(Neuf
heures quarante-cinq minutes)
La Présidente (Mme
D'Amours) : À l'ordre, s'il vous plaît! Ayant constaté le quorum, je
déclare la séance de la Commission de l'économie et du travail. Je vous
souhaite la bienvenue et je demande à toutes les personnes dans la salle de
bien vouloir éteindre la sonnerie de leurs appareils électroniques.
La commission est
réunie afin de procéder aux consultations particulières et aux auditions
publiques sur le projet de loi n° 38, loi modifiant
la loi sur la gouvernance et la gestion des ressources informelles des
organismes publics et des entreprises du gouvernement et d'autres dispositions
législatives.
Mme la secrétaire, y
a-t-il des remplacements?
La Secrétaire :
Oui, Mme la Présidente. Mme
Tremblay (Hull) est remplacée par Mme Abou-Khalil (Fabre); Mme Cadet
(Bourassa-Sauvé) est remplacée par Mme Setlakwe (Mont-Royal—Outremont); Mme Lakhoyan Olivier (Chomedey) est remplacée par
Mme Prass (D'Arcy-McGee); et M. Leduc (Hochelaga-Maisonneuve) est remplacé par
M. Bouazzi (Maurice-Richard).
La Présidente (Mme
D'Amours) : Merci. Nous débuterons ce matin par les remarques
préliminaires puis nous entendrons par la
suite les témoins suivants : la Commission
d'accès à l'information du Québec et
Pr Sébastien Gambs.
Remarques préliminaires
J'invite
maintenant le ministre de la Cybersécurité et du Numérique à faire ses
remarques préliminaires. M. le ministre, vous disposez de six minutes.
La parole est à vous.
M. Éric Caire
M. Caire : Merci,
Mme la Présidente. Bien, je vous dirais que je serai bref parce que j'ai...
j'ai hâte qu'on... qu'on puisse entrer en
échange avec les gens qui viennent faire des représentations, mais, d'entrée de
jeu, dire, d'abord, que je suis très heureux d'être ici. Je veux saluer ma
collègue de Mont-Royal—Outremont. Je
veux saluer mes collègues de la partie ministérielle, mon adjoint
parlementaire, la députée de Fabre et les juristes qui vont avoir... je ne sais
pas si c'est le bonheur de nous accompagner au long de cet exercice, ils
sauront nous le dire, mais un exercice important, Mme la Présidente, parce
qu'il y a deux ans le gouvernement du Québec a pris une décision qui était
quand même importante, celle de créer un ministère de la Cybersécurité et du
Numérique, qui est une première en Amérique du Nord. Il y a des agences
gouvernementales qui existent, mais le gouvernement du Québec souhaitait donner
toute l'importance à la cybersécurité et au numérique que... ces deux... ces
deux sujets-là qui sont distincts mais interreliés, on comprend que c'est la
transformation numérique qui appelle à la cybersécurité, et donc de confier ça
à ce qui est la plus haute autorité dans notre régime parlementaire,
c'est-à-dire le ministère.
Maintenant,
aujourd'hui, le contexte évolue, le ministère doit évoluer aussi, puis, je vous
dirais, la mise en place du ministère nous permet aussi de faire quelques
constats, constats que vous allez retrouver dans les différents articles du
projet de loi omnibus qui a été déposé, le projet de loi n° 38.
Cette... ces modifications-là s'inscrivent, Mme la Présidente, dans une logique
qui a commencé, je vous dirais, avec la loi n° 95,
où on se rend compte que la transformation numérique du gouvernement, pour
toutes sortes de bonnes et, surtout, de mauvaises raisons, rencontre des difficultés importantes. La loi n° 95 est
venue améliorer cette situation-là de façon significative avec une possibilité,
au niveau de la valorisation de la donnée,
de faire de la donnée un actif gouvernemental, et la loi n° 95, Mme la Présidente, qui a
été suivie de la loi n° 64, qui est maintenant la loi n° 25, a créé un cadre juridique extrêmement solide, extrêmement
robuste au Québec. Moi, je le dis à qui veut l'entendre, la loi n° 25 est de loin la plus sévère au Canada, en Amérique du Nord puis, potentiellement, en Amérique puisque
calquée sur le régime de protection des renseignements des données européen.
Et donc on peut se targuer, au gouvernement du Québec et au Québec, d'avoir un
cadre législatif qui est très robuste.
Maintenant, il faut
aussi voir la transformation numérique pour ce qu'elle est, c'est-à-dire une
occasion pour le gouvernement de donner des services à la population, de rendre
des services à la population puis de simplifier la vie de la population. Le PL n° 38, son objectif
principal vise ça, vise à permettre au gouvernement du Québec, dans un contexte
de protection des renseignements personnels, de protection de la vie privée, de
protection de nos institutions démocratiques... Parce que la cybersécurité,
aujourd'hui, a aussi pour mandat de s'assurer, sur le territoire québécois,
qu'on protège nos institutions démocratiques et nos secteurs d'activité
stratégiques, et donc c'est ce qu'on... c'est ce qu'on vise avec le PL n° 38, cette
simplification-là, cette augmentation de la capacité à améliorer les services
aux citoyens, la vie de nos concitoyens, et de faire du Québec un
endroit cybersécuritaire, Mme la Présidente.
Donc, j'ai bien hâte
d'entendre les gens qui vont venir nous guider dans nos réflexions puis je nous
souhaite à tous de bonnes consultations et une bonne étude du PL n° 38. Merci, Mme la Présidente.
• (9 h 50) •
La Présidente (Mme D'Amours) : Merci,
M. le ministre. Maintenant, j'invite Mme la députée de Royal... Mont-Royal—Outremont,
pardon, à faire ses remarques préliminaires pour une durée de 4 min 30 s.
Mme Michelle
Setlakwe
Mme
Setlakwe : Merci, Mme la Présidente. Donc, à mon tour, là, de
saluer tous les membres de la commission, vous, Mme la Présidente, les membres,
la secrétaire. M. le ministre, c'est la deuxième fois qu'on va collaborer
ensemble sur un projet de loi, la députée de
Fabre aussi. En fait, on s'est croisés déjà quelques fois en commission. Tous
les autres députés, là, du côté du gouvernement, ça me fait plaisir
de... ça me fera plaisir de collaborer avec vous tous. Soyez assurés, comme toujours, qu'on va travailler de
façon constructive pour... dans la révision du projet de loi. Je veux
d'ailleurs vous remercier pour le
briefing technique d'hier, qui a été très apprécié. Aujourd'hui, on commence
les consultations. Donc, nous serons à l'écoute.
On va commencer avec la Commission d'accès à
l'information, qui nous a soumis un mémoire très, très détaillé, très élaboré, comme d'habitude, mais j'aimerais rappeler, puis
vous l'avez mentionné, M. le ministre, qu'on est réunis aussi,
aujourd'hui, moins de deux ans avant... depuis la création du ministère, oui,
un ministère très important, Cybersécurité et Numérique, mais ce n'est pas
la... Donc, ce n'est pas la première fois qu'on se... qu'on révise la législation qui vient encadrer ce nouveau
ministère. Ça ne fait pas longtemps, là, lors de la 42e législature, en
mai 2021, il y a eu présentation du
projet de loi n° 95, vous l'avez mentionné, la loi modifiant la LGGRI, la
Loi sur la gouvernance et la gestion des ressources informationnelles,
présentée par vous, là, qui était... Vous étiez, à l'époque, ministre délégué à la Transformation numérique
gouvernementale. Aussi, durant la 42e législature, en octobre 2021, donc
ça fait... ça fait deux ans, il y a
eu subséquemment la présentation du projet de loi n° 6,
Loi édictant la Loi sur le ministère de la Cybersécurité et du Numérique, toujours présentée par vous, à l'époque,
le ministre délégué à la Transformation numérique gouvernementale.
Depuis...
depuis ce temps-là... Donc, c'est depuis le 1er janvier 2022 que le
ministère existe. Oui, le rôle est très important, et, oui, je comprends que la
situation évolue et qu'il faut aussi faire les ajustements nécessaires en
fonction de cette évolution, et on sait que, malheureusement, depuis la
création du ministère... Je ne dis pas qu'il n'y a que des mauvaises choses qui
sont arrivées, pas du tout. La tâche, elle est... elle est grande. Je vais y
revenir.
Mais, depuis ce temps-là, il y a eu le fiasco de
SAAQclic, là, dont les Québécois ont souffert. Il y a eu des files d'attente pour servir les citoyens,
malheureusement. Les succursales ont fermé pendant quelques semaines, puis, quand
les succursales ont repris leurs activités, bien, il y a eu évidemment un
engorgement, un embouteillage. La capacité de traitement a été rapidement
excédée, créant un effet de masse dans les centres de service. En fait, ce qui
s'est passé et ce qu'on a vu, c'est que le gouvernement a comme surestimé
l'adhésion à la plateforme et sous-estimé le besoin d'un grand nombre de
Québécois de continuer d'être accompagnés par des êtres humains, là, d'aller en
succursale, d'être accompagnés dans les... dans leurs transactions, somme
toute, fort simples, là.
Le Service d'authentification gouvernementale du
ministre a aussi été critiqué. Il y a une firme externe qui a produit un rapport, un audit, récemment, qui a
montré du doigt le SAG du ministère de la Cybersécurité et du Numérique.
Encore une fois, l'adhésion à ce service de sécurité a été surestimée. Des
clients ont été incapables de s'y inscrire. La firme confirme que la gestion
incomplète et réactive des enjeux d'intensification était connue par la SAAQ et
par le ministère de la Cybersécurité et du Numérique en juin 2022.
Donc, je peux comprendre, aujourd'hui, là, qu'on
veuille apporter des ajustements, qu'on veuille asseoir le leadership du
ministre, qu'on veuille lui donner plus de pouvoirs, qu'on veuille établir des
priorités. Étant donné qu'il y a plus de 2 500 projets en ressources
informationnelles en cours, ils ne peuvent pas tous être au même niveau de
priorisation. Il y a quand même aussi des limites au niveau des ressources
humaines. Il faut établir des priorités. Il faut que vous, M. le ministre,
soyez en mesure d'allouer les ressources au bon moment, au bon endroit pour que
ces projets prioritaires là voient le jour,
tout ça, évidemment, pour le bien-être de... le bien-être de la population
québécoise, qui, somme toute, demande simplement d'avoir des
plateformes...
La Présidente (Mme D'Amours) : En
terminant.
Mme Setlakwe : ...conviviales étant
donné les défis numériques énormes, là, au XXIe siècle, pensons santé,
éducation, qui sont prioritaires.
Donc, honnêtement, au niveau du PL n° 38...
La Présidente (Mme D'Amours) : ...que
nous avions, madame.
Mme Setlakwe : ...oui, on a... j'ai
certainement une ouverture et je serai à l'écoute. Merci.
Auditions
La Présidente
(Mme D'Amours) : Merci.
Donc, je souhaite maintenant la bienvenue à la Commission d'accès à
l'information du Québec. Je vous rappelle que vous disposez de 10 minutes
pour votre exposé, puis nous procéderons à la période
d'échange avec les membres de la commission. Je vous invite donc à vous
présenter et à commencer votre exposé, s'il vous plaît.
Commission d'accès à
l'information du Québec (CAI)
Mme Poitras (Diane) : Merci, Mme la Présidente. Alors, je suis Diane Poitras,
présidente de la Commission d'accès à
l'information. Je suis accompagnée par Me Naomi Ayotte, qui est membre de la
section de la surveillance, de Mme Ralitsa
Dimova, qui est directrice de la direction de la surveillance à la commission,
et de Me Jean-Sébastien Desmeules, qui est secrétaire général et
directeur des affaires juridiques.
Alors,
d'abord, merci pour cette occasion de partager avec vous nos commentaires au
sujet du projet de loi n° 38. À titre d'organisme chargé de
promouvoir l'accès aux documents et la protection des renseignements
personnels, la Commission d'accès à l'information commente trois dispositions
du projet de loi dans son mémoire.
