Président. Je vous remercie.

• (16 h 50) •

Le Vice-Président (M. Picard) : Merci, M. le député de Vachon. Je cède maintenant la parole à M. le député de Robert-Baldwin pour sa réplique.

M. Carlos J. Leitão (réplique)

M. Leitão : Très bien. Merci beaucoup, M. le Président. Alors, on va essayer de faire un peu... tirer une conclusion sur tout le débat que nous avons eu ici pendant presque deux heures, et je commencerais en disant que... par une conclusion. Nous insistons... quand je dis «nous», c'est bien sûr l'opposition officielle, mais les deux autres partis d'opposition, la deuxième opposition, la troisième opposition, donc les trois partis d'opposition insistent encore une fois sur la nécessité et le bien-fondé d'entamer une réflexion globale sur cet enjeu primordial qu'est la protection des données personnelles.

Et là, M. le Président, les collègues de l'opposition, que ce soient le député de La Peltrie, le député de Chauveau, le député de Vachon maintenant, nous ont fait la démonstration claire et nette, en fin de compte, de la pertinence de notre démarche et de ce que nous souhaitons. Parce qu'il va y avoir au moins, je ne sais pas, deux, trois ou quatre projets de loi qui s'en viennent, qu'on ne connaît pas encore les détails, mais qui sont préparés en silo, par différents ministres, chacun à sa place, qui ne se parlent pas les uns avec les autres, et donc il y aura trois ou quatre commissions parlementaires qui vont regarder cet enjeu. Alors, pourquoi pas, pourquoi pas, avant tout ça, d'avoir une commission élargie qui regarde de façon globale, avec des experts... Et, comme le député de Vachon a bien mentionné, c'est un enjeu qui préoccupe bien du monde depuis bien des années. Pourquoi ne pas avoir les experts qui viennent ici nous éclairer, nous tous, incluant les membres du gouvernement, et que, par la suite, là, on préparerait un, ou deux, ou trois projets de loi pour régler cette situation. C'est tout ce qu'on demande. C'est tout ce que les oppositions demandent.

Aussi, M. le ministre des Finances a mis beaucoup d'emphase sur les données financières. Donc, toute cette histoire de Desjardins, c'étaient des données financières qui avaient été dérobées, et tout ça, et tout ça. C'est important, ces données financières. Mais le vol d'identité, comme le député de Vachon le sait très bien, c'est beaucoup plus que juste les données financières. On va revenir aux données financières, mais les autres aspects qui sont importants, en termes de protection de notre identité, il y a toutes sortes de conséquences. Et, comme le député de Rosemont a bien dit, moi aussi, je suis d'avis que le vol d'identité, c'est le fléau du XXIe siècle, oui, en effet. Il y a des considérations en termes de sécurité nationale. Quand on nous vole notre identité, ce n'est pas seulement pour faire... pour frauder, ça aussi, mais il y a des enjeux importants de sécurité nationale. Il y a des enjeux importants de lutte au crime organisé. Il y a des enjeux extrêmement importants sur le blanchiment d'argent et la fuite vers les paradis fiscaux. Évidemment, toutes les questions de fraude et des extorsions, ou ce qu'on appelle maintenant les rançongiciels, c'est extrêmement important, tous ces enjeux-là. Alors, il faut regarder au-delà de seulement les données financières, parce qu'il y a tous ces enjeux-là.

Et je vous donne l'exemple, j'offre cet exemple au ministre des Finances et au gouvernement, l'exemple de Singapour. À Singapour, M. le Président, ils ont créé en 2013 ce qu'ils appellent le «Personal Data Protection Commission». Donc, c'est un organisme gouvernemental qui... et, autour de là, des différents ministères, il a comme mandat de regarder toute cette question de la protection des données personnelles. Et, avec cette loi-là, ils ont créé aussi le poste de «Data Protection Officer». Tous les organismes, publics et privés, qui détiennent des informations personnelles doivent avoir quelqu'un de responsable, donc quelqu'un qui doit rendre des comptes. Pour regarder ça, un «Data Protection Officer». Pourquoi ne pas regarder ces choses-là, M. le Président?

Mais revenons aux enjeux financiers dont le ministre des Finances a beaucoup parlé et les collègues de l'opposition aussi ont beaucoup parlé. Je commencerai en disant... en rappelant au ministre des Finances que l'incident, comme il l'a dit, l'incident de Desjardins, c'est beaucoup plus qu'un incident. C'est 2,7 millions d'individus et 200 000 entreprises, donc 2,9 millions de Québécois qui ont vu leurs identités disparaître quelque part. Comme le ministre des Finances l'a lui-même dit, ces données ont été volées. Est-ce qu'ils ont été vendus? On ne le sait pas encore, mais probablement que ça va arriver aussi. Donc, ça, ce n'est pas un incident, c'est un drame. C'est un drame pour les personnes affectées, et pas seulement pour un mois, ou trois mois, ou six mois, mais pour très longtemps.

