(Dix heures)
La Présidente (Mme
D'Amours) :
Bonjour, tout le monde. Ayant constaté le quorum,
je déclare la séance de la Commission de l'économie et du travail ouverte.
La
commission est réunie afin de poursuivre l'étude détaillée du projet de loi
n° 38, Loi modifiant la Loi sur
la gouvernance et la gestion des ressources informationnelles des organismes
publics et des entreprises du gouvernement et d'autres dispositions législatives.
Mme la secrétaire, y
a-t-il des remplacements?
La
Secrétaire : Oui, Mme la Présidente. Mme Tremblay (Hull) est
remplacée par Mme Abou-Khalil (Fabre) et Mme Cadet (Bourassa-Sauvé)
est remplacée par Mme Setlakwe (Mont-Royal—Outremont).
Étude détaillée (suite)
La Présidente (Mme
D'Amours) : Merci. Lors de l'ajournement de nos travaux, jeudi
dernier, nous venions d'adopter
l'article 10. Nous en sommes donc à l'étude de l'article 11. M. le
ministre, vous pouvez procéder à la lecture de cet article, s'il vous
plaît.
M. Caire : Merci.
Bonjour, Mme la Présidente. Bonjour, collègues. Merci, Mme la Présidente.
Donc,
l'article 11 se lit comme suit : L'article 19 de cette loi est
modifié par l'ajout, à la fin, de l'alinéa suivant :
«Le ministre assure
le leadership de la transformation numérique et de la cybersécurité de
l'Administration publique.»
Donc,
l'article 19, on va rajouter un paragraphe. Déjà, l'article 19
établissait qu'on était chargé d'élaborer, de proposer
au gouvernement des politiques, et là on vient spécifier que le leadership en
matière de transformation numérique et de cybersécurité est assuré par
le ministre.
La Présidente (Mme
D'Amours) : Merci. Commentaires sur l'article 11?
Mme
Setlakwe : Oui. Oui, merci, Mme la Présidente. Bonjour à vous tous.
Donc, je dirais que c'est un ajout de taille, là, c'est une disposition
importante du projet de loi, et j'ai quelques questions, là, d'ordre général.
Puis je ne veux pas revenir sur toutes les discussions qu'on a eues jeudi
dernier, juste peut-être commencer par nous expliquer ou nous confirmer si ce
type de libellé-là, où un ministre prévoit, enchâsse dans une loi son
leadership, puis ici on dit spécifiquement
que le ministre assure le leadership de la transformation numérique et de la
cybersécurité de l'administration publique... est-ce qu'on retrouve ce
type de libellé ailleurs dans le corpus législatif?
M. Caire : Oui, au niveau du ministère de l'Économie et de
l'Innovation, c'est essentiellement le même libellé que vous allez
retrouver.
Mme
Setlakwe : Est-ce que... Merci. Vous avez mentionné, la semaine
dernière, ça a été mentionné durant le briefing technique, qu'il y avait ou que
vous avez tiré certains constats, depuis la création du ministère, puis c'est
normal, les choses évoluent, il y a des dossiers qui ont été mis de l'avant, il
y a eu le dossier SAAQclic, on pourra peut-être
y revenir tout à l'heure, mais vous avez mentionné spécifiquement qu'il y a des
fausses perceptions associées à la mission du ministre de la
Cybersécurité et du Numérique, donc par rapport à votre mission. Donc,
peut-être, la prochaine question
serait : Pourquoi réagir à ce stade-ci? Pourquoi avoir... ne pas avoir
prévu ce texte-là, ce libellé-là dès la constitution du ministère? Puis
est-ce que c'est en réaction à... au dossier SAAQclic ou à un autre dossier?
M. Caire : Non,
en fait, je vous dirais que... Bien, c'est un ensemble de dossiers. Donc, ce
qu'on constate, c'est qu'il y a beaucoup d'initiatives,
puis, vous le savez, Mme la députée, on a parlé des 2 538 projets,
puis je vous dirais que c'est aussi
en lien avec le portefeuille de projets prioritaires où on voit qu'il y a un
appétit pour une transformation numérique au sein du gouvernement, il y
a une volonté de faire la transformation numérique, mais cette volonté-là de le
faire en cohérence avec une vision gouvernementale, ça, c'est moins présent.
Les ministères et les organismes, puis je
descendrais même au niveau de tous les organismes, sont beaucoup dans :
mon organisation, la transformation numérique de mon organisation. Et on
a moins ce réflexe-là de dire : Oui, mais mon organisation, c'est une
entité du gouvernement, donc la
transformation numérique, elle doit être gouvernementale, et je dois
participer, comme organisation gouvernementale, à cette transformation
numérique là et pas juste à ma transformation numérique.
Donc,
quand on a créé le ministère, il y avait cette volonté-là d'avoir cette
cohésion-là, mais on se rend compte maintenant, à presque deux ans d'existence,
que cette disposition-là, elle doit être marquée de façon plus formelle, plus
enchâssée dans la loi, en fait.
Mme Setlakwe : Pour donc mettre de
l'avant les projets...
M.
Caire : Le réflexe soit... des organismes soit : Où
est-ce que je suis, moi, dans cette vision-là gouvernementale, et moins
dans, tu sais, comment moi, j'assure ma transformation numérique, puis les
autres, ils feront, tu sais, selon ce qu'ils
ont besoin, là. Donc, d'avoir cette idée-là, de dire : Un instant, là, il
faut que, tout le monde, on se fédère autour de l'idée que nous sommes le gouvernement du Québec et nous devons nous
transformer numériquement. Puis, quand je
vous disais : Il y a un lien avec le portefeuille de projets prioritaires,
bien, ça, ça veut dire peut-être qu'on va prioriser des projets puis
d'autres devront être, disons, plus patients, mais que ça se fait au bénéfice
de l'ensemble.
Mme Setlakwe : Donc, j'entends qu'il
y avait du travail en silo.
M.
Caire : Oui. Ah! oui, tout à fait. Absolument. Puis c'est
vrai en cybersécurité puis c'est vrai en transformation numérique aussi,
beaucoup, beaucoup. On a fait une première grosse avancée avec la loi n° 95,
mais adopter la loi, la mettre en application puis que les gens comprennent la
portée de la loi, des fois, il y a des décalages. Puis là je pense qu'on est à
l'étape de se dire : Bon, bien, écoutez, ce n'est pas juste légal, là,
c'est un concept. On a mis en place un ministère
pour assurer la... aussi pour assurer la transformation numérique du
gouvernement de façon plus cohérente, et donc il est normal que ce ministère-là assure le leadership. Puis là
maintenant on vient le marquer de façon plus formelle.
Mme Setlakwe : Mais est-ce que vous
ajoutez des pouvoirs ou c'est simplement de rendre explicite ce qui était
implicite?
M. Caire : C'est de rendre explicite
ce qui était implicite.
Mme Setlakwe : OK Puis, dans le
quotidien... puis je ne veux pas reprendre la discussion qu'on a eue la semaine passée, là, vous avez vraiment bien
expliqué la séquence, là, le plan de transformation numérique, ce qui émane
des organismes, le portefeuille des projets prioritaires adoptés par le gouvernement
après votre recommandation, la programmation
qui en découle, etc., mais, dans le quotidien de la vie du ministre du
Numérique et de la Cybersécurité numérique, qu'est-ce que ça veut
changer d'avoir ce texte-là?
M.
Caire : Bien, ça va amener le réflexe... c'est un peu ce
que je vous disais la semaine dernière, ça va amener le réflexe dans les
ministères et organismes d'abord de se sortir du «mon organisation» puis de se
voir comme une entité du gouvernement du Québec, donc de dire : OK, ce
plan-là, cette vision-là, cette transformation-là, on veut la faire gouvernementale, d'une part, et, d'autre
part, d'avoir le réflexe de tourner les yeux vers le ministère. Bon, parce que,
dans le quotidien, ça veut dire : OK, quelles sont les orientations du gouvernement,
par exemple, dans l'intégration de
l'intelligence artificielle? C'est quoi, les grands axes sur lesquels on veut
développer l'intelligence artificielle? Est-ce que le ministère de la Cybersécurité et du Numérique peut mettre à ma
disposition des ressources qui vont m'aider dans... des ressources, des
expertises qui vont m'aider dans cette transformation numérique là? Ce qui est
le cas, hein, on a mis en place le Centre
québécois d'excellence numérique puis on veut que cette entité-là puisse aussi
aider puis amener de l'expertise à l'interne dans la transformation numérique.
Donc,
c'est vraiment d'avoir le réflexe, quand on pense transformation numérique, de
penser au ministère de la Cybersécurité comme étant un acteur vers lequel on
peut se tourner.
Mme
Setlakwe : Je comprends puis... Mais d'avoir prévu ailleurs,
là, cette espèce de hiérarchie, parce qu'on a parlé de différents pouvoirs ou
d'obligations légales, là, d'exécuter les projets prioritaires, ça, ce n'était
pas suffisant?
M. Caire : Non, parce que, comme je
vous disais, les projets prioritaires... puis le portefeuille de projets prioritaires, il va être quand même... on veut
qu'il soit limité, parce que, l'idée, c'est justement de dire : Il faut
arrêter de s'en aller partout. Mais, comme je vous disais, une fois que
ces projets-là, prioritaires, sont exécutés, les organismes peuvent quand même
disposer de ressources qui vont leur permettre d'exécuter leur propre plan,
mais ça aussi doit faire l'objet d'une cohésion puis d'une cohérence avec
l'ensemble.
Puis je donne
un exemple : si j'ai besoin de faire de la gestion immobilière pour une
raison x, bon, bien, est-ce que je suis la seule entité du gouvernement
qui a besoin de faire de la gestion immobilière? Probablement pas. Alors,
est-ce que le ministère de la Cybersécurité et du Numérique peut me dire est-ce
qu'il y a, par exemple, déjà un tronc commun, une application qui serait
transversale, qui pourrait me permettre de faire ça? Est-ce qu'on peut
mutualiser ces ressources-là? Est-ce qu'il y a lieu de faire un projet à
plusieurs ou est-ce qu'il y a déjà quelque chose? Alors, comprenez-vous? C'est d'avoir le réflexe de
dire : Même dans sa propre transformation numérique... Tu sais, ce n'est pas
juste de dire : Bien là, OK, le projet prioritaire, c'est correct, c'est
le gouvernement, puis on embarque là-dedans, mais
le reste, là, ça m'appartient, c'est moi. On revient dans le «moi». Puis c'est
juste de briser ce réflexe-là puis se dire : Un instant, oui, vous
avez des besoins, puis oui, vous êtes les mieux placés pour répondre à ces
besoins-là, puis oui, vous devez être
capables de vous transformer numériquement pour être plus performants, plus
efficaces, mais ça ne vous dédouane pas de regarder, par exemple, au niveau des orientations, au
niveau des standards, au niveau de la mutualisation, au niveau des bonnes pratiques, comment on peut
faire ça. Et ça, ça aussi, ça va s'inscrire dans une volonté gouvernementale
d'agir de façon commune et conforme.