Les deux premières concernent l'obligation applicable
aux sources officielles de données numériques gouvernementales de faire
approuver par la commission les règles de gouvernance dont elles doivent se
doter. Le projet de loi propose de retirer
cette obligation. La source officielle n'aurait qu'à transmettre ces règles à
la commission à l'avenir. Cela s'appliquerait aussi aux demandes
d'approbation qui sont en cours.
L'autre disposition qui fait l'objet de
commentaires dans notre mémoire, mais que je n'aborderai pas dans ma présentation, est celle permettant au
gouvernement d'autoriser la mise en oeuvre d'un projet pilote qui vise à
étudier, expérimenter, innover dans le domaine de la cybersécurité ou du
numérique ou à définir des normes applicables dans ces domaines. La commission
propose un ajout à cet article du projet de loi pour bonifier la protection des
renseignements sensibles qui pourraient être utilisés dans le cadre de tels
projets.
Alors, voyons d'abord l'article 10 du
projet de loi, qui prévoit le retrait de l'obligation faite aux sources officielles
de données de faire approuver leurs règles de gouvernance par la commission. Je
rappelle que cette approbation est
nécessaire pour qu'elles puissent commencer à recueillir, utiliser ou
communiquer des renseignements personnels dans leur rôle de source
officielle. Bien que récente, l'expérience démontre l'apport positif que
représente ce processus d'approbation préalable et l'intervention préventive et
proactive de la commission qui le permet.
Elle peut formuler des commentaires constructifs
et inviter l'organisme à bonifier, au besoin, ses règles de gouvernance, ce qui
améliore la protection des renseignements personnels pour l'application du
régime de sources officielles de données. Cette approbation contribue également
à accroître la confiance des citoyens dans la gestion de leurs renseignements
dans le cadre de la transformation numérique, dont vous avez tous les deux
parlé. Elle s'inscrit donc directement dans les objectifs de la LGGRI.
À l'opposé,
remplacer cette approbation par une simple transmission des règles de
gouvernance à la commission comporte, à notre avis, des risques pour la
protection des renseignements personnels et peut miner la confiance du public, et je m'explique. Une source officielle de
données se voit confier par le gouvernement un rôle particulier qui lui permet
de recueillir, d'utiliser ou de communiquer des renseignements personnels à des
fins identifiées dans un décret. C'est un régime d'exception qui vise à
faciliter la circulation des renseignements personnels et leur utilisation à
des fins différentes de celles prévues au moment de leur collecte auprès
des citoyens.
La source officielle doit donc mettre en place
des règles de gouvernance spécifiques au contexte pour lequel elle est désignée et adaptées aux risques supplémentaires
résultant de ce rôle et de la circulation accrue d'informations qui en
résultent. Plus qu'une simple formalité administrative, l'obligation de faire
approuver par la commission ses règles de
gouvernance permet d'assurer la protection des renseignements personnels sous
la responsabilité de la source officielle dès le début de l'exercice de ce
rôle, ce qu'une intervention de la commission a posteriori ne peut permettre.
La modification proposée aurait pour effet
d'obliger la commission à intervenir en mode réactif en ayant recours à ses pouvoirs de surveillance et
d'enquête si les règles de gouvernance qui lui sont transmises sont insuffisantes
ou inadéquates. Elle interviendra... elle
interviendrait donc après que l'organisme a déjà commencé à recueillir, utiliser
et communiquer des renseignements
personnels. Dans ce scénario, ce sont les renseignements personnels des
citoyens qu'on met ainsi à risque en retirant l'autorisation préalable de la
commission, sans compter l'impact du déclenchement d'une enquête de la commission, d'une ordonnance
ou, pire, d'un incident de confidentialité sur la confiance des citoyens
dans la manière dont l'administration publique protège ces renseignements.
• (10 heures) •
Le régime de plus grande mobilité des données,
qui est mis en place par la LGGRI, repose, entre autres, sur la confiance du
public dans les mesures permettant d'assurer la protection des renseignements
personnels. Cette loi prévoit d'ailleurs
expressément que les pouvoirs qu'elle confère en matière de données numériques
gouvernementales, dont la désignation de source officielle, doivent être
exercés de manière à respecter le droit à la vie privée et à promouvoir la
confiance du public. L'approbation préalable de la commission contribue à cette
confiance.
C'est important de distinguer aussi les règles
de gouvernance que doit adopter un organisme à titre de source officielle de celles prévues par d'autres lois
récentes qui ne prévoient pas une approbation préalable par la commission, par
exemple, les règles de gouvernance que doit adopter tout organisme public
depuis l'entrée en vigueur de la loi n° 25 ou
encore les règles que doit adopter le ministre de la Santé en vertu de la
loi n° 5 sur les renseignements de santé et de
services sociaux. Dans les deux cas, les règles de gouvernance sont
d'application générale et applicables aux
fonctions courantes des organismes visés. C'est donc normal que la commission
n'ait pas approuvé l'ensemble de ces règles de gouvernance générale.
Or, la situation de la source officielle est
tout autre. Comme je l'ai mentionné, les règles de gouvernance prévues par la LGGRI visent à mettre en place une
gouvernance spécifique au rôle de source officielle. Cette obligation s'apparente davantage à celle qui est faite à l'Institut
de la statistique du Québec. Dans le cadre du nouveau rôle qu'il exerce en matière d'accès aux renseignements à des
fins de recherche, il doit établir des règles de gouvernance spécifiques,
et ces règles de gouvernance doivent être soumises à la commission pour
approbation.
À notre avis,
l'approbation préalable des règles de gouvernance par la commission est non
seulement justifiée, mais nécessaire dans le contexte de la LGGRI. Elle permet
un dialogue constructif avec l'organisme public dans une dynamique de prévention de situations de
non-conformité, par opposition à l'approche répressive et réactive qui résulterait
de la modification législative proposée.
Enfin, puisque cette obligation d'approbation
des règles de gouvernance est toute récente, la commission s'interroge sur les motifs justifiant de retirer
la possibilité d'intervenir ainsi efficacement en amont pour accompagner
les organismes et prévenir des situations affectant la protection des
renseignements personnels des citoyens. C'est pourquoi on recommande le retrait
de l'article 10 du projet de loi.
Pour sa part, l'article 19 du projet de loi
prévoit le retrait de l'approbation de la commission... prévoit que le retrait
s'appliquerait aussi aux demandes qui sont en cours. Une seule demande serait
visée, celle du ministère de la Cybersécurité et du Numérique, qui a été
désigné source officielle de données aux fins du Service d'authentification
gouvernementale. Ce rôle inclut la création du registre d'attributs d'identité
aux fins du Service québécois d'identité numérique. Ce registre contient des
renseignements d'identité sur l'ensemble de la population du Québec, incluant
leur numéro d'assurance maladie, leur numéro d'assurance sociale, un
identifiant unique et d'autres renseignements d'identité. La sensibilité de ces
renseignements et la convoitise que suscitera ce registre national d'identité
requièrent que des règles de gouvernance
robustes et efficaces soient mises en place avant qu'il puisse agir comme
source officielle.
Le processus d'approbation des règles de
gouvernance du MCN, qui tire à sa fin, n'aurait donc pas à être complété si cet
article était adopté. La commission n'aurait pas à émettre d'approbation avant
que le MCN agisse à titre de source officielle pour le registre d'attributs
d'identité.
Depuis la présentation de sa demande
d'approbation, des échanges constructifs entre la commission et le MCN ont
contribué à une amélioration notable des règles de gouvernance initialement
proposées par le MCN, et ce, au bénéfice des citoyens dont les renseignements
sont impliqués.
La commission a reçu, en fin de soirée hier, des
documents permettant possiblement de compléter le dossier du MCN. On a les
analyses, à l'heure où on se parle. Elle souhaite poursuivre ce processus
d'approbation des règles de gouvernance et
recommande le retrait de l'article 19 du projet de loi. La sensibilité des
renseignements contenus au registre d'identité le justifie.
Je vous
remercie de votre attention. Je suis disponible pour échanger avec vous au cours
des prochaines minutes.
La Présidente (Mme D'Amours) : Merci,
Mme Poitras. Maintenant, je vais céder la parole au ministre, et vous avez un
temps de 16 min 30 s. M. le ministre.
M. Caire : Parfait. Merci, Mme la
Présidente. Me Poitras, bonjour. C'est un plaisir de vous revoir, puis à tous
les membres de la commission, c'est un plaisir de vous voir. Me Desmeules
aussi, ça faisait longtemps qu'on ne s'était
pas croisés. En fait, d'entrée de jeu, Me Poitras, je vais faire un commentaire
général qui fait suite à l'intervention de ma collègue de Mont-Royal—Outremont concernant le Service d'authentification gouvernementale, parce qu'il y a des choses, je pense, qui méritent quand même
d'être précisées.
Effectivement, dans l'audit de PricewaterhouseCoopers,
il y a des observations qui ont été faites sur la communication entourant le déploiement du service, mais, sur la
fonctionnalité du service, je pense qu'il faut reconnaître qu'il
fonctionne très bien, au point où il a été en nomination aux Octas, en juin
dernier, comme un des quatre meilleurs services numériques qui a été déployé au
Québec en 2022-2023. Alors, ça, ce n'est pas moi qui le dis, là, c'est factuel.
Puis c'est important de le préciser, parce que Me Poitras soulignait, à raison,
que toute la question de la transaction
numérique doit se baser sur la confiance, et les Québécois peuvent avoir
confiance au Service d'authentification
gouvernementale. Première mise au point.
Me Poitras, vous ne serez pas étonnée si je vous
dis que nous avons quelques points de désaccord. Mais je vais me nourrir de nos
discussions. Puis j'écoute vos commentaires, je reçois vos commentaires avec
ouverture, parce qu'il y a des éléments que vous amenez sur lesquels je
voudrais qu'on échange, vous et moi.
D'abord, vous parlez de la LGGRI comme un régime
d'exception. Premier point de désaccord.
(Interruption) Excusez-moi, le chat dans la gorge, c'est désagréable, je veux
présenter mes excuses à tout le monde.
Bon, le PL n° 3, en
santé, est un régime d'exception, là-dessus, vous et moi, on va être d'accord.
Le PL n° 23 de mon collègue en Éducation va
devenir, à terme, si l'Assemblée nationale adopte le projet de loi... va
devenir un régime d'exception. Mais la LGGRI n'est pas un régime d'exception en
ce sens que la règle générale, qui est la loi n° 25,
s'applique en totalité. Donc, d'entrée de jeu, tout ce qui se fait à travers la
LGGRI doit respecter intégralement la loi n° 25,
qui est notre régime général. De plus, la LGGRI impose des mesures
particulières de respect de la vie privée et protection des renseignements
personnels. 12.10, 12.11 de la loi nous font des obligations supplémentaires,
plus les règles de gouvernance.
Donc, quand vous dites qu'il faut approuver du
fait que c'est un régime d'exception, j'aimerais ça peut-être qu'on échange
là-dessus. Parce que, du point de vue du MCN, c'est le PL n° 3,
c'est la loi sur le centre national de dépôt
de données de santé et de services sociaux, qui est un régime d'exception, et
peut-être, éventuellement, si l'Assemblée nationale adopte le projet de
loi n° 23, ce sera le cas en éducation. Puis nous n'en sommes pas un.
Donc, pourquoi une règle exceptionnelle? Parce
qu'il n'y a que les règles de gouvernance prévues aux sources officielles de
données qui sont soumises à cette obligation-là d'approbation. Il n'y en a pas
dans la loi n° 25, il n'y
en a pas dans le PL n° 3 et il n'y en a pas dans le PL n° 23.
Donc, vous demandez pourquoi, bien, parce que, pour nous, c'est une harmonisation du cadre législatif, parce que c'est
le seul régime... Bien, en fait, la seule exception, c'est que c'est le seul régime qui doit avoir...
dont les règles doivent être approuvées par la CAI. Donc, pourquoi cette vision-là,
dans les faits?
Mme Poitras (Diane) : Pourquoi le... C'est dans le régime d'exception. En fait,
quand je dis que c'est un régime
d'exception, je ne veux pas dire que c'est un régime qui déroge à la Loi sur
l'accès, vous avez raison là-dessus. Par contre, il permet une plus
grande mobilité des renseignements personnels en établissant un régime. Puis
c'est par référence à des dispositions de la loi qui fait que ça le respecte.