Et c'est pour ça que c'est important, le projet de loi que M. le ministre des Finances semble vouloir déposer un jour, qui va contenir ces mesures sur le verrou des agences de crédit. Et c'est très bien. Bravo! Mais ce n'est pas suffisant. C'est loin d'être suffisant parce que cet enjeu-là ne se limite pas seulement aux agences de crédit. Elles jouent un rôle important, mais il faut aller, encore une fois, au-delà de là. Il faut avoir une vision d'ensemble, une vision globale de tout ce système-là, M. le Président.

Pour ce qui est, encore une fois, de l'incident, qui est beaucoup plus qu'un incident, qui est ce drame, la façon dont le gouvernement a géré cette crise, M. le ministre des Finances nous dit qu'il était au travail. Le gouvernement était au travail depuis le jour 1. Et je ne doute pas. Je ne doute pas. Je ne remets pas aucunement en doute l'intention et l'attention que le ministre a prêtées à cet enjeu-là.

Là, il y a un problème, pas seulement que... M. le ministre se dit que lui, il est satisfait du rôle que Desjardins et que l'AMF a joué, lui, il est satisfait, mais il faut communiquer ça à la population. La population, elle, ne sait pas que le ministre était en contact quotidien avec l'AMF et avec Desjardins. Il faut sortir, il faut rassurer la population. Il faut se montrer en contrôle de la situation. Et, pendant tout l'été, on a absolument rien entendu du ministre des Finances. Ce n'est qu'à la mi-août, le 20 ou avant, qu'on a finalement entendu quelque chose de la part du gouvernement en termes de mesures qu'il prendrait.

Donc, quand on veut gérer une crise, il faut être présent, il faut rassurer la population et la rassurer de façon régulière, récurrente, constante, et le gouvernement n'était tout simplement pas au rendez-vous à un moment important dans l'histoire du Québec. Et ça, on va se rappeler de cela. Parce qu'il faut le gérer. Ces drames-là, il faut les gérer et il me semble que le gouvernement ne l'a pas fait.

M. le ministre des Finances, on s'est parlé du post-mortem, et donc, pour lui, tout sera réglé avec un projet de loi qu'il va adresser à la section des agences de crédit. Encore une fois, c'est intéressant, mais c'est loin d'être suffisant. Il faut aller beaucoup, beaucoup plus loin que ça.

Maintenant, M. le Président, oui, c'est important, Desjardins, organisme d'importance systémique, tout ça est très important. Mais ce n'est vraiment pas le seul enjeu qui nous concerne ici. Parce que je pense que nous devons collectivement repenser nos façons de faire en matière de protection des données personnelles. Le député de Vachon a mentionné que ces choses-là existent depuis longtemps, et c'est vrai. Mais ça commence à atteindre maintenant une vitesse beaucoup plus préoccupante. Bientôt, il y aura même la connectivité mobile 5G et cela, en tant que soi, va multiplier les occasions de problèmes comme ce qu'on a vécu cet été. Donc, nous devons collectivement repenser nos façons de faire en matière de protection des données personnelles. Pour cela, il faut avoir une réflexion, une réflexion globale, une réflexion plus large, avec les gouvernements, avec les partis d'opposition, avec les experts, avec les organismes gouvernementaux qui viennent nous exposer toutes les facettes de cette situation qui est très préoccupante, pour que, par la suite, le gouvernement puisse préparer des projets de loi qui ne seront pas préparés en silo, indépendamment, chacun pour soi.

Et là, M. le Président, j'aimerais terminer, peut-être en conclusion, que, dans toute cette réflexion-là, disons que ça n'aide pas la cause de rassurer la population et d'avancer dans ce processus-là. Comme M. le premier ministre lui-même le dit, que, le 28 août, on ne veut pas avoir des commissions parlementaires qui vont gérer à la place du gouvernement, on ne parle pas de gérer à la place du gouvernement. On parle de jouer le rôle qu'un parlementaire doit jouer, qui est de consulter les experts. C'est d'arriver à un consensus large sur un enjeu complexe pour alimenter la réflexion gouvernementale dans la préparation de ses lois.

C'est pour ça, M. le Président, que je souhaite que tous les membres de cette Assemblée votent en faveur de notre motion. Merci, M. le Président.

• (17 heures) •

Le Vice-Président (M. Picard) : Merci, M. le député.