• (10 h 10) •
Mme Setlakwe : Merci. Évidemment,
là, ce nouvel alinéa s'inscrit dans une loi qui existe déjà. Puis juste l'article suivant, dans la LGGRI, 19.1, on dit que
«le ministre peut signifier aux organismes publics des attentes en matière
de transformation numérique». Ça, honnêtement, je trouve que cette
disposition-là, il me semble que ça vient un peu diluer ou ça vient... Puis ça ne vient pas créer de la confusion, selon
vous? Vous venez de dire que, tu sais, en amont, là, il y a tout le
processus à suivre, l'exécution des projets prioritaires, le leadership, là,
on... Tu sais, vous comprenez ce que je veux
dire, là, le nouveau texte s'inscrit entre le premier alinéa de 19 et l'article
subséquent, 19.1. Après ça, on vient dire tout simplement : «Le
ministre peut signifier aux organismes des attentes».
M. Caire : Oui.
Mme
Setlakwe : Mais il me semble que... Comment vous l'expliquez,
cette disposition-là? Comment ça se marie avec ce qu'on vient de
discuter, avec cet ajout qu'on veut faire à 19?
M. Caire : Parce qu'au niveau des
attentes en matière de transformation numérique on est plus dans la volonté
d'exécuter, c'est-à-dire que, bon, comme je vous disais la semaine dernière,
les ministères et organismes doivent élaborer des plans de transformation numérique,
bon, bien, il faut s'assurer, à ce niveau-là, est-ce que le plan est suffisamment ambitieux, est-ce que le plan
amène l'organisation dans une transformation numérique qui est vraiment...
qui vise vraiment l'efficacité et le service
aux citoyens, est-il privilégié par rapport à la commodité interne, est-ce que
les priorités sont aux bonnes places, est-ce qu'on est vraiment...
Puis je vais vous donner un exemple. Sans
mentionner d'organisme, Mme la députée, je vais vous donner, tu sais, un plan
de transformation numérique où l'essentiel des projets visait la transformation
numérique des processus à l'interne. Donc,
au niveau du confort des employés de l'organisme, c'était excellent, par
contre, tout le volet interface avec le citoyen, à notre avis, était... passait
deuxième. Alors, quand on parle de signifier des attentes, c'est dire :
Bien non, vous devez prioriser le citoyen,
donc vos projets devraient viser à donner un service plus efficace au citoyen,
puis après ça vous... ou trouver un équilibre, par exemple. Donc, les
attentes, on est plus à ce niveau-là.
Mme
Setlakwe : OK. Je comprends. Donc, vous avez donné un
exemple, dans le fond, au stade de l'élaboration des... du plan de
transformation numérique.
M. Caire : Essentiellement. Oui.
Oui.
Mme
Setlakwe : Par exemple? Parce que ce n'est pas juste de
dire : Laissons les organismes élaborer leur plan, je vais évaluer
tout ça...
M. Caire : C'est ça.
Mme Setlakwe : ...je vais créer une
priorité...
M. Caire : C'est qu'il faut quand
même dire : Écoutez...
Mme Setlakwe : ...vous pouvez
intervenir. Oui?
M. Caire : Voilà. Vous avez tout à
fait raison.
Mme Setlakwe : OK. Je me rapporte à
des discussions qu'on a eues à l'étude des crédits, on a parlé de la maturité
numérique des organismes publics. Il y a quatre catégories, là. Puis ça, c'est
en vertu de l'outil qui s'appelle Radar numériQc?
M. Caire : Oui.
Mme Setlakwe : C'est une mesure de
la maturité numérique organisationnelle des organismes publics du gouvernement en fonction de, bon, 18 bonnes
pratiques numériques gouvernementales. Donc, sans savoir exactement où les ministères ou les organismes se situent, là,
dans ces quatre catégories-là — novice,
numérique, ouverte, productive — on
sait quand même qu'ils ne sont pas tous au même niveau, là, il y aurait comme
quatre niveaux. Comment est-ce que vous allez vous inscrire? Comment vous allez
exercer votre leadership vis-à-vis ces différentes catégories-là, sachant que
la maturité est variable?
M. Caire : En fait, c'est une
excellente question qui nous ramène au point que vous venez de soulever sur les
attentes, parce que, ça aussi, ça peut faire partie des attentes qu'on va
signifier au niveau de l'augmentation de la maturité numérique.
Et comment on va le faire? Bien,
premièrement, par la normalisation, la standardisation, puis ça, c'est important,
parce que les... la maturité numérique doit se mesurer aussi en fonction de
certains paramètres qui sont communs à l'ensemble
des... des organismes. Donc, ça, c'est les premières choses. Bon. Et, comme
vous le voyez, là, à ce niveau-là, le ministère a déjà des pouvoirs. Et
donc, par rapport à ces normalisations-là, ces standards-là, on peut signifier
aux ministères et organismes, dans nos
attentes, de dire : Bon, bien, on s'attend à ce que tu mettes l'emphase,
par exemple, sur ta capacité opérationnelle en matière de transformation
numérique.
Donc,
c'est... ça vient vraiment faire une espèce de cohésion sur l'ensemble, le plan
de transformation numérique, la maturité numérique de l'entreprise, les
attentes qu'on est capables de signifier. Puis le leadership, bien, c'est
justement... En parallèle, comment on peut assumer le leadership, c'est
en les aidant là-dedans. Donc, nous, il faut mettre...
Parce
que, vous remarquez, dans le projet de loi, je pense qu'il y a un certain
équilibre entre les pouvoirs qu'on a mais
les obligations qu'on se donne aussi, puis il faut que le ministère ait des
obligations. Donc, nous, on veut être capables d'accompagner nos
ministères et organismes dans l'acquisition de... d'expertises ou de
capacités... de capacités opérationnelles. Donc, c'est pour ça qu'on va mettre
en place des ressources qui vont permettre... excusez, qui vont permettre à ces
ministères et organismes-là d'atteindre les standards puis d'atteindre le
niveau de maturité numérique qui seront signifiés dans les attentes.
Mme Setlakwe :
Est-ce que vous sentez une
certaine résistance de certains ministères, certains organismes à...
M. Caire : Non.
Ce n'est pas de la...
Mme
Setlakwe : ...à ouvrir leurs livres et à exposer leurs défis?
M. Caire : Non. Non, là-dessus, non. Là où les organismes
sont plus craintifs, c'est dans la... notre capacité à nous d'harmoniser nos attentes par rapport à ce qu'eux
doivent faire. Parce que c'est sûr que le ministère de la Cybersécurité et
du Numérique, sa raison d'exister, c'est la transformation numérique. Ce qui
n'est pas le cas des organismes, leur raison d'exister, c'est une prestation de
services. Le numérique, c'est un outil, c'est un support. Alors, eux, dans leur
conception des choses, c'est sûr que la priorité, c'est livrer le service pour
lequel ils sont en place, ils sont là. Et, souvent,
ils peuvent voir les exigences en matière de numérique comme un fardeau
supplémentaire qui est mis sur leurs épaules. Ça, je le vois beaucoup.
Puis c'est pour ça qu'il faut qu'on soit capables, nous, de les accompagner
dans la gestion du changement, il faut qu'on
soit capables de les accompagner dans l'augmentation de leurs capacités
opérationnelles puis il faut qu'on soit capables de les accompagner
aussi dans les... peut-être, les lacunes d'expertise pour lesquelles ils n'ont
pas un intérêt. Je veux dire, chaque organisme du gouvernement n'aura pas une
cellule d'expertise en intelligence
artificielle. On comprend qu'il n'y aurait pas de volume pour ça, il n'y aurait
pas d'intérêt. Donc, la mise en commun
de ces ressources-là puis l'accès à ces ressources-là pour les différents
ministères et organismes, ça, c'est... ça
fait partie des craintes qui sont exprimées souvent puis auxquelles nous, on
doit répondre.
Donc, c'est de créer,
je vous dirais, cet environnement de confiance là, qui va faire en sorte qu'ils
vont bien comprendre pourquoi on leur
demande de faire ça, quel est l'avantage, là, qu'est-ce qu'il y a là-dedans
pour les ministères et organismes
dans leur capacité opérationnelle, puis en quoi ça vient les aider à augmenter
leur capacité à bien remplir leur mission.
Mme
Setlakwe : Est-ce qu'il y en a qui viennent vous dire d'emblée,
là : Moi, je... tu sais, on a vraiment le souhait, là, d'arriver dans
l'ère moderne puis d'offrir des plateformes, tu sais, conviviales, à notre... à
la population, aidez-nous? Est-ce qu'il y en a qui disent : Venez-nous...
On aimerait être priorisés?
M. Caire : Oui,
oui, puis par où commencer, souvent.
Mme
Setlakwe : Pouvez-vous donner des exemples ou...
• (10 h 20) •
M. Caire : Oui, bien, je veux dire, le ministère de
l'Environnement, tu as un ministère qui a une belle volonté de
transformation numérique puis c'est une organisation qui travaille beaucoup sur
sa maturité numérique. Je pense que l'Environnement voit l'importance puis la
capacité de ça. Puis effectivement ils sont en demande pour dire : Bon,
bien, on a des projets, mais comment on peut les réaliser, par où
commencer, comment on priorise tout ça? Ça fait
que ça, on en a, on en a même surprenamment plus qu'on pourrait penser, parce
qu'il y a une volonté des organismes publics de se transformer numériquement. Il n'y a pas d'enjeu à savoir : Non,
moi, je veux continuer à travailler... (panne de son)... C'est surtout
comment on le fait, par où on commence, puis comment on priorise ça, puis,
comme je vous disais, de ne pas voir ça
comme un fardeau supplémentaire, dire : Écoutez, là, moi, j'ai déjà
suffisamment à faire, là, il ne faut pas m'en rajouter sur les épaules,
parce que, tu sais, les ressources ne sont pas infinies, ressources humaines,
ressources financières, et puis, nous, bien,
si on priorise ça, on ne fait pas autre chose, donc comment on peut concilier
les deux. Puis ça, ça fait partie des choses pour lesquelles nous, on
peut être en soutien.
Mme
Setlakwe : Puis, encore une fois, on en a parlé la semaine dernière,
mais il n'y a pas... au sein de votre ministère, il n'y a pas un enjeu de
ressources humaines?
M. Caire : Non,
non. Puis je vous dirais... puis je suis très fier de dire qu'on vient tout
juste de recruter un spécialiste en
intelligence artificielle qui a quitté le Mila, puis je pense que... une
organisation que vous connaissez, qui a quitté le Mila pour venir
travailler au ministère de la Cybersécurité et du Numérique.
En fait, moi, j'ai un solde migratoire positif
par rapport à l'entreprise privée. Donc, en 2022, je n'ai pas les chiffres 2023, mais j'ai 175 ressources
de plus qui sont parties de l'entreprise privée pour venir travailler au ministère
que j'ai de ressources qui sont parties du ministère pour aller travailler dans
le privé. Donc, on a une belle capacité d'attraction, on a des beaux projets,
on a des défis qui sont stimulants, qui sont intéressants.