Mais, en soi, dans cette loi, on a convenu qu'on pouvait permettre une plus grande circulation de renseignements, qu'on
pourrait les utiliser à d'autres fins, déterminées par décret, mais à
d'autres fins que celles pour lesquelles ils ont été recueillis. Et ça permet à
des organismes qui ne sont pas, peut-être, détenteurs d'informations d'être
responsables de renseignements personnels. Donc, ce n'est pas un régime qui
déroge à la Loi sur l'accès, j'en conviens.
Quant à l'harmonisation, encore une fois, je le
souligne, il faut bien distinguer les règles de gouvernance d'application
générale aux fonctions courantes d'un organisme de celles d'une source
officielle qui se voit confier un rôle spécifique visant la mobilité, une plus
grande mobilité des données, puis, dans certains cas, des renseignements
sensibles. Et, pour nous, ça s'apparente davantage à l'obligation d'approbation
et au nouveau rôle qu'on a confié à l'ISQ de donner accès à des renseignements
à des fins de recherche, qui est un rôle en marge de son rôle courant.
Et je
souligne que même les règles de gouvernance courantes des organismes publics,
en vertu de la loi n° 25, doivent
au moins être approuvées à l'interne par le comité d'accès à l'information et
de protection des renseignements personnels. On considère que la source
officielle, ça justifie une approbation autre de l'organisme de surveillance
indépendant, au même titre que l'ISQ.
• (10 h 10) •
M. Caire : Bien, en fait, puis ça,
c'est l'autre sujet que vous abordez que je trouve intéressant, parce que la LGGRI est le seul cadre législatif où il y a une
internalisation de l'utilisation des informations. Et je m'explique, Me
Poitras, parce que je me rends compte que ce n'est peut-être pas clair,
là. Quand on parle du PL n° 3, par exemple, le centre
national de dépôt de santé et de services
sociaux va s'appliquer autant à des entités publiques qu'à des entités privées.
Même chose... excusez-moi, même chose pour le PL n° 23,
alors que les sources officielles de données ne s'adressent qu'aux
seules entités publiques.
Et, si je pense à l'Institut de la statistique,
il y a deux différences majeures entre ce qu'une source officielle de données va faire, versus l'Institut de la
statistique. Premièrement, une source officielle de données vise à déconcentrer
la donnée, parce qu'il y a trop de données
de toutes sortes de natures qui sont concentrées dû au fait de l'incapacité des
organismes à communiquer entre eux l'information.
Donc, quand vous parlez de mobilité de la
donnée, Me Poitras, là-dessus, vous avez tout à fait raison, c'est l'objectif,
mais c'est pour contrer le fait qu'en l'absence de cette mobilité-là, ce que
les organismes publics font, c'est qu'ils vont collecter toute l'information
dont ils ont besoin, ce qui fait que vos données, vos renseignements personnels
se trouvent surmultipliés dans un paquet de bases de données qui sont soumises
à des règles générales, qui sont protégées
technologiquement, bon, comme on peut, qui augmentent la surface d'attaque, et
donc qui augmentent significativement le risque de fuites de données.
Donc, l'idée de la source de données, c'est de déconcentrer ces données-là dans différents endroits, de diminuer
l'impact d'une fuite de données par le fait que la donnée sera... il y aura
moins de données.
Or,
l'Institut de la statistique fait le contraire. L'Institut de la statistique va
collecter énormément de données de toutes natures sur l'individu, sur sa
santé, sur ses finances, sur son éducation, sur ses conditions
socioéconomiques, ce que les sources de données ne feront jamais. Et, en plus,
l'Institut de la statistique va rendre ça disponible autant pour le secteur
public que le secteur privé. Donc, personnellement, puis avec égard pour la
commission, je pense qu'on compare deux choses qui ne sont pas comparables, à
mon humble avis.
Donc, de ce fait-là, est-ce que vous ne pensez
pas, justement, que l'Institut de la statistique et une source de données
devraient être traités de façon différente? Parce que leur mission est
différente, leur condition est différente, la situation dans laquelle ils
évoluent est différente. Cette comparaison-là, je ne sais pas... Peut-être
élaborer un peu là-dessus, là.
Mme Poitras (Diane) : Bien sûr. Moi, je prendrais un exemple concret, le registre
d'identité numérique. Le registre d'identité numérique, comme vous le
mentionnez, à terme, effectivement, ça peut éviter que tous les organismes
publics recueillent des données d'identité et qu'on concentre au sein d'un
seul... de la source officielle, on va l'appeler comme ça, le registre
d'identité, puis c'est lui qui va avoir la responsabilité de valider l'identité
d'une personne. Mais cette grande concentration au sein d'un même organisme
fait justement que c'est là qu'il faut qu'il soit protégé. Parce que, si à cet
endroit-là, à la source officielle, les renseignements dont il est responsable,
il arrive un incident, il arrive quelque chose, il n'y a pas une gouvernance,
des règles de gouvernance suffisantes qui sont en place. Dans le cas, entre
autres, du registre d'identité, c'est même la capacité pour le citoyen de
s'identifier. Tu sais, je l'ai dit, la convoitise que va susciter le registre
d'identité.
Puis, en plus, il est à un seul endroit, je
comprends que c'est peut-être plus facile de le protéger. Mais, nous, ce qu'on
dit, c'est : Parfait, mais pourquoi ne pas garder les règles que les
parlementaires ont jugées adéquates, lors de l'adoption de la loi... du projet
de loi n° 95, en disant : On va faire des sources officielles de
données numériques, plus grande mobilité, valorisation, on va demander au... il
doit faire une évaluation des facteurs relatifs à la vie privée
pour voir c'est quoi, les risques propres à son rôle de source officielle et
adopter des règles de gouvernance pour bien protéger les renseignements
personnels, puis on va demander à l'organisme de surveillance indépendant
d'approuver ces règles-là.
De dire qu'on va
simplement les transmettre, ça met, à notre avis, les... la protection des
renseignements personnels à risque, parce qu'il peut commencer à recueillir,
utiliser et communiquer des renseignements. Et on ne comprend pas pourquoi ce
serait justifié de retirer cette obligation-là qui nous apparaît tout à fait
nécessaire dans le contexte de la source officielle. On ne voit pas ce qui
justifie de changer ce régime-là aujourd'hui.
M. Caire : Bien,
en fait, je vais vous amener sur le terrain de, peut-être, la loi n° 25, en fait, des autres régimes, parce que, dans les
faits, les arguments que vous évoquez là sont applicables tout à fait aux
autres régimes. Mais vous me dites : Oui, mais il y a des règles
générales. Oui, mais la LGGRI impose des lois... Là, on ne parle pas
d'approbation de règles, on parle d'articles de lois, d'obligations légales qui
sont plus grandes que dans les autres régimes. Donc, en fait, j'ai envie de
vous dire...
Parce que,
comprenons-nous bien, là, le centre national de dépôts de santé et de services
sociaux va collecter énormément d'informations, et des informations sur la
santé. Et, les informations sur la santé, le législateur, à travers la loi n° 25, a décidé que, d'emblée, c'étaient des renseignements
sensibles. Parce que, vous vous en souviendrez, Me Poitras, on avait cette discussion-là sur, bon, tu sais, les
renseignements personnels, puis les renseignements sensibles, puis quelle est la distinction entre les deux. Et
le législateur... Puis je pense... Mais là je ne veux pas vous mettre des mots
dans la bouche, que vous n'avez pas
prononcés, mais je pense qu'il y avait une recommandation aussi de la Commission d'accès à l'information d'aller
dans cette direction-là. En tout cas, à tout le moins, le législateur y est
allé.
Donc, on reconnaît,
là, qu'on va créer, de façon nationale, un dépôt national de services... de
renseignements de santé et de services
sociaux, pour lesquels on dit : Bien, les règles générales, c'est
suffisant, c'est un régime d'exception, les règles générales, c'est
suffisant. On a, d'un autre côté, la source officielle de données, qui va
collecter moins de données, moins de données
sensibles, parce que le spectre est moins large, même si c'est des données de
renseignements pour lesquelles non seulement on est soumis entièrement
au régime général, mais, en plus, il y a des mesures législatives
supplémentaires qui sont prises, auxquelles il faut rajouter une autre
obligation supplémentaire. C'est la logique
inverse, que je ne comprends pas, je vais être honnête avec vous, mais
j'aimerais peut-être vous entendre là-dessus.
Mme
Poitras (Diane) : Écoutez, je n'ai pas la
loi n° 5 devant moi, mais mon souvenir est que les
règles de gouvernance qui doivent... que
doit adopter le ministre de la Santé et des Services sociaux sont celles qui
vont s'appliquer à l'ensemble des
organismes du réseau de santé et services sociaux. Vous, vous me parlez du
système national de dépôt, pour
lequel j'imagine qu'on va prévoir des règles. C'était un des commentaires qu'on
a faits dans le mémoire, l'absence des tenants et aboutissants de ce qui
va encadrer ce système-là.
Donc, je... On n'est
pas en train de parler de la même chose, là. Moi, je vous parle des... les
règles de gouvernance qui doivent être
adoptées et qui n'ont pas à être approuvées par la commission dans le cadre de
ce projet de loi là. Ce sont les
règles générales applicables aux organismes de santé et de services sociaux
dans l'exercice de leurs fonctions courantes, donc un peu similaires à
la loi n° 25.
Moi,
je pense que... je répète que les sources officielles, dans leur rôle
spécifique de source officielle, méritent, compte tenu de ce que j'ai mentionné... méritent que la commission
puisse intervenir de façon préventive et ait un dialogue constructif pour, au
besoin, bonifier avant que commence la cueillette, l'utilisation des
communications de renseignements. Et,
encore une fois, est-ce que... À la limite, est-ce que, vraiment,
l'harmonisation des règles justifie de retirer quelque chose qui, à date,
montre qu'il est efficace et permet de bonifier des règles de gouvernance dans
un dossier spécifique? Moi, je vous pose la question.
M. Caire : Écoutez,
je vous dirais, là... Ce que je ne comprends pas dans... puis peut-être vous
pourriez me préciser ça. Qu'une règle soit
générale ou spécifique, ce que vous dites, quant aux conséquences de... sont
les mêmes. Je veux dire, je n'entends pas que la commission entend
abdiquer son pouvoir de surveillance sur la façon dont les données de santé
vont être gérées par le centre national de dépôts de santé et de services
sociaux. J'imagine que le pouvoir de... Bien, pas «j'imagine». Le pouvoir de
surveillance de la CAI est effectif parce qu'on l'a amené dans la loi n° 3, on a copié, en fait, les mêmes pouvoirs dans la
loi n° 3 que vous avez par la loi n° 25. Donc, ce pouvoir de surveillance là... vous les
avez. J'imagine qu'en cas d'incident de sécurité les conséquences seront les
mêmes.
• (10 h 20) •
Donc, les pouvoirs
sont les mêmes, les dangers sont les mêmes, la convoitise est la même et les conséquences d'une intervention de la CAI,
éventuellement, en cas de bris de confidentialité ou d'incident de sécurité,
seront les mêmes. Donc, le fait qu'une règle
soit générale ou qu'une règle soit particulière, qu'elle s'applique à tous les
organismes ou qu'elle s'applique à un organisme, honnêtement, je ne vois
pas en quoi ça justifie d'avoir, justement, un régime d'exception, d'une part.
D'autre part, bien,
pour moi, l'approbation des règles, c'est une hypothèque au pouvoir de
surveillance de la CAI. Je veux dire,
comment la CAI pourrait, dans une enquête, désapprouver des règles qu'elle a
approuvées? Je ne sais pas. C'est
parce que vous allez approuver des règles de gouvernance, vous allez faire une
enquête et vous allez désapprouver les règles de gouvernance que vous
avez approuvées?
La Présidente (Mme
D'Amours) : 30 secondes.
Mme Poitras (Diane) : On
ne va pas désapprouver des règles qu'on a approuvées, on va s'assurer qu'elles sont respectées, qu'elles sont adéquates. Ça se
peut que les règles ne soient pas adéquates, compte tenu d'une situation
qui a changée, qui a évoluée, qu'elles ne
sont pas mises en application suffisamment. Donc, je ne vois pas en quoi ça
altère notre pouvoir d'enquête. C'est d'ailleurs la mécanique qui est
prévue dans la Loi sur l'ISQ.