Je vais maintenant mettre aux voix la motion de M. le député de Robert-Baldwin, qui se lit comme suit :

«Que l'Assemblée nationale mandate la Commission des finances publiques afin de faire toute la lumière sur la protection des données des Québécois détenues par les institutions publiques et privées et d'évaluer l'opportunité de resserrer la Loi sur la protection du consommateur dans la foulée des événements survenus récemment, notamment chez Desjardins, Capital One, Revenu Québec et Industrielle Alliance;

«Que dans le cadre de ce mandat, la commission procède à des consultations particulières et tienne des auditions publiques et entende : le Mouvement Desjardins, Capital One, l'Association des banquiers canadiens, Équifax, TransUnion, l'Autorité des marchés financiers, Benoît Boivin, dirigeant principal de l'information du Québec, Revenu Québec, l'Office de la protection du consommateur, Option Consommateurs, Union des consommateurs, la Sûreté du Québec, le Service de police de la ville de Montréal, le Service canadien du renseignement de sécurité, le Conseil canadien de l'identité et de l'authentification numérique, MS Solutions, ARS Solutions, le centre d'étude en droit économique, Jean-Denis Garon, UQAM, Département des sciences économiques, Benoit Dupont, Université de Montréal, directeur scientifique du Réseau intégré sur la cybersécurité et titulaire de la Chaire de recherche du Canada en sécurité, identité et technologie, Michel Carlos, spécialiste en lutte contre la fraude, Steve Waterhouse, expert en sécurité informatique, Paul Laurier, président de Vigiteck et ex-enquêteur [de la] Sûreté du Québec, ainsi que toutes les personnes ou organismes qu'elle jugera nécessaire de convoquer;

«Que l'organisation du mandat soit confiée aux membres de la commission;

«Que la commission fasse rapport à l'Assemblée au plus tard le 4 décembre 2019 à moins que la commission n'en décide autrement;

«Enfin, que cette motion devienne un ordre de l'Assemblée.»

Cette motion est-elle adoptée? Oui, Mme la députée de Verdun.

Mme Melançon : J'aimerais bien, s'il vous plaît, vous demander un vote par appel nominal, M. le Président, s'il vous plaît.

Le Vice-Président (M. Picard) : L'appel du vote... Oui, M. le leader adjoint du gouvernement.

M. Schneeberger : M. le Président, alors, je demande que le vote soit reporté à demain, lors des affaires courantes.

Vote reporté

Le Vice-Président (M. Picard) : O.K. Alors, conformément à la demande du leader du gouvernement, le vote sur la motion de M. le député de Robert-Baldwin sera tenu à la période des affaires courantes de demain.

Pour la suite de nos travaux, M. le leader du gouvernement.

M. Schneeberger : Oui, alors, M. le Président, je vous demande d'appeler l'article 3 du feuilleton.

Projet de loi n° 23

Reprise du débat sur l'adoption du principe

Le Vice-Président (M. Picard) : À l'article 3 du feuilleton, l'Assemblée reprend le débat, ajourné plus tôt aujourd'hui, sur l'adoption du principe du projet de loi n° 23, Loi sur la dénomination et les responsabilités de certains ministres et de certains ministères et édictant la Loi sur le ministère des Forêts, de la Faune et des Parcs. Il restait six minutes au député de LaFontaine. Donc, je comprends qu'il ne les prendra pas. Est-ce qu'il y a d'autres interventions?

Des voix : ...

Le Vice-Président (M. Picard) : Je vais suspendre quelques instants.

(Suspension de la séance à 17 h 4)

(Reprise à 17 h 5)

Le Vice-Président (M. Picard) : Nous reprenons nos travaux, et je cède la parole au président du Conseil du trésor.

M. Christian Dubé

M. Dubé : Alors, merci beaucoup, M. le Président. Dans le cas du projet de loi dont on parle, je voudrais peut-être apporter quelques précisions qui sont importantes. Parce que, tout d'abord, on pourrait penser que la dénomination des ministères peut être, je l'ai dit, importante mais non urgente, alors qu'on va se rendre compte qu'il y a des choses qui traînent depuis assez longtemps qui n'ont pas été réglées et qu'encore une fois notre gouvernement veut régler, parce que tout ce qui traîne, habituellement, peut prendre une mauvaise tournure, et des fois ça entraîne des implications qui fait qu'on aurait des lois qui sont soit sous la mauvaise dénomination d'un ministère ou qui pourraient rendre des décisions plus difficiles ou moins éclairées.

Alors, tout d'abord... puis je vais résumer en quatre points mon intervention, si vous me permettez, M. le Président, à savoir que ce projet de loi là, comme je l'ai mentionné tout à l'heure, amène des modifications qui sont nécessaires à la dénomination des ministres et des ministères, de même qu'à l'attribution des responsabilités ministérielles qui sont décrétées depuis octobre 2018, soit la date qui a suivi les élections, en vertu de l'article 9 de la Loi sur l'exécutif.

En fait, comme le mentionnait mon collègue de LaFontaine ce matin, l'article 9, qui existe depuis 1964, comme il le mentionnait, accorde au gouvernement le pouvoir de définir les devoirs qui doivent être remplis par tout membre

[...]
 

En Complément