Puis, écoutez, là, sur les 1 900 ressources,
un petit peu plus, qu'on a au ministère, bon, vous en avez 800 qui travaillent
vraiment plus... SAGIR, bon, les domaines administratifs en périphérie, mais ce
qui nous laisse entre 1 100 et
1 200 ressources qui sont vraiment dédiées aux technologies de
l'information. C'est important. Puis ça, c'est juste au ministère, parce
que, dans les ministères et organismes, il y a aussi des ressources qui
travaillent en technologies de l'information.
Mme
Setlakwe : Puis, est-ce que... Quand vous dites que... donc,
vous avez un solde migratoire positif, il y en a plus qui sont venus vers le ministère, donc le public, que d'employés
qui ont quitté vers le privé, mais qu'en est-il de la haute direction?
M. Caire : Bien, je vous dirais que
c'est des cycles qui sont normaux, là. Bon, vous l'avez vu récemment, bon, le sous-ministre a été changé. Puis je vous
dirais que c'est peut-être même un record, parce que trois ans dans le poste de
DPI... Mais, c'est des... c'est un poste, puis là je parle particulièrement du
DPI, c'est un poste qui est extrêmement exigeant, extrêmement exigeant.
Je pense qu'on ne mesure pas à quel point le DPI du Québec est sursollicité. Il
n'y a pas de jour, il n'y a pas de soir, il
n'y a pas de fin de semaine, je veux dire, c'est... parce qu'avec la loi n° 95,
bon, il est devenu, dans les faits, le chef gouvernemental de la
sécurité de...
Mme Setlakwe : ...pour ceux qui nous
écoutent, c'est qui, le DPI?
M. Caire : Le dirigeant principal de
l'information, qui se trouve à être le sous-ministre en titre du ministère de
la Cybersécurité. Vous avez raison de le préciser, Mme la députée.
Donc, il est le chef gouvernemental de la
sécurité et de l'information, il est le chef de la transformation numérique, il est le gestionnaire de la donnée
numérique gouvernementale, en plus d'être le dirigeant principal. Évidemment,
ces trois fonctions-là, il peut les déléguer
à un sous-ministre adjoint qui va... mais la responsabilité demeure la sienne. Alors,
c'est extrêmement exigeant comme poste.
Mme Setlakwe : Puis là on cherche?
M. Caire : Non, non, non.
Mme Setlakwe : On cherche quelqu'un?
M. Caire : Non, non. Le poste est
comblé.
Mme Setlakwe : Il n'y a pas d'enjeu?
M. Caire : Non, non. Le poste est...
Mme Setlakwe : Il y a eu des
changements, c'est ça?
M. Caire : Bien, le sous-ministre,
mais on a accueilli M. Le Bouyonnec, là...
Mme Setlakwe : Ah oui! C'est ça.
M. Caire : ...qui est maintenant
dans ces postes-là.
Au niveau des
sous- ministres adjoints, bien, c'est sûr que ça, c'était comme... c'est un
nouveau ministère, donc il y avait un
nouvel organigramme, on essayait de restructurer les choses. Mais le ministère,
c'est la fusion de plusieurs entités, hein, on pensait à ITQ, on pense au
sous-secrétariat du dirigeant principal de l'information, d'autres entités qui
étaient dans d'autres ministères, qu'on a regroupées. Donc, on arrivait avec
des cultures différentes. On arrivait avec une philosophie, une vision qui est
différente, un rôle qui est différent.
Alors, c'est normal, je pense, que, dans les
premières années, il y a des gens qui sont d'accord avec ce qu'on fait, il y a
des gens qui ne sont pas d'accord avec ce qu'on fait. Donc, il y a des mouvements
comme ça, ce n'est pas anormal, mais, somme toute, je pense qu'on s'en sort
assez bien, puis nos postes sont comblés.
Puis, comme je vous disais, Mme la députée, je
comprends que, quand on regarde l'organigramme, on dit : Il y a beaucoup
de postes qui sont à pourvoir, mais, dans les faits, nos... excusez, nos cibles
d'heures rémunérées sont même dépassées, là. Alors, on est en discussion avec
le Conseil du trésor à cet effet-là. Mais même si je voulais embaucher, là, je
ne peux pas.
Mme
Setlakwe : On devrait tous faire un plaidoyer au ministère... au
ministre des Finances, là, parce que les défis sont grands, ça vous prend du
monde.
M. Caire : Croyez-moi, je plaide, je plaide, je plaide, mais,
en même temps, bon, le ministre des Finances a toutes sortes de réalités
auxquelles...
Mme
Setlakwe : Il a des choix à faire.
M. Caire : Il
a des choix à faire.
Mme
Setlakwe : Donc, vous avez parlé de l'intelligence artificielle à
deux, trois reprises, et on sait que l'intelligence
artificielle, bon, avance à vitesse grand V, puis ça va changer... ça change
déjà notre monde et ce n'est pas terminé, ça relève principalement du ministère
de l'Économie et de l'Innovation, mais vous en avez parlé. Comment
est-ce que vous, vous vous inscrivez, vous, votre ministère dans...
M. Caire : Bien,
en fait, le ministère de l'Économie, son rôle, c'est de soutenir l'écosystème,
les entreprises privées, les milieux de recherche, bon, les universités dans
leur capacité à développer l'innovation, le savoir et le savoir-faire. Le ministère... mon ministère, nous,
on va travailler en collaboration avec ces acteurs-là pour intégrer
l'intelligence artificielle au sein du gouvernement. Donc, c'est...
Puis
on va le voir plus tard, puis la question que vous posez là, vous allez le voir
plus tard, là, en fait, à l'article suivant où, effectivement, quand on
parle de l'utilisation de technologie, notamment de l'intelligence
artificielle, bien, c'est sûr que le
ministère a un rôle à jouer. Le ministère doit être consulté. On doit pouvoir
donner notre avis sur les orientations qui sont prises.
Puis, à plus forte
raison, lorsqu'on parle de projets de développement ou d'intégrer ces
technologies-là dans les ministères et
organismes, c'est évident que le ministère de la Cybersécurité et du Numérique
a un rôle à jouer de, bon, normalisateur, standardiser, s'assurer,
évidemment, qu'on répond aux questions éthiques.
D'ailleurs,
on a déposé... j'ai déposé la première stratégie d'intégration de
l'intelligence artificielle où il y avait quand même certaines prérogatives à
respecter quant au déploiement de cette technologie-là, parce que, bon, ça,
amène, évidemment, un remodelage de certaines fonctions, donc des compétences
supplémentaires. Il faut s'assurer que notre monde est accompagné
là-dedans. Il y a des postes, on ne se le cachera pas, Mme la députée, qui sont
appelés à disparaître, mais il faut être
capable de travailler avec les ressources pour les amener ailleurs en
requalification. Donc, on est très, très, très actif à ce niveau-là.
Mme
Setlakwe : Mais on n'a pas légiféré spécifiquement sur ces enjeux-là.
M. Caire : On
n'a pas encore légiféré spécifiquement sur ces enjeux-là. Actuellement, le
Conseil de l'innovation a fait une grande consultation, un rapport est déposé.
On a demandé à Me Nicolas Vermeys, que vous connaissez peut-être, à l'Université
de Montréal, qui est un des grands spécialistes en droit des technologies, avec
un comité, de faire le point sur le cadre
législatif québécois, parce que, malheureusement, on analyse la situation du
Québec, mais avec le prisme du cadre
législatif, par exemple, aux États-Unis, ou ailleurs au Canada, alors qu'au
Québec on a un cadre législatif, avec
la loi n° 25, notamment, avec la Loi concernant le cadre
juridique des technologies de l'information qui a été adoptée il y a 20 ans, qui était très, très innovant à ce
moment-là, on a un cadre législatif qui est déjà plus solide. Je ne vous dis pas qu'il ne faut pas qu'il soit
modernisé puis qu'il ne faut pas qu'il soit amené au XXIe siècle, mais
déjà on a un cadre législatif qui est plus solide que ce qu'on va voir
ailleurs en Amérique du Nord.
Donc,
potentiellement, oui, légiférer, mais il faut que la loi réponde... d'abord,
s'ancre dans la réalité québécoise, d'une part et, d'autre part, il faut
que cette loi-là réponde aux besoins. Et, pour répondre aux besoins, bien,
encore faut-il les identifier correctement.
Mme
Setlakwe : Donc, l'analyse est en cours?
M. Caire : Oui.
Mme
Setlakwe : Vous, vous avez participé, j'imagine, M. le ministre, à la
consultation?
M. Caire : Oui. Puis je conduis moi-même une consultation,
là, à travers l'écosystème, là, avec la cybersécurité, là. Par
extension, on parle aussi, là, de l'ensemble des autres facteurs en
transformation numérique, justement, parce qu'ultimement c'est moi qui aurai à
porter les projets de loi, si tant est qu'il y en a.
Mme
Setlakwe : Puis donc ce n'est pas un projet en soi, là, mais c'est...
ce n'est pas un projet prioritaire en soi, mais c'est prioritaire.
M. Caire : Oui,
oui. Bien oui, je vous dirais que oui, parce que plus on travaille en amont,
moins on laisse la situation s'en aller dans toutes les directions. Donc, c'est
important.
Puis même une fois
qu'un cadre législatif est adopté, le temps que la société civile s'y adapte...
La loi n° 25 a été adoptée en 2020, Mme la députée, vous vous en
souviendrez, elle a été mise en pleine application à partir de septembre 2023, là, parce qu'on l'avait échelonnée sur trois
ans, justement, pour que... Puis il y a encore beaucoup, beaucoup, beaucoup d'entreprises ou d'organismes
du secteur privé qui sont à se demander, bien, comment ils vont être
capables de faire face à ce nouveau cadre législatif là. Donc, la société
civile s'adapte, mais pas... peut-être pas au même
rythme qu'on pourrait le croire. Puis c'est important, donc, de... quand on
adopte un cadre législatif, de le faire assez rapidement puis laisser le
temps à la société de s'adapter à ce cadre législatif là, de bien le
comprendre, de comprendre la portée des responsabilités, les obligations, les
droits qui sont... qui font partie... Tout ça, ce n'est pas intuitif, là.
• (10 h 30) •
Mme
Setlakwe : C'est intéressant, la discussion, parce que je pensais
vraiment que... en tout cas, je voulais clarifier
votre rôle dans cet énorme enjeu qui nous touche tous, là. Ça ne s'en va pas,
on vit avec. J'ai... On reçoit, nous, vous savez, là, les députés, vous
en recevez, vous aussi, mais on reçoit toutes sortes de questions de citoyens,
puis il y en a qui s'intéressent vraiment de
façon détaillée au projet de loi qu'on étudie, on en est bien heureux, là, mais
il y a un résident ou un... je ne sais pas si c'est un de mes résidents,
peu importe, qui était consterné de remarquer qu'aucune mention de l'intelligence artificielle n'était faite dans le projet de
loi qu'on étudie : «Alors que l'intelligence artificielle, et plus particulièrement son encadrement, occupe
de plus en plus de place dans notre société — comme on discute — il est
désolant de constater qu'en 2023 nous n'avons pas d'article de loi ou de
règlement désignant, au minimum, qui est responsable et imputable...»