M. Caire : ...les
règles ou que vous ne les approuviez pas, ça ne change rien au fait que vous
allez vérifier si les règles qui ont été mises en place ont été respectées, ça
va faire partie du...
La Présidente (Mme
D'Amours) : C'est tout le temps que nous avions pour le premier bloc
d'échange. Nous sommes maintenant au deuxième bloc d'échange, avec la députée
de...
Une voix :
...
La Présidente (Mme
D'Amours) : ...Mont-Royal—Outremont, pardon. Et la parole est à vous.
Mme
Setlakwe : Merci, Mme la Présidente. Bien, poursuivons l'échange.
Merci pour vos interventions. Les débuts de
réponse... Je pense qu'il faut ramener ça à un niveau de dialogue que M. et Mme
Tout le monde va comprendre, parce
qu'on est pas mal dans le technique. Puis c'est correct, c'est technique, mais
il ne faut pas perdre de vue, là, que quelqu'un qui nous écoute, là...
Je ne suis pas sûre qu'il nous suive, là.
Puis
je veux juste ramener ça à la population puis au citoyen qui veut avoir... veut
aller sur son ordinateur, il veut faire
des transactions bien simples avec l'État, par exemple, sur des permis de
conduire, des plaques d'immatriculation, mais, plus que ça, là, avec Revenu Québec, avec... Bon là, on sait qu'on
s'en va vers un système beaucoup plus efficace au niveau des renseignements de santé, en éducation aussi. Je pense que
tout le monde souhaite que les données soient fluides, que les données circulent pour qu'ultimement... on ne fait pas
ça pour le plaisir, dans l'abstrait, là, pour qu'ultimement le
gouvernement offre des meilleurs services, qu'il y ait une meilleure efficacité,
etc.
Moi, le bout, là, qui
m'inquiète, c'est quand on parle de, comme, abdiquer, ou abandonner, ou
court-circuiter un processus qui est en
cours. Puis ce que je comprends du processus avec la CAI, ce n'est pas un
processus, là, punitif. Moi, ce que
j'entends, c'est qu'une source officielle, par exemple le ministère de la
Cybersécurité et du Numérique, détient, dans le cadre du SAG, là, du Service
d'authentification gouvernementale... Je l'ai fait moi-même, là, on rentre dans
le SAG, on s'inscrit puis on sait qu'après
on va avoir notre identité numérique qui va servir à différentes fins. On le
souhaite, ça, il n'y a pas d'enjeu.
Donc le MCN est une
source officielle, c'est de ça dont on parle, là, le statut de source
officielle de données, pour les fins du SAG. Puis le SAG, on entre nos
informations, là, c'est très sensible, là, pas juste notre nom, notre prénom, date de naissance, résidence, numéro
d'assurance maladie, numéro d'assurance sociale, n'est-ce pas? Bon, là, on n'est pas... je pense qu'on ne pourrait pas
avoir plus sensible, plus personnel que ça. Et là ce que je comprends, c'est qu'il
y a un processus en cours d'échange, avec la CAI, de révision de règles de
gouvernance puis il y a un échange qui était
en cours, là, pour... Puis je ne pense pas qu'on ait... Je ne sais pas pourquoi
qu'on mélange ça avec le pouvoir de surveillance de la CAI, par la
suite, là, quand les lois, quand les régimes sont opérationnels.
Là, ici, on est au
stade de... vous révisez des propositions, vous échangez, vous émettez des...
Qu'est-ce que vous faites exactement? Vous émettez des commentaires pour
bonifier, il y a un échange écrit, puis là on est... Est-ce qu'on est près de
la fin de ce processus-là ou non? Il reste encore des mois? Des années?
Mme
Poitras (Diane) : En fait, on doit
approuver les règles de gouvernance, donc on examine les règles de gouvernance
qui nous sont soumises par l'organisme, dans ce cas-ci, par exemple, le MCN, on
regarde est-ce que ça correspond à ce qui est attendu, est-ce que c'est adéquat
pour protéger les renseignements personnels des Québécois, en cause ici, bien,
le fameux registre qui contient toutes ces informations sensibles. Si on
juge... si la direction de la surveillance juge qu'il reste du travail à faire,
elle communique avec l'organisme et, plutôt que de monter ça au commissaire puis dire «refusé», communique avec
l'organisme, a un échange en disant... pose des questions et demande de bonifier certains aspects qu'on ne considère
pas suffisants, pour lesquels on a des questions, des interrogations. Et c'est
ce processus-là qui est en cours, qui... Il est plus près de la fin qu'il
l'était.
On a reçu des
documents hier, en fin de soirée, je ne suis pas en mesure de vous dire... ils
sont en analyse présentement. On agit toujours avec diligence. On est très au
fait des enjeux de délais dans le projet, on veut bien arriver à une approbation, mais on n'approuvera pas quelque chose qui ne
nous semble pas adéquat. Mais ce dialogue-là est constructif, pour nous,
parce qu'il a permis, entre autres, dans ce cas-ci, de bonifier de façon très
importante la première version qui nous
avait été donnée. Et sinon, si on fait juste une simple transmission, ça veut
dire qu'on aurait reçu des règles de gouvernance qu'on ne considérait
pas suffisantes et que les échanges auraient commencé, avec les risques que ça
comporte pour les données des citoyens.
Et nous, on considère
que le processus d'approbation permet, un, un dialogue constructif, préventif,
plutôt que d'intervenir après coup, quand les
communications ont commencé et que, là, les informations sont peut-être un peu
plus à risque. Ça dépend du dossier, ça dépend de la suffisance des règles de
gouvernance qui nous sont soumises, évidemment.
Mme
Setlakwe : Je comprends. Donc, tout ça, encore une fois, pour
en arriver à des règles de gouvernance optimales pour protéger ces
renseignements-là qu'on a mentionnés, là, qui sont des données sensibles qui
concernent les Québécois.
Est-ce que, dans les
faits, il y a... Il y en a combien, là, de ces sources officielles? Là, on
comprend qu'ici, si on met en... si on
adoptait ce matin le projet de loi, il y a comme un dossier qui est en étude.
Mais est-ce qu'il y en a eu dans le passé? Il peut y en avoir d'autres?
Mme Poitras (Diane) : C'est le premier et le seul, pour l'instant, qui a été
désigné comme source officielle. On peut penser qu'il y en aura d'autres, mais,
pour l'instant, c'est le seul dossier de source officielle. L'autre processus
d'approbation de règles de gouvernance qu'on a fait, c'est avec l'ISQ, et les
règles sont approuvées, ont été approuvées l'été dernier, je crois.
Mme Setlakwe : OK. Parce que, là, il
y a un passage, dans votre mémoire, vous dites que vous faites une distinction
qui, selon vous, est appropriée entre un organisme qui détient des données dans
le cadre normal de ses fonctions. Pouvez-vous nous donner des exemples de ça
versus... Bien, source officielle, là, je comprends qu'on a un exemple concret,
puis c'est le ministère qui détient toutes sortes d'informations personnelles
en vertu du registre, mais le registre, c'est la même chose que le SAG?
Mme Poitras (Diane) : C'est un registre qui sert aux fins du SAG.
Mme Setlakwe : OK, on parle du même
dossier.
Mme Poitras (Diane) : Oui.
Mme Setlakwe : Mais juste élaborer
un peu là-dessus, parce qu'il y a comme deux régimes, il y a un régime plus
simple qui s'applique à un organisme qui met en place des règles pour traiter
de... pour traiter ou pour, oui... ou dans la gestion, dans la protection des
renseignements qu'il détient, mais dans le cours normal de sa mission.
Mme Poitras (Diane) : Oui, en fait, depuis la loi n° 25 et depuis
l'entrée en vigueur, en septembre dernier, de cette obligation-là, tous les
organismes publics doivent adopter des règles de gouvernance pour protéger,
pour assurer une bonne gouvernance et
encadrer la protection des renseignements personnels qu'ils détiennent dans le
cours normal de leurs activités, donc,
peu importe l'organisme, là, les renseignements qu'on peut détenir au sujet des
citoyens. Prenons l'exemple de la
Société d'assurance automobile, bon, tous les renseignements relatifs aux
permis de conduire, par exemple, ou à
d'autres... d'autres... tout le régime d'indemnités des accidents automobiles,
bon, ils doivent adopter des règles de gouvernance pour protéger
l'ensemble de ces renseignements-là.
La source officielle de données, ce qu'on exige,
avec la LGGRI... la source officielle de données, ça peut être un organisme qui
est désigné pour assurer une plus grande mobilité de renseignements qui vont
être désignés dans un décret. Alors, comme
ici, on a tout identifié les renseignements qui seraient contenus au registre
d'identités. J'essaie de penser à une
hypothèse : ministère de l'Éducation. Le ministère de l'Éducation pourrait
devenir une source officielle de données
pour tout organisme qui veut confirmer qu'une personne a bien un diplôme
d'études secondaires, collégiales, universitaires. J'imagine, je ne sais
pas, j'imagine que le ministre a plus... une meilleure idée que moi des sources
officielles qu'il envisage de désigner, mais ça pourrait être un exemple.
Donc, qu'est-ce qui est mis en place pour
s'assurer que l'utilisation de ces renseignements, dans le contexte de sources
officielles, et les communications que ça va impliquer ou des utilisations à
une autre fin... Parce qu'il ne faut pas
oublier que, la LGGRI, dans le décret, le gouvernement peut décider d'utiliser
des renseignements à une autre fin que celles pour lesquelles ils ont
été recueillis. Donc, qu'est-ce qu'on met en place pour s'assurer que, dans le cadre de ce rôle et de ces utilisations de ces
collectes, de ces communications de renseignements... qu'est-ce qu'on met en
place de spécifique qui va permettre de protéger ces renseignements dans ce
contexte?
• (10 h 30) •
Et c'est pour ça que, dans la LGGRI, si vous
regardez, il y a une évaluation, hein, une évaluation des facteurs à la vie privée, un grand mot qui veut dire :
il faut qu'on fasse une analyse de risques avant pour voir quels sont les
risques spécifiques à la protection des renseignements personnels pour
ce nouveau rôle là que je vais jouer, et, à partir de là, quelles sont les
règles de gouvernance que je dois mettre en place pour minimiser ces risques.
Ça se peut qu'on réfère à des règles
particulières pour certaines choses, qu'on dise : Oui, ce volet-là, c'est
correct, exemple. Qui va pouvoir avoir accès
et décider de... oui, j'ai une demande d'un tel organisme, dans le cadre de ma
source officielle, pour communiquer un renseignement, l'employé qui a
ça? Qui va avoir accès à ces renseignements-là? Comment il va déterminer si,
oui ou non, il peut l'envoyer? Dans quelle
situation? Bref, des règles qui encadrent toute cette fonction de source
officielle afin d'assurer la protection des renseignements personnels
dans ce rôle spécifique. Je ne sais pas si c'est plus clair.
Mme Setlakwe : Non, non, c'est...
moi, je trouve ça très clair. Puis là ce que je comprends, c'est que, bon, pour
des raisons qui vont rester à être expliquées, là, on veut mettre fin au
processus plus rapidement, on va même permettre
que, dans le futur, il n'y ait pas cet échange en amont, cette approbation par
la CAI, qu'il y ait simplement une obligation, pour l'organisme qui va
agir comme source officielle, de juste transmettre ses règles de gouvernance.
Mais il me
semble que... Je ne sais pas qu'est-ce que vous en pensez. Est-ce que vous
pensez qu'en fait, l'exercice qui est
fait actuellement, on pourrait aller au bout de l'exercice et de la réflexion
et d'en arriver à des règles de gouvernance, peut-être, bien, qui feraient en
sorte... qui protégeraient davantage le renseignement pour des utilisations futures?
Mais ces règles-là pourraient servir comme... bien, comme modèle, comme
précédent dans le futur pour d'autres sources officielles. Parce que, là, on va en avoir de plus en
plus, là, de situations qui vont donner lieu, je pense, à des
désignations de source officielle. Oui?
Mme
Poitras (Diane) : En fait, la commission avait comme... avait
commencé un projet, qu'elle a mis de côté, pour traiter les deux
demandes qui nous étaient faites, mais on a comme projet de faire un guide ou
un manuel de procédure, appelez-le comme vous voulez, pour un peu dire quelles
sont nos attentes : si vous avez à faire une demande d'approbation à la commission, voici ce qu'on doit retrouver
dans vos règles de gouvernance. Et effectivement la première version qui
a été déposée par le MCN était insuffisante, à notre avis. Et on avait reçu
celle de l'ISQ puis on les a invités à aller voir l'ISQ. Ils ont bien compris
la portée des règles de gouvernance, ils ont fait un travail impeccable de
cohérence et très... qui explique très bien comment toutes ces règles vont
s'appliquer aux différents... aux différentes étapes... on appelle le cycle de
vie de l'information, là, c'est-à-dire de la collecte, à l'utilisation, à la
communication, etc. Alors, oui, je pense que les deux processus qu'on a vécus,
d'approbation... On est en train de bonifier
l'espèce de manuel ou de guide qui va servir à... et qui devrait faciliter la
tâche, là, pour les prochaines sources officielles de données.
Mme Setlakwe : Merci. En effet,
quand on prend le temps, après ça, on peut peut-être le répliquer, et ça va
servir de bonnes pratiques pour la suite des choses, avec d'autres sources
officielles. OK, merci pour ça.
Puis j'ai bien compris l'exemple, donc, la SAAQ,
par exemple, dans son quotidien, traite des accidents, de toutes sortes de
données qui ont rapport avec le dossier de conduite d'un usager, mais là, quand
on parle de concentrer au même endroit des données très sensibles, par exemple,
le numéro d'assurance sociale, et qu'après ça ces données-là pourraient servir
à d'autres fins et être transmises à d'autres organismes, moi, je ne vois pas
pourquoi qu'on n'aurait pas un guide, dont
on a pris le temps, là, de s'assurer qu'il est exhaustif et que... En tout cas,
je pense que ça vaut la peine qu'on aille au bout du processus pour
s'assurer que la personne qui va devoir, après ça, agir dans le quotidien, et
répondre à des demandes, et se poser des questions : est-ce que je devrais
transmettre, est-ce que je devrais... va pouvoir se référer à un guide qui va
lui donner la marche à suivre pour la suite des choses. En tout cas, pour moi,
ça me semble clair. Merci.
Et là vous avez dit que, dans... aujourd'hui,
vous ne souhaitez pas parler des projets pilotes. Vous en avez parlé dans votre
mémoire, mais je serais curieuse de vous entendre sur les règles qui sont mises
en place, là, qui sont proposées dans le projet de loi pour tester des
situations. Moi, je pense que l'idée est bonne, là, de se donner le pouvoir de mettre en place des projets pilotes
pour une durée limitée, je pense que c'est trois ans. Et vous avez émis des
commentaires dans votre mémoire, mais vous ne souhaitez pas en traiter ce matin
ou...
Mme Poitras (Diane) : Oui, je peux...
Mme Setlakwe : Vous vous êtes
concentrée sur les premiers aspects, je pense.
Mme
Poitras (Diane) : Simplement question de temps qui nous était alloué
dans la présentation. Je veux juste préciser, avant de parler de ça,
rapidement, c'est important, par exemple, que les règles de gouvernance qui
doivent être adoptées vont être propres à
chaque... à la situation de chaque organisme. Il n'y a pas un... j'ai juste
«one size fits all», je m'excuse pour l'anglais, une taille unique pour
tout le monde, là. Je pense qu'il faut que chaque organisme fasse l'exercice, mais on peut avoir un guide de...
bien, dans vos règles de gouvernance, assurez-vous qu'on y retrouve tel sujet,
tel... vous avez abordé tel sujet, tel sujet, tel sujet, là.
Mme
Setlakwe : ...comprends, on ne voudra pas le répliquer, mais
au moins à savoir le niveau de détail, et les points à couvrir, et le
contenu. Bien oui, le contenu va... Vous ne voulez pas faire du mur-à-mur.
Mme Poitras (Diane) : Non, c'est ça.
Mme Setlakwe : Vous voulez faire du
sur-mesure. Je comprends.
Mme Poitras (Diane) : Tout à fait. Pour les projets pilotes, en fait, la
suggestion qu'on fait, là... Dans le projet de loi, il est prévu que le
gouvernement peut adopter des projets pilotes pour expérimenter, étudier ou
innover dans le domaine de la cybersécurité
ou du numérique, ou définir des normes applicables, puis on prévoit que
l'article... que ces projets-là doivent se faire dans le respect des
dispositions législatives applicables, notamment en matière de protection des
renseignements personnels et de vie privée, ce qu'on trouve tout à fait
adéquat, évidemment, mais on prévoit que le
gouvernement peut déterminer des normes et des obligations applicables, dans le
cadre de ce projet pilote là, dans le respect, évidemment, de la PRP et
de la vie privée.
On propose aux parlementaires de s'inspirer de
l'article 6 de la Loi favorisant la transformation numérique de
l'administration publique, qui prévoit que le gouvernement... On est dans un
autre type de projet, j'en conviens, mais il y a une disposition intéressante
qui prévoit que le gouvernement doit édicter des règles particulières lorsqu'il
existe un degré élevé d'attentes raisonnables en matière de vie privée, dans le
cadre de ce projet-là, si on utilise des renseignements sensibles. Aussi la
façon dont on va les utiliser est plus susceptible, là, de porter atteinte à la
vie privée, donc on propose que le
gouvernement... d'ajouter à l'article qui est prévu dans le projet de loi cette
obligation, dans ces cas-là, d'adopter des règles particulières pour protéger
ces renseignements sensibles, tout simplement.
La Présidente (Mme
D'Amours) : Merci. C'est tout le temps que nous avions.
Mme Poitras (Diane) : Merci.
La
Présidente (Mme D'Amours) : Donc, mesdames, monsieur, merci de votre contribution
à notre commission.
Je suspends les travaux quelques instants afin
de permettre à notre prochain invité de prendre place. Merci.
(Suspension de la séance à 10 h 38)
(Reprise à 10 h 43)
La Présidente (Mme D'Amours) : Nous
reprenons nos travaux, et je souhaite maintenant la bienvenue au Pr Sébastien
Gambs. Je vous rappelle, monsieur, que vous disposez de 10 minutes pour votre
exposé, puis nous procéderons à la période
d'échange avec les membres de la commission. Je vous invite donc à vous
présenter et à commencer votre exposé, s'il vous plaît.
M. Sébastien Gambs
M. Gambs (Sébastien) : Bonjour.
D'abord, merci pour l'invitation. Je m'appelle Sébastien Gambs, je suis
professeur en informatique à l'UQAM et Chaire de recherche du Canada en analyse
respectueuse de la vie privée et éthique des données massives, et donc, aussi,
je travaille sur la cybersécurité.
Donc, en ce qui concerne le projet de loi n° 38,
je note que, justement, en termes de sécurité, il y a des avancées qui me
semblent importantes, en particulier sur le fait que le ministère de la
Cybersécurité va jouer un rôle central, je
dirais, sur harmoniser les bonnes pratiques des différents ministères et
organismes publics. Donc, je note en particulier que le ministère
devient vraiment responsable de la transition numérique et aussi peut définir
les bonnes pratiques de cybersécurité et demander aux différents organismes de
s'y... de s'y conformer. Donc, ça, c'est très bien.
Je pense que ça va permettre d'essayer d'avoir une uniformisation, vraiment,
des bonnes pratiques de cybersécurité.
Je note aussi qu'il y a la possibilité de définir
des projets prioritaires, donc de demander aux organismes aussi de... je
dirais, de prendre en main certaines... certains projets qui sont d'importance
vitale. Je note aussi qu'en termes de sécurité on parlait dans le projet de loi
de la possibilité d'interdire l'usage d'un logiciel. Donc, on imagine, dans les
discussions qu'on a eues avec TikTok ou d'autres logiciels, assez récemment, le
fait que la loi permette, justement dans un contexte où il faut réagir
rapidement, de pouvoir diffuser à tous les organismes du ministère le fait que
certains logiciels devraient être bannis ou avoir un usage limité à cause des
enjeux de cybersécurité, c'est une façon effectivement d'être assez réactif
dans le cadre de problèmes.
Les questions que j'avais, je pense, sur
lesquelles il faudrait réfléchir, c'est qu'on va demander à ces organismes-là
de mettre en place des bonnes pratiques de cybersécurité, ce qui est
effectivement une bonne chose, mais la question des ressources pour les
accompagner, pour moi, me semble une question importante. Donc, est-ce qu'on va
mettre en place des guides de bonnes pratiques? Est-ce qu'il y a des... du
personnel du ministère de la Cybersécurité qui va être embauché et déployé dans
ces différents ministères pour aider aussi à mettre à jour, je dirais, les
niveaux de sécurité aux bons niveaux? Ça, ça me semble des questions
importantes aussi à discuter et résoudre. Peut-être qu'ils seront effectivement
résolus une fois que le projet de loi est adopté.
Je pense aussi, au niveau des projets qui vont
être demandés au ministère, tout ce qui est un registre public ou ces
projets-là et leur état d'avancement... Donc, le projet de loi mentionne que
les ministères doivent informer le ministère
de la Cybersécurité sur l'avancement des projets de manière régulière. Je pense
qu'en termes de transparence et de confiance envers le citoyen ce serait
bien que cette information-là soit aussi disponible publiquement, sur un site
Web ou un registre que le citoyen pourrait consulter de manière à savoir, sur
ces projets d'importance vitale pour les
Québécois, quel est l'état d'avancement de ces différents projets, est-ce qu'il
y a eu des problèmes, afin de faciliter, je dirais, l'audit et la
transparence envers le citoyen.
Par contre, le point sur lequel j'avais des
doutes, c'est en ce qui concerne l'identité numérique. Pour moi, l'identité
numérique, ça va collecter et utiliser des données personnelles des citoyens.
C'est un service qui va être central au niveau de la cybersécurité du
gouvernement québécois, donc je ne voyais pas trop pourquoi, dans la loi,
est-ce qu'on demanderait... on enlèverait à la Commission d'accès à
l'information le fait de participer, justement, à la bonne pratique de
gouvernance et de cybersécurité qui serait liée aux données personnelles. Donc,
je note qu'on leur donne toujours le pouvoir de surveillance a posteriori,
mais, moi qui travaille sur la protection des données personnelles et la
cybersécurité... en général, c'est souvent trop tard, une fois qu'on a collecté
beaucoup de données personnelles, si on agit après, une fois qu'il y a une
fuite de données en termes de vie privée. Donc, je pense que le dialogue a
posteriori entre la Commission d'accès à l'information et le ministère de la
Cybersécurité est vital pour s'assurer que les données qui sont collectées
suivent des principes, par exemple, de minimisation de données, où on ne
collecte que les données nécessaires, que les règles de gouvernance et de
cybersécurité soient aussi respectées.
Donc, globalement, j'avais un avis très positif
sur le projet de loi n° 38, mais je me posais la question en particulier
de cet aspect-là du projet : Pourquoi enlever les prérogatives de la
Commission d'accès à l'information sur un
système mis en place par le gouvernement qui va collecter des données
personnelles des Québécois, qui va être central au niveau de la
cybersécurité et de l'identité numérique du Québec? Donc, plutôt que de juste
passer à un système de
surveillance où, si jamais il y a un problème de sécurité, ce sera trop tard,
je pense que... le dialogue avec la Commission d'accès à l'information
pour s'assurer que ce qui est mis en place suit les bonnes pratiques en termes
de sécurité me semble nécessaire de ce point de vue là.
Et je ne vous donnerai pas beaucoup d'exemples, mais
il y a eu des systèmes d'exemples de centralisation d'identité numérique par le passé, comme, par exemple, en Inde avec un
système qui s'appelait Aadhaar, où malheureusement
les données de plus de 1,1 milliard de personnes ont fuité suite,
justement, à des problèmes de sécurité. Et l'Inde avait choisi, justement,
d'être relativement opaque sur la façon de traiter les données et de, je
dirais, de faire affaire avec une compagnie privée plutôt que d'avoir un
dialogue public. Donc, je dirais que des fuites de données liées à des systèmes d'identité numérique nationale, il y a déjà
eu des exemples, donc je pense qu'il faut vraiment faire attention, avec ce type de système, de
vraiment respecter les meilleures mesures en termes de protection des données
personnelles. Voilà, je voulais... Je
termine peut-être un petit peu en avance, mais ça laissera sûrement plus de
temps pour les questions.