M. Caire : Mais,
écoutez...
Mme Setlakwe :
...des systèmes... c'est ça, «des
systèmes en intelligence artificielle déployés par nos services
publics.»
M. Caire : Oui,
j'ai lu la même... le même commentaire. Puis, ce que je dirais au citoyen...
Bien, je reviendrai
un peu d'abord sur la réponse que je viens de vous faire. Le cadre législatif
québécois n'est pas le cadre législatif du reste de l'Amérique du Nord. Donc,
il y a déjà des dispositions qui sont prises avec la loi n° 25 sur la protection des renseignements
personnels, sur les processus décisionnels automatisés. La loi n° 25
en parle déjà. Donc, il y a cet aspect-là de la loi. Il y a la Loi
concernant le cadre juridique des technologies de l'information qui est plus la
loi qu'on va privilégier pour l'encadrement de ce qui est technologie.
Le
pourquoi de cette loi, pourquoi on ne retrouvera pas, dans la loi n° 38,
mention de l'intelligence artificielle, bien, c'est parce qu'on vient
modifier les grands paramètres du ministère de la Cybersécurité et de ses
prérogatives. Mais oui, éventuellement,
cette question-là, on devra trouver des réponses et des solutions, mais ça se
fera ultérieurement, dans un autre projet de loi, si tant est, comme je
vous dis, là, qu'il y a nécessité de légiférer, là.
Mme
Setlakwe : Mais le véritable leadership, c'est vous ou c'est le
ministre de l'Économie?
M. Caire : Bien,
c'est moi qui vais porter la loi. La Loi concernant le cadre juridique des
technologies de l'information, c'est une loi
dont je suis responsable, comme je suis responsable de la loi sur la gestion et
la gouvernance en ressources informationnelles, là. C'est les deux
grandes lois dont je suis responsable. Donc, c'est moi qui vais porter ce... Mais évidemment on travaille en
collaboration avec mon collègue du... ministre de l'Économie, parce que,
lui, de par son rôle de développeur de notre
économie, c'est sûr qu'il a un impact important dans cet écosystème-là, donc
on travaille en collaboration.
Mme Setlakwe :
Pensez-vous que, jusqu'à
maintenant, on y résiste, là, dans les services publics, ou on a intégré
la technologie?
M. Caire : Ah
non, il n'y a pas de résistance. Il y a surtout un questionnement sur qu'est-ce
que... qu'est-ce qu'on fait avec ça, là,
parce qu'on entend toutes sortes de choses puis, bon, on voit ChatGPT, mais
comment l'intelligence artificielle peut vraiment venir nous aider dans
l'organisation du travail, la prestation de services, la diminution des erreurs, l'augmentation de notre capacité de
traitement, donc diminuer les temps de traitement. On est... On est à travailler
là-dessus. On est à mettre en place un
centre d'expertise en automatisation et en intégration de l'intelligence
artificielle au ministère pour aider les ministères et organismes, justement, à
bien... bien saisir ce que l'intelligence artificielle, pour l'instant, peut faire, parce que, vous l'avez
dit, là, c'est en évolution. Ce que l'intelligence artificielle fait
aujourd'hui, ce n'est probablement rien par rapport à ce qu'elle va
faire demain.
Donc, nous, c'est un
processus continu de mise à niveau de la connaissance. Puis ça nous amène
aussi, vers les ministères et organismes, à dire : Bien, tu sais, on va se
donner des projets, on va travailler, on va intégrer ça, mais on va le faire de
façon ordonnée, dans le respect de la Stratégie d'intégration de l'intelligence
artificielle qu'on a déposée, parce qu'il faut se donner un cadre éthique, un
cadre légal. Il faut... Il faut aussi mesurer les impacts de ça sur nos
employés et accompagner nos employés là-dedans, là, dans la gestion du
changement, accompagner les décideurs aussi, là, parce que je parle des employés,
mais tous ceux qui ont la gestion de l'État entre les mains doivent être accompagnés pour bien comprendre ce
que ça veut dire l'intégration de l'intelligence artificielle puis comment
ça peut les aider, mais quelles sont les limites à ne pas dépasser.
Mme
Setlakwe : Est-ce qu'il y a des... Est-ce qu'il y a des
organismes, des ministères qui viennent de l'avant et vous disent :
Accompagnez-nous, là, on a...
M.
Caire : Oui.
Mme
Setlakwe : Oui?
M. Caire : Oui.
On a plusieurs... On a plusieurs projets, notamment avec la Justice, là, pour
avoir un greffe où on utilise l'intelligence
artificielle, un moteur de recherche juridique. Il y a plusieurs projets... un
agent conversationnel aussi dans un autre organisme, là, pour... bien...
donneesquebec.ca, agent conversationnel pour être capable d'avoir accès à de la
donnée ouverte, mais, comme c'est de la donnée non structurée, quelquefois les
recherches peuvent être ardues, donc
dire : Bon, bien, on va intégrer un agent conversationnel pour lequel on
va juste poser la question comme on le fait, puis lui va faire cette
recherche-là à travers toute cette donnée-là non structurée puis ramener les
réponses. Donc, oui, il y a plusieurs... il y a plusieurs beaux projets en
intelligence artificielle.
Mme
Setlakwe : Mais c'est énorme, là. Comme, plus on en parle, plus je
trouve ça... je trouve ça gros. Puis est-ce qu'il y a un risque que les projets
prioritaires dont on a parlé, en éducation, en santé... il y en aura d'autres,
là, on va attendre que vous les mettiez de
l'avant, vous les adoptiez puis vous divulguiez publiquement, là, quels sont
les projets prioritaires, mais est-ce
qu'il y a un risque que, finalement, la gestion ou l'encadrement de
l'intelligence artificielle devienne...
tu sais, qu'on n'ait pas le choix de, finalement, mettre nos efforts là-dessus?
Puis quel est l'échéancier que vous avez en tête, là? On a parlé de la
consultation, de la... Qu'est-ce qui a été déposé récemment? Le... La
politique?
M. Caire : En
fait, c'est le rapport du Conseil d'innovation et le rapport du comité sur
l'analyse de notre cadre législatif. Ça, c'est les deux rapports qui ont été
déposés. Puis, pour répondre à votre question...
Mme
Setlakwe : À quel moment, déjà, ça a été déposé, ça?
M. Caire : Le Conseil de l'innovation a déposé au mois
d'octobre, si ma mémoire est bonne, là, je ne voudrais pas vous induire
en erreur, là...
Mme
Setlakwe : Non, non, non, il n'y a aucun enjeu.
M.
Caire :
...mais il me semble que c'est au mois d'octobre. Puis le comité sur l'analyse
du cadre législatif, c'est il y a deux semaines qu'on a eu la présentation.
Puis, pour répondre à
votre question, je vous dirais : Non, il n'y a pas de danger parce que
l'intégration de l'intelligence artificielle, dans les faits, n'est pas un
projet en soi. L'intégration de l'intelligence artificielle...
Mme
Setlakwe : Non, je sais, mais...
M. Caire : ...va
se faire à l'intérieur de projets, et c'est ces projets-là qu'on va... qu'on va
prioriser. Donc, ce qui est important,
c'est, oui — puis
je vous suis totalement là-dessus — s'assurer
que le portefeuille de projets prioritaires est vraiment priorisé, mais, à l'intérieur de ces projets-là, la
composante d'intelligence artificielle, s'il y en a, va devoir faire l'objet d'une expertise puis de faire... de
démontrer la plus-value de ces projets-là. Mais l'intelligence artificielle
n'est pas un projet en soi, l'intelligence
artificielle va faire partie des projets, et c'est ces projets-là qu'on va
prioriser.
Mme
Setlakwe : OK Puis là on s'entend qu'il va falloir ajuster le cadre
législatif, vous l'avez mentionné. Il n'y a pas...
M. Caire : Potentiellement,
oui.
Mme
Setlakwe : ...oui, il n'y a pas d'échéancier par rapport à ça encore?
M. Caire : Je
vous dirais qu'on vise le printemps prochain.
Mme Setlakwe :
OK. Donc, si on revient à
l'article 19 modifié... qui sera fort probablement modifié, quand vous dites
que vous assurez... quand la loi dit que «le ministre assure le leadership de
la transformation numérique et de la cybersécurité de l'Administration
publique», suite à notre échange, moi, j'entends que ça inclut l'intelligence
artificielle.
M. Caire : Oui, oui, oui, ça inclut l'intelligence
artificielle. D'ailleurs, c'est la raison pour laquelle c'est mon ministère,
c'est moi qui ai déposé la Stratégie d'intégration de l'intelligence
artificielle, qui est... comme elle est approuvée par le gouvernement,
ça devient une politique gouvernementale, mais c'est... c'est l'initiative du
MCN.
Mme
Setlakwe : Puis on ne devrait pas le prévoir spécifiquement ici, là?
M. Caire : Non. Non, parce que le
ministère est responsable de la cohésion, de la standardisation. Donc, les pouvoirs qu'on a sont sur la transformation
numérique. L'intelligence artificielle, c'est une composante de la
transformation numérique.
Mme Setlakwe : OK.
Me Bacon semblait avoir quelque chose à ajouter. Non? OK. Merci.
Donc, c'est
intéressant, on a... les prochains mois vont être très occupés. Il y a toutes
sortes d'enjeux d'éthique, là, qui se posent, là, qui...
M.
Caire : Oui, bien,
en fait...
Mme Setlakwe : Pas juste d'éthique,
de...
• (10 h 40) •
M. Caire : Mais, encore là, je vous
dirais, au Québec, on n'est pas si mal. Puis je ne dis pas qu'il n'y a rien à faire, là, comprenez-moi bien, là. C'est un
domaine qui va très vite, c'est un domaine qui nous amène de plus en plus loin.
Mais, tu sais, on a quand même la
Déclaration de Montréal, qui était... qui était une belle innovation en matière
d'éthique. Au niveau de la Stratégie d'intégration de l'intelligence
artificielle, on a des éléments éthiques qui sont prescrits par la stratégie,
qui doivent quand même être respectés par les ministères et organismes. Donc,
comme je vous dis, loin de moi l'idée de
vous dire qu'il n'y a plus rien à faire, mais on n'est pas non plus... Tu sais,
entre «il n'y a plus rien à faire» puis «c'est le désert
total», on... je pense qu'on se situe quand même relativement bien.
Mme
Setlakwe : Est-ce que les employés ont signé... Est-ce qu'il
existe comme une espèce de code de conduite que les... ou de bonnes
pratiques que les employés signent...
M.
Caire : Non.
Mme Setlakwe : ...ou dont ils
prennent connaissance? Non?
M.
Caire : Ce n'est pas... Non, ce n'est pas... Mais tout le
monde... compte tenu que la stratégie est un document à portée
gouvernementale, tout le monde est tenu de la respecter.