La
Présidente (Mme D'Amours) : Merci beaucoup. Maintenant, nous sommes prêts à
l'échange. M. le ministre, la parole est à vous.
• (10 h 50) •
M. Caire : Merci beaucoup, Mme
la Présidente. Bonjour Pr Gambs. Merci d'avoir participé à cet exercice.
Vous amenez des questions qui sont intéressantes, puis, d'entrée de jeu, bon,
je vois qu'il y a plusieurs éléments du projet
de loi avec lesquels vous êtes d'accord. Et, comme je n'ai jamais rien appris
de quelqu'un avec qui j'étais d'accord, je vais donc amorcer la discussion sur les questionnements que vous
soulevez, notamment sur la Commission d'accès à l'information. Je pense que
c'est un sujet qui est important, mais, d'entrée de jeu, je pense qu'il faut
préciser, puis ça, c'est peut-être le point de désaccord, premier point
de désaccord que j'ai avec vous, puis je voudrais vous entendre là-dessus,
parce que vous parlez d'une identité numérique centralisée.
Or ma conception des choses, c'est que ce n'est
pas une identité numérique centralisée, c'est une... Je vous dirais que c'est
d'éliminer des sources d'identité numérique qui sont trop nombreuses. C'est un
petit peu ce que j'expliquais tout à l'heure avec la Commission d'accès à
l'information, l'incapacité des organismes de s'échanger de l'information parce
que c'est beaucoup trop complexe, beaucoup trop bureaucratique, beaucoup trop
lourd. Ce que les organismes font, c'est qu'ils collectent donc pour eux-mêmes,
par eux-mêmes, la totalité des informations dont ils ont besoin, ce qui fait
qu'on se ramasse avec plus d'une centaine... plusieurs centaines, pas «plus
d'une centaine», plusieurs centaines d'organismes qui collectent des
informations et des renseignements personnels sur notre identité
Vous qui oeuvrez dans le domaine de la
protection des renseignements personnels et qui avez une vision de la cybersécurité, vous savez à quel point ça fait
autant de surfaces d'attaque, autant d'opportunités de fuites de données,
et qu'il n'y a pas un organisme qui est capable d'assurer le même niveau de
protection. Si, par exemple, j'ai 300, 400,
500, 600 banques de données, puis là c'est plus que ça dans le cas du
gouvernement, là, où j'ai des renseignements d'identité, c'est plus dur à protéger que si je n'ai qu'une seule banque
de données où ces renseignements-là sont, puis, à titre de source de données...
officielle de données, c'est elle qui s'assure de communiquer ces renseignements
de santé.
Donc, au vu de ça, est-ce que vous diriez que le
principe de la source de données nous amène plutôt vers une meilleure sécurité
des renseignements personnels par rapport à la situation actuelle ou vous
dites... Parce que vous, vous parlez de l'Inde, puis je ne sais pas, je ne
connais pas le système de l'Inde, là, mais, au vu de la façon dont ça
fonctionne chez eux puis ça fonctionne chez nous, je pense... ma prétention
toute modeste, puis je voudrais vous entendre
là-dessus, c'est que ce que nous allons faire avec les sources de données va
augmenter, au contraire, notre capacité à protéger les renseignements
personnels, plutôt que de les mettre à risque.
M. Gambs (Sébastien) : Bien, le
fait de centraliser les données vient permettre d'avoir plus de ressources pour
assurer leur sécurité, mais ça va aussi accroître l'appétit potentiel
d'attaquants. Donc, la question qui va se poser aussi, c'est peut-être la
quantité et la diversité des données qui vont être agrégées au niveau de cette
source officielle. Est-ce que, par exemple, le principe de minimisation des
données va être respecté en termes de collecter vraiment l'information qui est
nécessaire? Pour ça... c'est pour ça que j'insistais aussi beaucoup sur la
discussion avec la Commission d'accès à l'information. Donc, pour répondre à
votre question, oui, on élimine une partie des risques en essayant de
centraliser et d'augmenter les ressources pour protéger, mais on va aussi augmenter
l'appétit des attaquants. Et, si on agrège beaucoup de données de manière
centralisée, bien, si vous avez une fuite de sécurité sur ce système-là, bien, ça va... ça va lier à une plus grosse fuite de
données. J'imagine aussi que ce registre centralisé peut...
potentiellement, va collecter des informations qui sont plus importantes que
chacune de ces sources séparées, même s'il y a des redondances dans certaines
de ces sources.
M. Caire : ...la réponse à votre
question, c'est non, parce que, par exemple, un organisme va devoir collecter
l'ensemble des renseignements personnels sur un citoyen avec qui il a des
échanges, donc, nom, prénom, adresse, numéro de téléphone, date de naissance,
etc., plus les renseignements qui sont nécessaires à sa prestation de services.
Donc, dans le cas de la SAAQ, bien, évidemment, tous les renseignements liés au
dossier du conducteur, quelques renseignements de santé, notamment pour sa
classe de conducteur, s'assurer que... bon, est-ce qu'il a des restrictions, blablabla. Donc, la multiplication des banques
d'information, c'est une multiplication de la collecte des renseignements
personnels.
Et
là où je voudrais peut-être vous entendre un petit peu plus, c'est quand vous
dites : Ça va augmenter l'appétit. Bien, si moi, j'ai une cible avec 400, 500 ou 600 portes d'entrée pour
aller chercher exactement les mêmes renseignements ou j'ai une cible avec une seule porte d'entrée,
est-ce que vous ne pensez pas que la cible avec une seule porte d'entrée
va être plus facile à protéger qu'une cible avec 500 ou 600 portes d'entrée
différentes pour aller chercher exactement les mêmes informations? Peut-être
même plus, parce que les banques qui sont collectées par les organismes ne se
limitent pas aux renseignements personnels qui sont nécessaires à
l'identification du citoyen puis à la prestation de services, à la communication avec lui, plus les informations qui sont
relatives aux services qui doivent être donnés par l'organisme. Donc,
vous ne pensez pas que c'est plutôt cette situation-là qui, au point de vue de
la protection des renseignements, fait problème?
M. Gambs
(Sébastien) : Bien, si on prend l'exemple que vous donniez, de la
SAAQ, là, sur le permis de conduire, j'imagine que ces données-là, de permis de
conduire, ne sont pas démultipliées à l'heure actuelle au niveau de tous les ministères, c'est vraiment la SAAQ qui
les a. Donc, si on commence à centraliser les données de la SAAQ dans cette source de données officielle, j'imagine
qu'il y a d'autres données qui sont détenues par d'autres ministères, liées à leurs finalités, qui vont aussi être
agrégées dans cette source-là, donc ça me semble quand même agréger beaucoup
de données.
Donc, oui, il y a une
seule porte à protéger, mais je pense que la quantité de données qui vont se
retrouver au niveau de cette source-là va
être plus importante que les... Donc, si je prends l'exemple du permis de
conduire, j'imagine qu'il n'y a pas
de... les autres ministères n'ont pas besoin d'avoir les informations liées à
ce que la SAAQ détient, donc, cette donnée-là n'est pas une donnée
démultipliée, par exemple.
M. Caire : Non, vous avez raison, mais la SAAQ doit... Je
vous donne un exemple, allons-y avec trois ministères, trois organismes qu'on connaît bien :
l'Agence du revenu va collecter, évidemment, tous les renseignements personnels
nécessaires à l'identification du citoyen. Donc, au lieu... Et donc ça
veut dire plus que... plus les renseignements sur le dossier fiscal; la SAAQ va
collecter tous les renseignements nécessaires à l'identification, communication
avec les citoyens, plus les renseignements relatifs au permis... au dossier de
conducteur, allons-y plus large, là, au dossier de conducteur; la RAMQ va collecter tous les renseignements relatifs à
l'identité du citoyen, plus certains éléments de son dossier médical.
L'idée de la source
de données, c'est de dire que tous ces organismes-là ne collectent plus aucune
information sur l'identité du citoyen puisqu'ils vont devoir passer par le
Service d'authentification gouvernementale. Donc, les renseignements personnels
relatifs à l'identité des citoyens, à la façon de communiquer, sont extraits,
sortis de ces bases de données. Donc,
l'attaquant, oui, a accès au dossier de conduite, mais il n'y a pas d'individu
associé à ça. Du côté de la RAMQ, il va avoir accès à une partie du
dossier médical, mais il n'y a pas d'individu relié à ça. Ou alors il vient à la source officielle de données,
puis, oui, il a accès à des informations s'il réussit à passer la défense sur
les renseignements personnels, mais il n'y a pas d'information sur le dossier
de conduite, il n'y a pas d'information sur le dossier médical, il n'y a pas
d'information sur le dossier fiscal, parce que tout ça a été éclaté dans
différentes sources de données officielles. C'est un peu ça, le principe.
M. Gambs (Sébastien) : Oui, mais, enfin, vous
prenez l'exemple du dossier de conduite. Le dossier de conduite, c'est... en
général, il y a des informations identifiantes ou quasi identifiantes, ou même
le dossier médical, le code postal, par exemple, l'âge et le genre d'une
personne suffisent à l'identifier de manière unique, même si ce n'est pas des
identifiants directs.
M. Caire : Actuellement,
oui, mais pas avec un concept de source de données. En fait, pour vous donner
l'exemple, je vous dirais... Bon, moi, je viens du domaine de l'informatique.
Je vous disais, ce qu'on veut mettre en place,
c'est un modèle de base de données, modèle relationnel, donc une information...
Non, en fait, la réponse à votre question, c'est non, puisque ces
renseignements-là, sur le code postal, sur l'adresse de courriel, sur, bon, la
date de naissance, étant relatives à l'identité du citoyen, elles ne sont
plus dans les banques de la SAAQ. La SAAQ va venir chercher ces informations-là
à la source officielle, si la loi l'y autorise, évidemment, donc, d'où la
question des règles de gouvernance, qu'est-ce que la loi autorise à faire et
qu'est-ce que l'utilisateur peut faire, selon les quatre principes, là, de la
gestion de la donnée. Bon, est-ce qu'on est en ajout, est-ce qu'on est en
modification, est-ce qu'on est en lecture ou
est-ce qu'on est en suppression? Ça, c'est les quatre éléments de la gestion de
la donnée. Et donc, là, c'est de gérer les permissions, donc les règles
de gouvernance vont être plus dans de la gestion de permissions.
Donc, pour relancer
la discussion sur la CAI, bien, l'approbation... pour nous, l'approbation...
D'abord, c'est le seul régime où il y a une
approbation. La loi n° 3 ne prévoit pas d'approbation, la loi n° 25 ne prévoit pas d'approbation et la loi n° 23
ne prévoit pas d'approbation. Donc, pour ce qui est du périmètre
gouvernemental, c'est le seul régime qui prévoit une approbation, et le fait de
retirer l'approbation ne retire pas à la CAI son pouvoir de recommandation qui
est prévu par la loi, son pouvoir d'ordonnance qui est prévu par la loi, son
pouvoir de surveillance qui est prévu par la loi. Donc, de dire qu'elle ne peut
pas avoir un travail qui se fait en amont, c'est inexact, puisqu'au moment où
on transmet les règles de gouvernance, il n'y a absolument rien qui empêche la
CAI de rentrer en dialogue avec l'organisme. C'est juste l'étape d'approbation
qui n'a pas été répliquée nulle part, dans aucune autre loi qui a été adoptée a posteriori. C'est cette étape-là qu'on
dit : Bon, bien, de toute évidence, il n'y a pas de plus-value. Puis je
n'ai pas entendu encore d'argument
qui me laissait dire qu'il y avait une plus-value à faire ça, parce que ça ne
retire rien à la CAI.