Mme Setlakwe : OK, OK. Juste pour...
là, finalement, on... je trouve ça superintéressant, la discussion qu'on a sur
l'intelligence artificielle, mais, pour revenir, donc, à la transformation
numérique, qui inclut le... ou, en tout cas, dont l'intelligence artificielle
est une composante, donc on revient sur l'idée d'introduire ce libellé, que «le
ministre assure le leadership de la
transformation numérique et de la cybersécurité de l'Administration publique».
Vous avez dit que, dans les faits,
dans le fond, ce leadership-là existait déjà, mais, comme c'est nouveau, les
organismes, il faut leur donner un signal clair.
M. Caire : C'est ça.
Mme Setlakwe : OK. Ce texte-là, en
soi, ne vous donne pas plus de pouvoirs. Les pouvoirs, vous les aviez.
M. Caire : Oui.
Mme
Setlakwe : Mais, ailleurs dans le texte de loi, je pense
qu'on a clairement ajouté des pouvoirs au ministre, oui?
M. Caire : Oui, oui, oui.
Mme Setlakwe : Et des outils.
M. Caire : Oui.
Mme Setlakwe : Sans
revenir sur toute la saga SAAQclic, c'est quand même un dossier qui a été
problématique pour les Québécois, puis le déploiement, on s'entend, SAAQclic
avec SAG... je ne veux pas revenir sur la discussion qu'on a eue jeudi, mais ce
que j'ai retenu de ce que vous avez... de notre échange, vous avez été très clair dans le fait que, pour vous, le principal
problème en était un de communication, parce qu'on a lancé SAAQclic et la
première étape, qui était l'authentification de la personne qui voulait accéder
à la nouvelle plateforme. Mais donc, sachant ça, parce qu'on est encore, je pense... puis c'est important de tirer
les leçons, là, de ce dossier problématique, qui a été qualifié de
fiasco, est-ce que ce nouveau texte là, qu'on étudie ce matin, aurait changé
quelque chose?
M. Caire : Non. Non, parce que ce
n'est pas une question de définir le leadership du ministre. Comme je vous
expliquais, quand on parle d'une société d'État, c'est, je vous dirais, dans le
cas du Service d'authentification gouvernementale...
Bon, quand vous regardez l'audit de PricewaterhouseCoopers, il nous disait : Vous auriez peut-être
dû faire le lancement à l'automne, mais, à l'automne, on ne pouvait pas, on
était en projet pilote avec le MFA. Parce qu'il
faut comprendre que la SAAQ n'est pas le premier client du Service
d'authentification gouvernementale, c'est le... c'est le MFA. Mais c'est une petite application que le MFA mettait à
disposition des éducatrices pour lesquelles c'était le Service
d'authentification gouvernementale qui était la façon d'y accéder. Et donc on
parle de quelques dizaines de personnes qui avaient cet accès-là, puis, ça...
nous, ça nous donnait un premier... un premier point de référence sur le bon
fonctionnement du système.
SAAQ était notre premier
gros client. Et donc, quand ils ont fait cette annonce-là, on a pensé que, compte
tenu... vous comprendrez que, bon, le
lancement de l'application du MFA s'est fait dans une grande discrétion, puis
c'est normal, compte tenu du peu de clientèle que ça touchait, là, la
SAAQ était le premier gros client, donc on a pensé que de faire une communication commune était une bonne idée, mais ce
n'était absolument pas une bonne idée, là, je veux dire, ça a juste semé
la confusion.
Puis vous l'avez dit vous-même, puis vous avez
raison, pour les gens, le SAG puis SAAQclic, c'est la même chose, alors que ça n'a rien à voir. Puis là où
c'est pénalisant, c'est que ça ne permettait pas non plus de bien expliquer
le processus par lequel on passe pour créer le compte d'identité. Puis
expliquer ce processus-là est important parce que
c'est de donner confiance au système puis c'est de bien expliquer la démarche,
puis qu'est-ce qu'on a mis en place pour accompagner le citoyen, puis...
Bon.
Ça fait que,
sans revenir sur toute la saga, comme vous l'avez dit, ça, effectivement, ce
n'était pas... ce n'était pas la bonne façon de procéder.
Mme Setlakwe : Donc... Mais vous
aviez le leadership, vous auriez pu dire : Non, non, ce n'est pas la façon
de faire.
M. Caire : Oui, oui, absolument.
C'est avec l'accord... avec la bénédiction du MCN que ça s'est fait, avec
l'accord du secrétariat aux communications gouvernementales et avec les
autorités de la SAAQ, là, qui voulaient... qui
étaient très heureux d'annoncer le nouveau système. Oui, oui, tout à fait. Il
n'y a pas de... Ce n'est pas une question que je n'avais pas le
leadership, c'est une question qu'on a fait une mauvaise évaluation de l'impact
de ça sur la compréhension de ce qu'on était en train de faire, autant du côté
de la SAAQ que nous, du côté du ministère.
Mme
Setlakwe : Puis là vous ne jugez pas bon de faire... Parce
que je comprends, là, que SAG a sa propre mission et va continuer
d'exister bien au-delà de... pas au-delà, mais... SAAQclic aussi, mais SAG va
servir à plusieurs fins.
M. Caire : En fait, SAG va servir...
Mme Setlakwe : C'est la... C'est la
porte d'entrée.
M.
Caire : De tous les... toutes... à terme, à terme, parce
qu'il y a une question d'arrimage, mais, à terme, ça va être la porte d'entrée
de toutes les prestations électroniques de services du gouvernement du Québec,
minimalement. Puis je ne vous cache pas, Mme la députée, qu'on est en
discussion avec les autorités municipales, avec le gouvernement fédéral, qui évaluent... puis là je ne veux pas
présumer de la décision qui sera prise, parce qu'ils sont totalement autonomes
des décisions qu'ils prendront, mais qui
pourraient éventuellement utiliser le Service d'authentification
gouvernementale du gouvernement du Québec. Donc, on est largement
au-delà de SAAQclic, mais SAAQclic était notre premier gros client, parce qu'on parle de plusieurs millions
d'utilisateurs, là. Donc, ça, c'était... c'était intéressant comme... de lancer
ce système-là en même temps.
Mme Setlakwe : OK Donc, il n'y a pas
lieu de... Si... Puis là la prochaine étape serait avec Revenu Québec, je
pense?
M. Caire : On a des projets avec le
ministère de la Santé. Là, je ne peux pas en dire plus pour l'instant parce que je ne veux pas non plus présumer des décisions
qui seront prises au niveau du ministère de la Santé. L'Agence du revenu, très
certainement, parce que le SAG va remplacer clicSEQUR, donc, éventuellement,
oui, mais, je vous dirais, à peu près tout ce qu'il y a de
prestations... de prestations électroniques de services au gouvernement du
Québec, là. Puis on a un calendrier assez
ambitieux, là, au printemps 2024, là, pour aller greffer de plus en plus
de services au SAG.
Mme Setlakwe : Est-ce qu'on peut
suspendre une petite minute?
M. Caire : Oui.
La Présidente (Mme D'Amours) :
Oui.
Mme Setlakwe : Parce que je pense
qu'on arrive à la fin, là, des questions, mais juste question de... Merci.
La Présidente (Mme D'Amours) : Je
vais suspendre les travaux quelques instants.
(Suspension de la séance à 10 h 47)
(Reprise à 10 h 54)
La
Présidente (Mme D'Amours) : Nous reprenons nos travaux. Nous en étions à... en
discussion avec l'article 11. Mme la députée.
Mme
Setlakwe : Merci, Mme la Présidente, de m'avoir accordé cette brève
suspension.
Donc, j'aurais
peut-être une dernière question ou un dernier sujet à aborder avec le ministre
par rapport à cet article important, là, qui est l'article 11, qui, on le
rappelle, là, introduit la notion de leadership de façon explicite. J'essaie de voir comment s'inscrit le leadership
du ministre dans un dossier qui a fait l'objet des médias récemment, là, en
fait dans les derniers mois : la
protection des renseignements personnels en santé, les dossiers médicaux des
Québécois.
Il y avait eu des...
un reportage de La Presse au printemps qui avait fait... qui
avait dressé un portrait... En fait, ils avaient même dit que c'était difficile
de dresser un portrait tellement il y avait peu de... peu de mesures de protection en place, il y avait peu de
journalisation, énormément de bris de confidentialité, mais donc, dans certains
cas, impossibilité d'en dresser un
inventaire. Là, on reste sur notre appétit avec... Suite à ce dossier-là, nous,
on avait demandé, à l'opposition officielle, que le gouvernement se
penche là-dessus par voie... on avait demandé un mandat d'initiative. Bon, ça
n'a pas été fait.
Là, plusieurs mois
plus tard, la Vérificatrice générale, pour la première fois, tire des constats,
puis c'est la première fois qu'elle avait...
elle avait audité deux CISSS et des établissements... ou le ministère... et qui
vient nous dire, finalement, que, vraiment, il y a... il y a une
non-protection des renseignements personnels en santé, il y a des accès non
autorisés, il y a des employés qui quittent qui ont encore accès, des post-it
avec des mots de passe non... tu sais, non robustes.
En tout cas, on
pourrait... je pourrais élaborer longuement sur les constats de la
Vérificatrice générale. Je ne le ferai pas, on en a parlé un peu la semaine
dernière. Je pense qu'on s'entend tous, là, qu'il y a quelque chose à faire pour améliorer la protection de nos renseignements
de santé. Éventuellement, on va avoir, j'espère, un bon système en
place, le DSN, là, le Dossier santé numérique, mais ce n'est pas pour demain
matin. Et donc on est face à cet enjeu, qui est franchement épeurant, là, pour
les Québécois, qui se disent : Mais qui surveille, qui s'assure que mon
dossier n'est pas accessible à n'importe qui, pour des raisons non légitimes?
On veut que ce soient les bonnes personnes qui y aient accès, pour des fins
d'efficacité.
Donc là, je me ramène
ici au projet de loi, on vient dire : Vous avez... On vous assure le
leadership, mais, dans le fond, vous
dites : Je l'avais déjà, mais là on va le dire clairement, comme ça tout
le monde va avoir cette vision... pas cette vision-là, mais tout le
monde va devoir...
M.
Caire :
Avoir le même message.
Mme
Setlakwe : ...ramer dans la
même direction et va savoir que c'est le ministère qui est en charge, qui
assure le leadership de la transformation numérique.
Là,
on a parlé tout à l'heure de la maturité numérique des organismes, et, quand on
établit la maturité numérique des organismes, c'est en fonction de 18 bonnes
pratiques numériques gouvernementales, dont une, qui est la neuvième : «Assurer la sécurité de
l'information et la protection des renseignements personnels». C'est dit
clairement, là, que les organismes...
Bien, d'ailleurs, on le sait, qu'ils ont une obligation, et même le ministère a
une obligation, dans sa loi constitutive, d'établir des exigences de
sécurité de l'information.
Donc,
ma question, c'est : Comment on a pu échapper... échapper ça? Comment se
fait-il que vous n'avez pas établi les exigences? Comment se fait-il qu'on
laisse des ministères et organismes qui détiennent des renseignements personnels et confidentiels... comment est-ce
qu'on... comment se fait-il qu'on les laisse naviguer comme ça, à l'aveugle,
ou ne pas mettre les mesures en place, ne pas classifier l'information, etc.?
M. Caire : Oui, bien, en fait, ça revient un peu à la
discussion qu'on a eue la semaine dernière, où la trop grande prolifération des
endroits où on va collecter et entreposer de la donnée, ça amène un besoin très
large en ressources. Ces ressources-là n'ont pas toutes la formation,
n'ont pas toutes l'expertise pour assurer... assurer un environnement cybersécuritaire... sécuritaire, point, parce que
ce n'est pas juste des problèmes de cybersécurité, là, je veux dire, il y a
carrément des employés qui ont accès aux dossiers papier ou qui ont accès à des
informations sur les dossiers papier auxquelles
ils ne devraient pas avoir accès. Et donc, pour moi, le... Puis je ne vous dis
pas que c'est le seul, là, mais le...
Mme
Setlakwe : ...
• (11 heures) •
M. Caire : Oui. Oui, oui. Si vous voyez l'ensemble du...
souvent, il y a encore beaucoup trop de dossiers papier... dossiers
électroniques, mais beaucoup trop de dossiers papier aussi, donc il y a une
question de numérisation. Mais donc la loi... bien, sur laquelle vous et moi,
on a collaboré, d'ailleurs, la loi n° 5, avec le
centre national de dépôt de renseignements de santé et de services sociaux, va
faire en sorte, puis c'est un peu aussi la discussion qu'on a eue à l'article 10, donc, de réduire le nombre de
sources de données, de s'assurer que ces sources de données là sont administrées
par des gens qui ont toutes les expertises
nécessaires à le faire correctement. Ça, c'est la façon dont on va être capables
de régler le problème.
Maintenant,
comment on a pu laisser faire ça? Bien, je vous dirais, tu sais, on traîne un
bagage, là, je veux dire, on arrive de quelque part, puis,
malheureusement, je vous dirais que la protection des renseignements personnels
n'a peut-être pas eu toute la considération nécessaire. Maintenant, avec
l'adoption de la loi n° 25, dont les derniers articles ont été mis en vigueur à partir de
septembre de cette année, c'est sûr que ça aussi, ça amène des obligations
légales supplémentaires, là. Donc,
c'est un ensemble de mesures qu'on met en place qui vont corriger cette
situation-là qu'on connaît, mais, entre... comme... c'est un peu ce que je vous
disais tantôt, entre le moment où on met en place la mesure, où on
l'adopte puis le moment où elle est pleinement efficace, malheureusement il y
a... il y a un temps... un temps nécessaire d'adaptation. Puis,
malheureusement, ces situations-là...
Soit
dit en passant, il y a des... il y a des situations, si je ne me trompe pas,
là, qui ont été soulevées par la Vérificatrice générale, qui datent de 2021,
là. Tout n'est pas... 2021, 2022, il me semble, là. Donc, ça, c'est l'autre affaire aussi. C'est qu'entre le moment où la
Vérificatrice générale fait son rapport puis le moment où elle... son audit,
pardon, puis le moment où elle dépose le rapport il y a... il y a un laps de
temps qui s'écoule, là. Donc, c'est un petit peu... c'est un petit peu
décalé dans le temps, là.
Puis,
ceci étant dit, je n'insulterai pas votre intelligence, Mme la députée, en vous
disant que cette situation-là, maintenant,
n'existe plus, là. Ça, c'est... ça existe encore, malheureusement, puis on
essaie de mettre en place les mesures le
plus rapidement possible pour contrer ça. La gestion des accès... écoutez, la
gestion des accès, ce n'est pas la première fois, là, que la Vérificatrice générale dénonce le fait... ce qu'elle a
dénoncé, mais dans d'autres secteurs, parce que ce n'est malheureusement pas
exclusif à la santé, là. Il y a d'autres... d'autres situations qui ont été
décriées par la Vérificatrice générale,
il y a plusieurs années, où, effectivement, la gestion des accès des employés
qui ont quitté, ou qui ont changé de ministère, ou qui gardaient les
accès, ça a toujours été problématique. Mais ce qui est absolument fondamental,
c'est de réduire le nombre de sources de
données, c'est d'augmenter les expertises pour gérer ces sources de données là
à tous les niveaux, autant les accès, que les protections numériques,
que... Bon. Puis on va... là on va être capables de mettre en place un cadre
administratif qui va éliminer ce genre de situations là.
Mme Setlakwe :
OK. Non, je comprends, là, qu'à
terme la mise en application de la loi n° 5 devrait nous amener
dans la bonne direction, mais ce n'est pas pour demain, c'est... Je ne pense
même pas que c'est pour 2024.
M. Caire : Ah!
il faut.
Mme
Setlakwe : Il faut que ce soit pour... OK.
M.
Caire :
Ah! il faut, il faut.
Mme
Setlakwe : Oui, le Dossier santé numérique va être en place pour...
M. Caire : Mais ça, si je peux me permettre, le Dossier santé numérique, c'est un projet. L'application de la loi n° 5, c'est... peut se faire indépendamment du Dossier santé
numérique, là, ce n'est pas...
Mme
Setlakwe : La loi n° 5 mettait en place
les obligations.
M. Caire : La
loi n° 5 vient... puis ces discussions-là que
nous avons eues vous et moi, d'ailleurs... la loi n° 5
vient changer le cadre législatif et la façon dont on va gérer les données de
santé. Comme la loi n° 95 l'a fait pour l'ensemble du
gouvernement, dans un régime général, la loi n° 5
fait... vient faire un regroupement des régimes particuliers, des sept ou huit régimes particuliers qui existaient, là,
vous vous en souvenez sans doute, pour avoir un seul régime pour les
données de santé. Mais oui, c'est sûr que ça va changer, parce que, justement,
c'est cette pluralité-là de bases de données, ou de centres d'information, ou
de collections de données, qui se retrouve un peu partout dans le réseau de la santé. Ça va être terminé, là, on
va être capables d'amener ça au niveau du réseau de la santé, géré par le
réseau de la santé. Puis là, bien, les
différents organismes de la santé vont accéder à cette même banque là, mais à
travers la gestion des permissions et la gestion des accès. C'est ça.
Mme Setlakwe :
Je pense qu'on dit la même chose.
À terme, quand le système va être fonctionnel puis que... Là, il y a
deux projets pilotes dans deux CISSS... deux CIUSSS — j'oublie
tout le temps.
M. Caire : Oui.
Mais je veux faire une distinction qui est très importante, Mme la députée. Le
Dossier santé numérique, c'est l'applicatif,
ça, ça va s'asseoir sur la gestion des données. Donc, la loi n° 5, c'est les fondations, c'est comment
on va gérer la donnée au niveau de la santé, indépendamment de la couche
applicative qui va nous permettre d'y avoir accès — ça,
c'est le DSN. Mais la fondation... Puis c'est la même chose sur la loi n° 95, avec les sources de
données, ça, c'est la fondation, c'est comment on gère les données, où sont les
données, qui y a accès, qui va les gérer, qui va les protéger, qui est
responsable de ça. Ça, c'est ce qu'on a fait, vous et moi, au printemps, avec
la loi n° 5 pour la santé. C'est ce qu'on a fait
en 2021 avec les collègues, avec la loi n° 95.
Puis ça, ça se met en place.
Puis là c'est pour ça
qu'on a eu cette discussion-là à l'article 10, parce que, tu sais, on veut
déployer les sources de données, et tout ça,
puis, bon, il faut accélérer ce processus-là. La loi n° 5
va le faire au niveau de la santé. Donc, on pourrait, indépendamment de toute autre considération applicative, aller
de l'avant avec ça puis avoir une façon de gérer nos données puis de continuer à travailler avec les systèmes qui
sont existants. Ce serait un peu plus compliqué, là, parce qu'il y a une
multiplicité de systèmes, puis ça rendrait la chose complexe. Mais
l'interfaçage qui nous permet d'accéder à la donnée, ça, c'est le DSN, mais la
donnée et sa gestion, c'est un autre projet, puis ça...
Mme
Setlakwe : Je pense qu'on dit la même chose.
M. Caire : Ça
se peut.
Mme
Setlakwe : Je pense qu'on dit la même chose. Je me souviens
très bien que, oui, oui, il y a les obligations de transmettre, de ne pas garder la donnée pour soi, donc les organismes
entre eux ont l'obligation de transmettre la donnée, la
transmettre pour des fins de recherche. En tout cas, on ne reviendra pas sur
le... on ne viendra pas là-dessus, mais à terme, on devrait améliorer,
mais là on est dans une situation problématique, avec les dossiers de santé.
Mais, juste pour rectifier, là, vous avez dit
que cet... en tout cas, vous avez parlé de dossiers papier, vous savez que le
rapport de la VG touche les dossiers numériques et non pas les dossiers papier?
M. Caire : Oui, je sais, mais...
Mme
Setlakwe : OK. Oui. Puis la période couverte par ses travaux,
c'était du 1er avril 2016 au 31 mars 2023.
M.
Caire : Mais ce que je voulais vous dire, Mme la
députée... Je comprends ce que vous me dites sur le rapport de la VG,
mais... Et le problème... il y avait aussi ces problèmes-là avec les dossiers
papier.
Une voix : ...
Mme Setlakwe : OK. Ma collègue a
raison, les travaux ont porté surtout sur la période de janvier 2021 à mars 2023, mais c'est... tout porte à croire, là,
que ça ne s'est pas amélioré entre... À moins que vous me dites que ça s'est amélioré
entre mars 2023 et novembre 2023?
M. Caire : C'est une bonne question.
Honnêtement, je ne me risquerais pas à une réponse, là, je...
Mme Setlakwe : Vous ne savez pas si
ça s'est amélioré depuis?
M.
Caire : Bien, écoutez, le rapport de 2023, j'imagine que
depuis ce temps-là... Je ne sais pas quelles mesures seront prises et
auront été prises au niveau des CISSS et des CIUSSS, mais ce que moi, je vous
dis, c'est qu'avec l'adoption de la loi n° 5,
là, on va changer la façon de gérer les données, la façon d'accéder aux données,
et la façon d'administrer la donnée va changer d'une façon très importante.
Mme Setlakwe : Non, non, tout à
fait. Mais là...
M.
Caire : Il faut
aller vers ça.
Mme Setlakwe : Mais aujourd'hui, là,
face à cette problématique-là, moi, je regarde les textes de loi, là, puis on est en train de parler du texte de loi qui va
être modifié, il me semble que ça relève de vous, M. le ministre, là, de voir à
ce que l'information soit protégée, de voir à établir des exigences. Je suis en
train de lire la loi constitutive du MCN : «...le ministre assume
les responsabilités suivantes — à l'article 3, huitième
paragraphe : établir des exigences en matière de sécurité de l'information applicables aux organismes publics et ordonner à
ces derniers, lorsque requis, de mettre en oeuvre ces exigences afin d'assurer
la protection de leurs actifs informationnels et des informations qu'ils supportent.»