• (11 heures) •
M. Gambs (Sébastien) : Bien, encore
une fois, moi... que ça va être un système central du gouvernement québécois, ça me semble la discussion encore plus
en amont, plutôt que... Enfin, d'être sûr d'harmoniser les règles avec les
bonnes pratiques, avec la Commission d'accès, ça me semble nécessaire. Je
pourrais imaginer que ce type de... enfin.
Donc, déjà, pour revenir
aussi à un de vos points précédents, ce qui serait vraiment utile aussi, de
l'aspect analyse cybersécurité, ce serait
vraiment d'avoir une liste de quelles sont les informations personnelles qui
vont rester. Imaginons que l'architecture est mise en place et qu'elle
est utilisée, on a la source officielle de données, quelles sont les données,
vraiment, qui vont être collectées, qui vont rester dans chacun des acteurs
officiels, quelles sont les données qui vont être dans la source officielle? En
termes d'identité numérique, il y a aussi plusieurs façons de faire l'identité
numérique. Quelles sont les données qui sont collectées à chaque fois qu'un
citoyen va se connecter à un service?
Qu'est-ce que l'État retient? Qu'est-ce qui est transmis à un tiers,
éventuellement, dans le cadre d'une connexion? Ça, ça me semble central aussi
pour évaluer l'aspect cybersécurité globale et vie privée.
Et donc ces aspects-là, je ne sais pas si c'est
déjà quelque chose qui est prévu dans un futur proche, d'avoir une transparence
vraiment sur la finesse des détails et des informations qui vont circuler...
M. Caire : Bien, c'est prévu que ça
se fait par décret, pour répondre à votre question. Tout ça est déterminé dans
le décret qui est adopté par le gouvernement. Un décret, par définition, est un
document public.
M. Gambs
(Sébastien) : Donc, je pense que la... ça, c'est important,
vraiment, pour juger le niveau de sécurité et de vie privée de cette
solution-là. Et, encore une fois, je sais que la CAI a un pouvoir de
surveillance et de sanction a posteriori,
mais, en termes de vie privée, de ce qu'on appelle la vie privée par conception
ou sécurité par conception, c'est toujours mieux de vraiment définir les
règles de gouvernance et de dialogue avant, avant de déployer le service, de
manière à s'assurer que toutes les parties prenantes qui représentent la
société, incluant la Commission d'accès à l'information, qui a la
responsabilité de la protection des données personnelles, puissent être mises
d'accord sur, je dirais, les... qu'il y ait un consensus sur les bonnes
pratiques pour aussi, je dirais, améliorer la confiance du citoyen envers ce
service-là. Donc, imaginez que ce service-là est déployé, mais que la
commission n'a pas encore eu le temps de donner son approbation, il peut y
avoir des... en termes d'acceptabilité sociale aussi, le citoyen pourrait
dire : Bien, OK, pourquoi est-ce que le service a été déployé, alors qu'il
n'y a pas eu encore une validation, je dirais, par la Commission d'accès, même si la loi ne l'oblige pas,
effectivement, à faire cette validation-là? Bien, ça me semble aussi...
En termes de confiance numérique, de confiance du citoyen, je pense que c'est
important.
On a vu beaucoup de projets, ces dernières
années, en termes de numérique, dans différents pays, ne pas fonctionner
simplement parce que, je dirais, la confiance du citoyen n'était pas là. Donc,
parfois, la technique peut être très bonne, mais, si la validation par les
différents garde-fous, par les différentes entités représentant le citoyen ne
sont pas là, des fois, la question de l'acceptabilité sociale peut faire qu'un
projet qui est très bon sur le papier, techniquement, pourrait ne pas
fonctionner.
M.
Caire : Bien, dans
le cas du registre d'identité qui soutient le SAG, on est à plus de
1 300 000 comptes créés, et je pense qu'avec aucun incident de
sécurité... à mon humble avis, je pense que ça, c'est plus de nature à créer la
confiance du citoyen qu'est-ce que la CAI a approuvé ou non les règles de
gouvernance. Mais, encore là, j'écoute... je vais être intéressé à vous
entendre.
Et l'autre chose, parce qu'on... Il y a quelque
chose sur lequel moi aussi, je veux vous entendre, parce qu'on dit
beaucoup : Bien, si la CAI n'approuve plus les règles, c'est comme si la
CAI n'avait plus la possibilité, en amont, de travailler avec l'organisme, alors
qu'elle a un pouvoir de recommandation. Donc, cette capacité-là, du moment où
la... les règles sont transmises à la CAI, cette capacité-là d'avoir des
échanges, des discussions et d'exercer ce pouvoir de recommandation là, voire
prendre une ordonnance et obliger l'organisme à modifier certains éléments de
sa règle, ces pouvoirs-là, donc, demeurent, là. C'est... c'est comme si le
travail en amont était strictement relié au... à la question de l'approbation.
Puis vous avez amené un élément très important
dans votre intervention, qui a... en fait, qui a justifié le fait que cette
disposition-là n'a été reprise dans aucune loi, je le rappelle, qui a été...
qui a été adoptée après, que ce soit la loi n° 25,
que ce soit le PL n° 3, que ce soit dans le PL n° 23,
et c'est le fait que, si la commission, pour toutes sortes de raisons, n'a pas
la capacité, dans l'immédiat, de se pencher sur les règles, bien, ça veut dire
que la source de données, elle est... elle est hypothéquée jusqu'à tant que...
Donc, tout le principe et les bénéfices d'une source de données sont
hypothéqués par le fait que, potentiellement, la CAI n'aura pas la capacité
momentanée, on comprend, là, momentanée de faire ce travail-là d'approbation.
Et je
rappelle aussi que la LGGRI, articles 12.10, 12.11, rajoute des
obligations légales aux sources officielles de données quant à la protection
des renseignements personnels, la protection de la vie privée, qui ne sont pas des
dispositions qu'on retrouve dans les autres
lois. Donc, déjà, non seulement la source de données va être le seul régime
soumis entièrement à la loi n° 25, à notre propre... à notre régime général de protection des
renseignements personnels, ce qui n'est pas le cas du PL n° 3, ce
qui n'est pas le cas du PL n° 23, mais, en plus, elle se rajoute des
obligations légales puis, en plus, elle se
rajoute une obligation d'approbation. Donc, je ne sais pas, il me semble qu'il
y a... qu'il y a quelque
chose, là-dedans, d'exagéré.
La
Présidente (Mme D'Amours) : Merci. Merci beaucoup, M. le ministre. Maintenant,
je vais céder la parole, pour la période d'échange, à l'opposition officielle.
Mme la députée... Mont-Royal—Outremont, s'il vous plaît.
Mme Setlakwe : Merci, Mme la
Présidente. Donc, merci, Pr Gambs, d'être ici avec nous ce matin. Je voudrais
peut-être vous permettre de répondre aux dernières interventions du ministre,
là, juste pour clore peut-être l'échange au
niveau de cette... du fait que, dans le projet de loi, on veuille supprimer une
étape d'approbation préalable des règles de gouvernance par la CAI. Vous avez
sans doute écouté la CAI ou, en tout cas, lu leur mémoire. Donc, vous, vous
pensez que ce n'est pas... si je vous comprends bien, ce n'est pas du tout
superflu et c'est plutôt nécessaire de le garder dans le... dans la
LGGRI?
M. Gambs (Sébastien) : Oui, moi, je
pense que... je pense que c'est nécessaire, si je... Du coup, je réponds à la
dernière question très rapidement. Je note en plus que... Là, on parle de
plusieurs sources potentielles officielles de données dans le futur, mais, à ma
connaissance, pour l'instant, il y en a une, qu'elle est au registre
d'identité. Et le fait d'hypothéquer les
bénéfices de l'identité numérique, c'est, de toute façon, des projets... Une
identité numérique, c'est quelque chose qui se bâtit en des années. Donc,
j'imagine que la Commission d'accès à
l'information, même si elle prend deux
mois, je veux dire, pour se pencher... Je pense qu'il faut bien faire les
choses, si je devais résumer.
Et donc, pour
répondre à votre question, ça me semble, effectivement, une étape nécessaire de
le garder, effectivement. Et le fait que ça rajoute un ou deux mois de
délai par rapport à des projets d'identité numérique qui sont... qui prennent
souvent des années à être conçus, je pense que c'est des délais qui sont
acceptables dans le fait de vouloir avoir un système qui est central à l'État
québécois, qui va concerner tous les citoyens, dont on veut être sûr que la
sécurité et la protection des renseignements personnels a un niveau vraiment
maximum.
Mme Setlakwe : Merci. Et puis,
généralement, là, vous êtes, donc, expert au niveau de protection de vie privée, éthique des données, vous avez fait,
j'imagine... vous l'avez mentionné, là, vous êtes... vous avez fait un
comparatif avec des régimes qui existent ailleurs. Si on se compare, là,
vous êtes d'accord avec l'énoncé du ministre que notre régime de protection des renseignements personnels, il est robuste?
C'est ce que le ministre a dit d'entrée de jeu, ce matin, avec la loi n° 25.
Je pense que... J'aimerais ça vous entendre là-dessus. Et une
sous-question : Est-ce qu'il y a des zones où on est plus faibles
ici, au Québec, et sur lesquelles il faudrait porter une attention
particulière?
M. Gambs (Sébastien) : Globalement,
là, je dirais qu'avec la... bien, le projet de loi n° 25... ou la
loi n° 25, qui a été votée récemment, je pense
qu'on a la chance au Québec, effectivement d'avoir fait une mise à jour de la législation sur la vie privée qui s'aligne avec ce
que je vois en termes de meilleures pratiques. Donc, on s'est inspiré, en partie,
du règlement européen, tout en gardant les spécificités du contexte québécois.
Comme je disais, dans les zones... je pense que
la loi sur la vie privée est robuste. Comme je disais, sur le projet de loi lui-même, n° 38,
je pense qu'il y a toute la question des ressources qu'on va avoir pour aider
les ministères et les organismes publics à se mettre à jour sur les
bonnes pratiques de sécurité, qui me... qui me semble importante. Donc, on dit,
dans la loi, qu'on... que le ministère de Cybersécurité peut alors prescrire de
se mettre à jour en termes des pratiques de cybersécurité, mais je pense qu'il
y a tout un travail après, vraiment, en pratique, d'avoir des ressources en
termes de personnel, de guides de bonnes pratiques pour vraiment aider ces
ministères-là aussi à faire, je dirais, la
transition. Ça, ça me semble être un point important. Donc, ce n'est pas lié à
la législation sur la... sur la vie privée,
mais c'est, je pense, un aspect important pour rehausser la cybersécurité au
niveau du gouvernement du Québec.
• (11 h 10) •
Mme Setlakwe : Donc, généralement,
j'entends que vous voyez d'un bon oeil plusieurs des dispositions dans le
projet de loi n° 38? Oui?
M. Gambs
(Sébastien) : Oui, globalement, mais je pense que... ça a dû ressortir
aussi de l'intervention précédente... globalement, je trouve qu'il y a
beaucoup de très bonnes choses. C'est vraiment la partie où on retire à la... à
la Commission d'accès à l'information le
fait de devoir donner son approbation qui me semble être le point de désaccord et le point problématique. J'ai suivi aussi les
échanges qu'il y a eu tout à l'heure et je pense que c'est vraiment la
disposition sur laquelle il y a eu le plus de commentaires et de débats.
Mme Setlakwe : Est-ce que vous
croyez qu'en retirant cette étape et en ne complétant pas le processus en amont
on augmente le risque qu'il y ait des incidents de confidentialité?
M. Gambs (Sébastien) : Oui, je
pense. Il y a aussi un enjeu qui m'inquiète, éventuellement, moi, c'est le fait
qu'on collecte des données d'identité numérique quand le citoyen utilise son
identité pour se connecter à différents services et qu'on veuille changer la
finalité, donc commencer à valoriser ou vendre ces données, par exemple dans un
autre contexte, sans avoir besoin de demander l'approbation de la Commission
d'accès à ce cadre-là, donc il pourrait y avoir des risques de... je dirais, de
perte de contrôle des données ou de... imaginer qu'on les... qu'on les valorise d'une certaine manière, mais que, finalement,
la commission dit : Non, a posteriori, si ces données-là ont déjà quitté
la sphère de contrôle du gouvernement, c'est trop tard. Donc, il y a tous les
enjeux aussi de pouvoir valider, je dirais,
la gouvernance ou de ce qui va être fait de ces données a priori, plutôt qu'a
posteriori, pour limiter justement, les risques en termes de vie privée.