M. Caire : Tout à fait. Et il y a
des standards qui sont établis, il y a les 15 mesures minimums qui ont été
établies, pour lesquelles les ministères et organismes doivent les mettre en
application. Il y a tout le projet de consolidation des centres de traitement,
comme je vous le disais, on passe de 577, on veut ramener ça à quatre. Mais, Mme la députée, une fois qu'on a dit ça, une fois
qu'on a fait ça puis une fois qu'on est en chantier pour le faire, entre
le moment où on prend la mesure puis le
moment où la mesure est pleinement mise en application, il y a une démarche
qui s'effectue.
Puis c'est la même chose pour la loi n° 5.
Du moment où on l'a adoptée... Bon, la loi est adoptée, les règlements qui
découlent sont... qui doivent en découler sont pris ou vont être pris, après ça
on va mettre en place le centre de dépôt,
mais il y a une façon de faire puis il y a un parcours. L'idée n'est pas de
dire : Je vais rendre meilleure la situation actuelle. L'idée,
c'est de dire : La situation actuelle, elle ne nous amène pas vers ce
qu'on souhaite avoir, comme protection de
nos renseignements personnels. Dans la situation actuelle, ce que je dis depuis
le début, à 577 centres de traitement de l'information, gérer ça
puis amener ça à un niveau de sécurité qui est acceptable, c'est impensable.
• (11 h 10) •
Mme Setlakwe : Je comprends. Mais,
dans votre leadership, dans l'intérim, qu'est-ce qui s'est fait?
M. Caire : Bien, c'est ce que je
suis en train de vous expliquer. Ce qui se fait, c'est qu'on dit aux ministères
et organismes : Vous amenez... Vous fermez les centres de traitement, vous
amenez ça vers les centres de traitement, les quatre centres de traitement,
dépendamment de la classification des données, vous amenez ça soit dans le
nuage gouvernemental soit vous allez en nuage public. Alors, il y a une
catégorisation de la donnée qui s'est faite. Parce que ça, ça ne s'est jamais
fait.
Vous savez, Mme la députée, il s'est fait
énormément de choses, mais on partait de loin, là, tu sais? On n'avait pas
d'idée, on n'avait pas d'inventaire de nos données, on n'avait pas d'idée... Il
y a des banques de données qu'on avait, au
gouvernement du Québec, puis là je vous parle quand je suis arrivé, on ne se
souvenait même plus qu'on avait ces banques de données là. Donc là, on
partait de là. Alors, qu'est-ce qu'on fait? Bien, on fait des inventaires, on fait la catégorisation, on met en place le
nuage gouvernemental, on met en place le courtier en infonuagique qui va
permettre aux ministères et organismes d'aller chercher un fournisseur en
infonuagique plus rapidement. Puis c'est un système qui fonctionne bien puis qui nous est
envié dans bien d'autres provinces, parce que, justement, ça permet une
agilité. Mais il faut quand même prendre le temps de le faire, il faut quand
même prendre le temps de mettre ça en place.
Donc, oui, il est possible que la Vérificatrice
générale ait constaté des lacunes, puis c'est ce qu'elle fait dans son rapport,
mais on est en voie de corriger ça. Donc, qu'est-ce qu'on fait puis qu'est-ce
qu'on assume comme leadership? Bien, on
dit : Vous allez... on va mettre fin à ces pratiques-là parce que ces
pratiques-là ne nous amènent pas à une gestion optimale et
cybersécuritaire de nos données. Il faut changer les façons de faire.
Mme
Setlakwe : Je comprends mais il me semble, en tout cas... il
me semble que, dans l'intérim, dans l'exercice d'un leadership adéquat,
il aurait fallu serrer la vis, puis il n'est pas trop tard pour le faire.
M. Caire : Mais serrer la vis...
Mme Setlakwe : Assurer qu'il y ait
des mesures, assurer que les mots de passe soient changés, assurer qu'il n'y
ait pas de post-it sur les ordinateurs...
M. Caire : Mais il y a des
mesures... Oui, mais...
Mme Setlakwe : ...assurer que des
employés qui ont quitté n'aient plus accès.
M. Caire : Il y a des mesures qui
sont prises, Mme la députée, il y a des mesures qui sont prises. Il y en a. Et,
à partir du moment où les mesures sont prises, bien, il appartient aux
gestionnaires de les faire respecter.
La Présidente (Mme D'Amours) : C'est
maintenant terminé pour la députée de Mont-Royal—Outremont, pour son temps de 20 minutes. Est-ce que j'ai
d'autres interventions concernant l'article 11? Si je n'ai pas d'autre
intervention, l'article 11 est-il adopté?
Des voix : ...
La Présidente (Mme D'Amours) : Adopté
sur division. L'article 12. M. le ministre.
M.
Caire : ...alors, il se lit comme suit, Mme la
Présidente : L'article 2 de la Loi sur le ministère de la Cybersécurité
et du Numérique (chapitre M-17.1.1) est modifié par l'insertion, après le
premier alinéa, du suivant :
«Le ministre doit assurer la cohérence et
l'harmonisation des actions gouvernementales dans les domaines de la
cybersécurité et du numérique et, à cette fin, être associé à l'élaboration des
mesures ainsi qu'aux décisions ministérielles dans ces domaines et donner son
avis lorsqu'il le juge opportun.»
Donc, l'idée, ça revient à la discussion qu'on
avait eue, qui est dans la lignée du leadership, c'est de s'assurer que, si d'autres organisations ont des initiatives
ou ont des projets en matière de cybersécurité et de numérique, bien, de
s'assurer qu'il y a cette cohérence-là au
niveau du gouvernement, donc, cette vision-là de cybersécurité et de cohérence
au niveau gouvernemental, et c'est ce que l'article vient préciser.
La Présidente (Mme D'Amours) : Y
a-t-il des interventions sur l'article 12?
Mme Setlakwe : Oui, s'il vous plaît,
Mme la Présidente. Donc, ici, on a changé de loi, là, on n'est plus dans la
LGGRI.
M. Caire : C'est la loi sur le
ministère, oui.
Mme Setlakwe : Qu'on est en train de
changer. Donc, je ne vous demanderai pas, encore une fois, pourquoi on le fait à ce stade-ci, je pense que vous avez
déjà répondu, là, que la situation a évolué puis que vous avez remarqué
un travail en silo. Donc, honnêtement, sur le fond, je comprends que vous
vouliez préciser ce rôle-là «d'assurer la cohérence
et l'harmonisation des actions gouvernementales dans les domaines de la
cybersécurité, du numérique». Ça va.
«Et, à cette fin, être associé à l'élaboration des
mesures». Le ministre doit être associé à l'élaboration. Il me semble que c'est un certain détour... Est-ce qu'on
peut m'expliquer le libellé, pourquoi vous n'êtes pas, donc... pourquoi ce n'est pas simplement que «le ministre doit
élaborer des mesures»? Vous devez être associé à l'élaboration des mesures
ainsi qu'aux décisions ministérielles dans ces domaines?
M. Caire : Bien, c'est parce qu'il
peut arriver qu'un ministère ou un organisme, à l'intérieur de sa mission, de ses prérogatives, bon, va avoir un projet ou va
mettre en place des mesures. Donc, pour s'assurer que ces mesures-là sont en cohérence avec ce qui se fait, on doit y
être associé. Donc, ce que ça peut vouloir dire, par exemple, c'est de déposer un
mémoire conjoint au Conseil des ministres. Vous parliez du ministère de
l'Économie, tout à l'heure, bon, bien, le ministère de l'Économie peut mettre
en place des programmes, peut mettre en place des mesures spécifiques pour favoriser l'élaboration de la cybersécurité. Donc,
pour s'assurer d'une cohérence, ce que ça vient dire, c'est qu'il faut que
le ministère de la Cybersécurité soit partie
prenante de cette décision-là pour assurer l'harmonie, assurer la cohérence, la
cohésion.
Mme
Setlakwe : Je comprends. C'est la suite du premier énoncé,
là, parce que c'est : «À cette fin, être associé à l'élaboration des mesures ainsi qu'aux décisions
ministérielles». Parce que ça se fait conjointement avec les ministères
concernés?
M.
Caire : C'est ça, oui. En fait, c'est une façon de dire
aux ministères : Si vous avez des mesures, des programmes qui concernent la transformation numérique et/ou
la cybersécurité, vous devez vous référer au ministère de la Cybersécurité
et du Numérique pour s'assurer que ce que
vous faites est en conformité, est en harmonie avec les politiques
gouvernementales.
Mme
Setlakwe : Mais il n'y a pas d'obligation ici, là, il n'y a
pas d'obligation des autres ministères. Tout ce qu'on dit, c'est un peu
flou, là : «Le ministre doit être associé à l'élaboration des mesures».
M. Caire : Bien oui, c'est ça.
Mme Setlakwe : ...
M. Caire : C'est «doit», oui, il y a
une obligation. C'est «doit».
Mme
Setlakwe : Oui, mais là vous avez dit... en tout cas, vous
avez dit : Les ministères concernés doivent élaborer des mesures
puis doivent être...
M. Caire : Je n'ai pas dit qu'ils
devaient élaborer des mesures. Ce que je dis, c'est que, dans le cas où un ministère ou un organisme prend des mesures qui touchent
la cybersécurité ou le numérique, il doit s'assurer, au niveau du ministère de
la Cybersécurité et du Numérique, que ce qu'il fait est en conformité avec ce
que nous, on fait. Donc, c'est dans ce sens-là où on dit qu'on doit y
être associé.
Ce qui veut
dire, dans le fond, que le ministère ne perd pas sa capacité à agir, parce
qu'il s'agit de numérique, tu sais, ce n'est pas... On ne met pas les
ministères et organismes en tutelle, c'est... Donc, ils ont quand même une
capacité d'agir dans ce qui relève de leurs prérogatives. Puis ce n'est pas
parce que ça touche la cybersécurité et le numérique qu'ils n'ont plus le droit
d'avoir des initiatives ou d'avoir des programmes ou des projets. Ils peuvent.
C'est juste de s'assurer que, quand c'est le cas, bien, vous associez le
ministère de la Cybersécurité et du Numérique à ces initiatives, à ces
programmes, à ces projets, pour assurer la cohérence, pour assurer l'harmonie.
Et moi, de ce côté-là, je peux aussi, si je le
juge à propos, dire à un collègue qui a un programme x, y en cybersécurité, admettons, bien, dire : Bien,
écoute, moi, je pense que, pour telle et telle raison, tu devrais plutôt aller
dans cette direction-là. Donc, j'ai
aussi la possibilité... j'aurai aussi la possibilité de donner mon avis dans
les programmes qui seront élaborés par les collègues, si je pense que
c'est important de le faire.
Mme
Setlakwe : Ça, ce bout-là, le dernier bout, ça... je
comprends, oui, donner votre avis lorsque vous le jugez opportun.