Mme
Setlakwe : Généralement, quel est votre degré d'appréciation
par rapport au SAG, le Service d'authentification gouvernementale?
M. Gambs
(Sébastien) : Globalement, je pense que j'ai un plutôt bon
niveau d'appréciation. Comme je le disais tout à l'heure, moi... le
diable se cache dans les détails. Donc, le fait d'avoir vraiment des détails
aussi sur ce qui est envisagé pour les futures étapes de l'identité numérique,
c'est quelque chose que je regarde aussi avec des collègues, donc, de manière à pouvoir essayer d'évaluer les
risques de vie privée et de sécurité. Mais je dirais que le SAG, le système
d'authentification... je dirais que le niveau de sécurité me semble plutôt bon.
Et donc j'ai un avis plutôt positif, en général.
Mme Setlakwe :
Est-ce que... Donc, j'imagine
aussi que vous suivez... Je ne sais pas si votre expertise s'étend aussi
généralement, là, au virage numérique. Évidemment, c'est intimement relié ou...
Oui, allez-y.
M. Gambs (Sébastien) : Non, non, je dirais plutôt
à l'identité numérique. Le virage numérique, ça peut... ça peut représenter
plein d'autres aspects qui ne sont pas liés à la cybersécurité ou la protection
des données personnelles. Donc, oui, je le suis un peu, mais il y a
beaucoup de choses qui sont, par exemple, liées au génie logiciel, qui ne sont pas de mon domaine de compétence directement.
Donc, l'identité numérique, je le suis beaucoup. Je suis aussi... étant
Français d'origine, il y a beaucoup de choses qui se passent en Europe en ce
moment avec le projet de loi européen sur l'identité numérique. Mais, voilà,
pour répondre à votre question.
Mme
Setlakwe : Avez-vous une opinion sur la biométrique, l'utilisation des
données biométriques? Est-ce que vous pensez
que c'est un... c'est une avenue qu'on ne devrait pas... sur laquelle on ne
devrait pas s'aventurer ou... Quand vous dites que vous avez des
réserves, ou que votre champ d'intérêt porte surtout sur l'identité numérique,
et vous dites donc que le SAG, c'est un...
c'est un bon point de départ, vous suivez la suite des choses, qu'est-ce que
vous suivez exactement, et qu'est-ce que vous... qu'est-ce qui vous
inquiète pour les Québécois?
M. Gambs
(Sébastien) : Donc, en termes... en termes d'identité numérique, là,
et de... Donc, la biométrie, ça peut être un facteur pour augmenter la
sécurité, mais, en général, je dirais que les bonnes pratiques, c'est d'éviter d'avoir une base centralisée des données
numériques des personnes. Donc, il y a des possibilités de stocker la biométrie
des personnes dans un appareil qu'on
contrôlerait comme un portable ou une carte à puce sécurisée. C'est ce qui est
fait, par exemple, s'il y en a parmi vous qui ont des iPhone, la reconnaissance
du visage qui est utilisée. La biométrie, je dirais, améliore la sécurité
de l'iPhone, mais Apple n'a pas collecté une base de données centralisée des
caractéristiques des visages des usagers. C'est la biométrie qui est stockée
localement.
Donc, c'est pour ça
que je disais que le diable se cache dans les détails, dans le sens où la
biométrie peut aider à améliorer la sécurité, mais il faut éviter d'avoir une
base de données centralisée de la biométrie, encore une fois, parce que ça
deviendrait une surface d'attaque ou il pourrait y avoir des fuites qui sont
liées à cette donnée-là. Et la biométrie est une donnée extrêmement sensible,
puisque, vraiment, elle caractérise ce qu'est une personne, et on peut déduire
d'autres informations à partir de ces données.
Mme
Setlakwe : Merci. Est-ce que... Au niveau des... de la cybersécurité,
est-ce que vous avez... qu'est ce qui vous préoccupe plus particulièrement?
Puis est-ce que vous voyez... Bien, vous avez déjà dit que, dans le projet de
loi n° 38, vous étiez favorable aux outils que le ministre, le ministère
se donne, se dote. Est-ce que vous voyez des zones d'ombre? Évidemment, on
n'est pas à l'abri, là, de cyberattaques, et j'ose dire que, jusqu'à
maintenant, on a peut-être seulement vu la pointe de l'iceberg. Est-ce qu'on
est... on est bien préparés?
M. Gambs (Sébastien) :
Donc, je dirais, une des choses importantes, ça serait que toutes les
évolutions futures, au niveau technologique, de l'identité numérique, ce serait
toujours bien, on a beaucoup d'experts en cybersécurité au Québec, le fait de
publier les standards et, vraiment, les détails techniques de ce qui va être
mis en place pour que les experts en
cybersécurité puissent donner leur avis et donner leur expertise, je pense que
ça me semble vraiment quelque chose d'important pour le futur.
Une autre étape qui
me semble importante, c'est aussi, quand on a des fuites de sécurité, d'être
transparents sur ces fuites-là et de publier qu'on a été victime d'une fuite de
sécurité. Ça, ça contribue aussi à la transparence au citoyen, mais ça contribue aussi, je dirais, à essayer d'améliorer la
politique de cybersécurité, de manière globale. Je dis ça parce qu'il y a quelques années, quand je donnais
cette... le fait de publier les failles de sécurité ou plutôt les incidents
de sécurité qu'on a eus, parfois les gens me regardaient en disant : Mais
ça va augmenter les risques des attaques. Mais,
au contraire, je dirais que ça fait partie des bonnes pratiques en termes de
transparence, et pour dire aux citoyens : Bien, voilà, on a eu une fuite de sécurité, mais, maintenant, tel
ministère a audité la faille, a corrigé la faille, a mis en place les
correctifs.
Donc, voilà, l'aspect
transparence me semble être quelque chose sur lequel on devrait travailler.
Donc, je ne sais pas, ça pourrait être un
registre des failles de sécurité, aussi bien des organismes privés que publics,
qui serait mis en place au niveau du
Québec pour être capables d'avoir une vision vraiment globale des incidents de
cybersécurité qui ont eu lieu et de comment les... quels ont été les
correctifs mis en place.
Mme Setlakwe :
Merci. En termes de... Vous avez
émis un commentaire, puis là vous venez d'y faire allusion, je pense, de façon
un peu indirecte, mais vous... l'autre élément sur lequel vous proposez qu'on
apporte un ajustement au projet de loi, c'est sur, justement, la
transparence puis... Là, je ne l'ai pas sous les yeux exactement, là,
l'article, mais on prévoit une obligation de faire état de... du progrès au
niveau... ou l'état d'avancement de certains... de certaines initiatives. Donc,
vous voyez ça d'un bon oeil, mais vous pensez qu'on devrait aller plus loin?
M. Gambs
(Sébastien) : Donc, si j'ai...
Mme Setlakwe : Pouvez-vous élaborer
un peu sur...
M. Gambs
(Sébastien) : Oui, pardon, je ne voulais pas vous interrompre. De ce
que j'ai compris du projet de loi, c'est que c'est une obligation des
ministères de rendre compte au ministère de la Cybersécurité, mais pas une
obligation de rendre compte au public de manière générale. Donc, quitte à avoir
une obligation d'avancement qui est faite au niveau du ministère, ça me semble
important aussi d'être transparents, et ce registre-là pourrait être ouvert aussi à la population. Et je pense que ça
permettrait d'être transparents sur quels sont l'état de tous ces projets-là,
de savoir quelle est la progression de ces projets-là.
Souvent, les citoyens se... On voit, dans pas
mal de projets pas forcément liés au numérique, mais dans d'autres cas... où il y a des délais dans la mise
en place de projets de transport collectif. Et je pense qu'à chaque fois la
question de confiance du citoyen pourrait être aussi renforcée par la
transparence en disant, bien, je ne sais pas, tel projet numérique, on a pris
deux mois de retard, mais voici l'état où on est, et voici ce que... quelles
sont les prochaines étapes. Voilà.
Mme Setlakwe : Merci. Donc, oui, on
voit que vous souhaitez avoir une plus grande transparence pour pouvoir suivre.
Est-ce que vous avez visité le tableau de bord
des projets en ressources informationnelles du gouvernement? Est-ce que vous
pensez que... qu'il est... qu'il est adéquat? Non?
M. Gambs (Sébastien) : Non, je ne
l'ai pas regardé, donc c'est peut-être un... Je m'excuse si ça...
Mme Setlakwe : Ah! non, il n'y a pas
d'enjeu, non, non, mais on échange, là, parce que j'aurais été curieuse de
savoir si, à votre... à votre sens, le tableau de bord est assez complet,
est-ce qu'il va assez loin, est-ce que... Mais...
M. Gambs (Sébastien) : Je n'ai pas
pris connaissance, donc je suis... Oui, je pourrais répondre après, mais, je
suis désolé, je n'ai pas...
Mme
Setlakwe : Non, il n'y a pas d'enjeu. Tout ça est
relativement récent, mais il revêt une grande importance pour nous tous.
Est-ce que, généralement, vous êtes en mesure de
vous prononcer, là, sur les leçons qu'on doit tirer du fiasco à la SAAQ? Est-ce
qu'on doit... Évidemment, on s'entend, là, que le fiasco à la SAAQ, il y a... il
y a une bonne part qui relève de la SAAQ, du fait que les succursales avaient
été fermées. Le SAG, le fameux Service d'authentification gouvernementale, a été pointé du doigt, finalement, par des experts externes comme
n'étant pas... n'ayant pas été optimal, il y avait... il y avait des
lacunes qui avaient été identifiées d'avance. Bon, généralement, vous avez dit
que le SAG, ce n'est pas... ce n'est pas un mauvais système, mais est-ce
qu'avec le recul qu'on a aujourd'hui vous êtes en mesure de vous prononcer sur les leçons qu'on doit tirer?
Est-ce qu'on est... Aujourd'hui, avec le projet de loi, pensez-vous que le projet de loi... s'il avait été adopté avant le
déploiement de SAAQclic, est-ce qu'on aurait pu éviter certains...
certains déboires?
• (11 h 20) •
M. Gambs (Sébastien) : Bien,
j'imagine que, justement, sur la reddition de comptes sur l'avancement des projets, ça aurait pu permettre une meilleure
coordination et transparence. Donc, je ne sais pas si on aurait évité les
déboires, mais on aurait pu éventuellement voir que certaines étapes du
projet avaient été faites trop vite ou qu'il manquait certaines choses. Donc, je pense que c'est vraiment important...
l'aspect transparence, je pense que c'est vraiment important pour éviter
ce type de déboires dans le futur.
Et, comme je le disais tout à l'heure, pour
l'identité numérique, même si on rajoute un de moins en gardant la phase
d'approbation par la Commission d'accès, ça me semble être une façon aussi
d'éviter certains déboires qu'on pourrait avoir dans le futur avec un projet
qui a été déployé sans prendre en compte tous les aspects de protection de la vie
privée et de sécurité. Voilà.
Mme Setlakwe : Merci. Bien, écoutez,
moi, j'aurais... j'aurais terminé au niveau de mes questions. Si vous avez
quelque chose à ajouter, c'est le temps, il nous reste à peu près
1 min 45 s.
M. Gambs (Sébastien) : Non,
globalement, comme je le disais, je vois beaucoup de points positifs dans le
projet de loi, mais c'est vraiment la question de garder le rôle de la
Commission d'accès pour assurer la protection maximale au niveau de la vie
privée qui, je pense, est le point de désaccord aux discussions sur le projet
de loi.
Mme Setlakwe : Merci beaucoup, Pr
Gambs.
La Présidente (Mme D'Amours) : Merci.
Mémoire déposé
Avant de conclure les auditions, je procède au
dépôt du mémoire d'un organisme qui n'a pas été entendu lors des auditions
publiques. Je vous remercie tous pour votre contribution à nos travaux.
La commission ajourne ses travaux sine die.
Merci.
(Fin de la séance à 11 h 22)