M. Caire : C'est ça.
Mme
Setlakwe : Donc, vous n'avez pas l'obligation de le faire,
vous le faites au besoin, ça, il n'y a pas d'enjeu. Moi, c'est vraiment
le bout du milieu...
M. Caire : Oui, parce que ce n'est
pas...
Mme Setlakwe : Allez-y. Je m'excuse.
M.
Caire : Non, mais je veux dire, ça ne veut pas dire qu'il
serait toujours pertinent de le faire. Donc, c'est pour ça que
c'est : s'il le juge à propos... opportun, pardon.
• (11 h 20) •
Mme Setlakwe : En tout cas, moi, je
serais curieuse d'entendre Me Bacon, là, sur le deuxième énoncé : Le ministre doit «être associé à l'élaboration». Mais
donc pourquoi il n'y a pas une obligation d'être consulté, ou d'émettre
des recommandations, ou de participer à l'élaboration?
M.
Caire : Bien, il y en a une. Bien, il y a une obligation,
parce que, quand on dit «le ministre doit», c'est une... Vous
dites : Le ministre doit...
Mme Setlakwe : Oui, mais de quelle
façon...
La Présidente (Mme D'Amours) : Je
veux juste vous interrompre quelques instants. C'est que je vous laisse aller, ça va bien, c'est une belle
discussion qui est très, très respectueuse. Sauf qu'il faut que vous pensiez
qu'il y a des gens qui vous suivent puis qui écrivent les verbatim que
vous parlez. Ça fait que, si vous vous interpelez pendant qu'il y a une réponse ou qu'il y a une question...
S'il vous plaît, juste attendre, pour la technique, ça va être un petit peu
plus facile, s'il vous plaît.
Mme Setlakwe : Vous
avez raison.
M. Caire : Oui.
La Présidente (Mme D'Amours) : Donc,
M. le ministre.
M.
Caire : Oui. Bon, en fait, l'article dit : «Le
ministre doit assurer la cohérence et l'harmonisation des actions
gouvernementales dans les domaines de la cybersécurité et du numérique et, à
cette fin, être associé à l'élaboration des mesures ainsi qu'aux décisions
ministérielles dans ces domaines...» Donc, ce n'est pas une option, c'est une
obligation. Donc, elle est là, l'obligation.
Mme Setlakwe : Là, je comprends que
le «doit» s'applique aux deux, il n'y a pas d'enjeu, là. Mais c'est «doit être associé», moi, c'est juste ça que je
trouvais qui n'était pas clair. Mais, si c'est clair pour vous que vous devez être
impliqué dans la rédaction, dans la réflexion entourant l'élaboration des
mesures, si les légistes considèrent que c'est
assez clair... Parce que, pour moi, «être associé», c'est... je ne sais pas, il
me semble, ce n'est pas un terme légal, «être associé» à quelque chose.
Vous y participez, si vous...
M. Caire : Sur la légalité, je vais
laisser... en fait, sur l'aspect légistique, je vais laisser Me Bacon vous vous
répondre. Mais l'intention du législateur,
c'est de faire en sorte que, oui, le ministre de la Cybersécurité et du
Numérique doit être partie prenante lorsqu'il y a une décision ou un
programme ou une intention en matière de cybersécurité et de numérique, le ministère de la Cybersécurité et
du Numérique doit être associé à cette démarche-là. Ça, c'est sûr que c'est
l'intention du législateur. Maintenant, sur la question légistique, je vais
laisser, Me Bacon.
La
Présidente (Mme D'Amours) : J'ai besoin du consentement pour que Me Bacon
puisse prendre la parole. Consentement?
Des voix : Consentement.
La Présidente (Mme D'Amours) : Donc,
Me Bacon, veuillez dire votre titre et puis répondre à la question, s'il vous
plaît.
Mme Bacon
(Nathalie) : Oui. Bonjour, Mme la Présidente. Nathalie Bacon,
légiste au ministère de la Cybersécurité et du Numérique.
Effectivement, lorsqu'on a rédigé cet
article-là, on a été également un peu surpris par le mot «associé». Vous faites bien de poser la question, c'est... On
avait des précédents législatifs, d'une part, à la Loi sur le ministère de l'Économie et de l'Innovation et aussi à la Loi sur le ministère des Affaires municipales. Autrement
dit, il y a une espèce de vocabulaire qui
est utilisé entre ministres, et le mot «doit être associé»... Donc, il le doit,
ce n'est pas une option, donc on ne peut pas passer par-dessus le
ministre de la Cybersécurité et du Numérique, on doit l'associer.
Mais ces mots-là ont une forme de flexibilité,
c'est-à-dire que le ministre n'est pas obligé de tenir le crayon, mais il peut participer aux travaux, selon ce
qu'on lui demandera ou selon ce que lui verra avec son expertise, du début
à la fin de la mesure ministérielle. Donc,
normalement, le sens que ça prend dans l'appareil gouvernemental, j'imagine que
c'est des choses que vous savez, là, pour le cheminement des mémoires au
Conseil des ministres en vue d'une décision gouvernementale, notamment
dans le cadre de la prise d'un programme pour des... mettons, le versement de
subventions, alors ce sera le mémoire conjoint avec le ministre responsable et
le ministre de la Cybersécurité.
Mme Setlakwe : Merci beaucoup, Me
Bacon. Non, non, ça me... vous m'instruisez, là, j'en apprends, là, je ne savais pas exactement qu'est-ce que ça voulait
dire. Je comprends que c'est une expression qui existe dans d'autres lois. Puis, en fait, on n'est pas en train
d'établir une forme de hiérarchie, là, on s'entend qu'ils doivent travailler
ensemble, conjointement?
Mme Bacon (Nathalie) : Mme la
Présidente, exactement, c'est une façon de respecter la... nos collègues, là,
ministres, là, la hiérarchie ministérielle.
Mme Setlakwe : C'est ça. OK. Je
comprends. Alors que, dans d'autres libellés, on aurait pu dire, ou en tout cas
élaborer une forme de droit de veto, ou de dire : On doit être consulté,
on doit l'approuver. Je comprends. Moi, l'explication me satisfait. Merci.
La Présidente (Mme D'Amours) : D'autres
interventions?L'article 12 est-il adopté?
Des voix : Adopté.
La Présidente (Mme D'Amours) : Merci.
L'article 13. M. le ministre, s'il vous plaît.
M. Caire : Oui, Mme la Présidente.
Article 13 : L'article 4 de cette loi est modifié :
1° par
l'insertion, dans le troisième alinéa et après «étendue», de «, les conditions
d'utilisation, incluant en ce qui a trait aux responsabilités du ministre et
des utilisateurs»;
2° par l'ajout,
à la fin, de l'alinéa suivant :
«Le ministre peut
fournir à un organisme public tout autre service en ressources
informationnelles en vue de répondre à un besoin particulier d'un tel organisme
lorsque ce dernier lui en formule la demande.»
Donc, Mme la
Présidente, bon, là, on est dans la capacité de donner des services, rajouter
des services. C'est un petit peu la
discussion qu'on avait tout à l'heure, avec la députée, sur... On a des
responsabilités, on a aussi des obligations puis on veut être capables d'aider nos ministères et organismes dans
leur transformation numérique et dans leur maturité numérique.
La Présidente (Mme
D'Amours) : Merci. Des interventions pour l'article 13?
Mme
Setlakwe : Oui, s'il vous plaît. Bien, j'aurais aimé ça que le
ministre lise le commentaire. Juste... permettez-moi de le lire. Donc,
qu'est-ce qu'on est en train de faire, à 1° et 2°? Puis j'aimerais ça avoir des
exemples précis, là. On a dû... vous avez dû
sentir, donc, qu'il y avait des... ou peut-être qu'il y a des... c'est
justement suite à des cas vécus, des cas d'espèce, que vous avez senti
le besoin d'ajouter ce libellé-là?
M. Caire : Oui.
Bien, je peux vous lire le commentaire, si vous voulez : Le paragraphe 1°
de l'article 13 du projet de loi prévoit que le ministre peut fixer des
conditions d'utilisation pour les services qu'il rend aux organismes publics en infrastructures technologiques et en
systèmes de soutien communs, dans l'objectif de clarifier le partage des
responsabilités entre le ministre et les organismes publics.
Le paragraphe 2° de
l'article 13 du projet de loi prévoit la possibilité, pour le ministre, de
fournir un service en ressources informationnelles en vue de répondre à un
besoin particulier d'un organisme.
Bon, sur le besoin
particulier, c'est parce qu'actuellement on peut fournir des services
d'infrastructure, on peut fournir des services communs, mais si un ministère,
par exemple, avait un besoin particulier, puis on parlait d'intelligence
artificielle tantôt, je ne peux pas fournir le service, là, selon la façon dont
le ministère a été conçu. On est vraiment
sur les... En fait, c'est un petit peu la philosophie du CSPQ qu'on a importée,
là, tout ce qui est en service partagé,
services communs, services d'infrastructure, on donnait ça. Mais, si on veut
aller dans des services plus particuliers pour un ministère, pour un
organisme, ça, bien, on ne pouvait pas le faire, ce n'était pas dans la loi
constitutive du ministère. Donc là, on vient
d'ajouter cette possibilité-là pour le ministère d'aller vraiment dans du
service plus personnalisé.
Puis pour les
conditions d'utilisation puis les responsabilités, bien, on s'en va... aussi au
niveau des services de télécommunications, au niveau des services en
infonuagique, comme je vous disais, là, tout à l'heure, bien, il y a le nuage gouvernemental, il y a la possibilité
d'aller vers le nuage public, donc, dans quelles conditions on va vous amener au
nuage gouvernemental, dans quelles conditions vous allez utiliser le service
public. Même chose au niveau des télécommunications, on a le déploiement de
tout le réseau de télécommunications, des services Internet aussi, avec le RITM,
là, qu'on est en train de moderniser avec le réseau gouvernemental des
télécommunications. Donc là, c'est qu'est-ce
que nous, on offre comme services, qu'est-ce que vous, vous avez l'obligation
de faire, selon quelles conditions vous pouvez utiliser ces services-là.
On vient rajouter cette possibilité-là.
Mme
Setlakwe : Est-ce que vous avez eu des commentaires comme quoi c'était
trop contraignant?
M. Caire : Non.
Non, non, mais je pense qu'avec, je vous dirais, la fusion des différents organismes
puis la constitution du ministère, c'est des précisions qui sont importantes,
mais, je vous dirais, ce n'est pas nécessairement parce qu'on a eu des
situations conflictuelles.
Puis pour ce qui est
des services particuliers, bien, c'est un petit peu ce que je disais tout à
l'heure, là, oui, le mandat du ministère
était vraiment dans le service commun, service d'infrastructure, mais on
n'avait pas cette dimension-là d'avoir un service plus particulier,
donc, dans un service pour un organisme ou un ministère, d'aller vers... Puis
je vous dirais que moi, je souhaite qu'on
puisse avoir ce volet-là, comment je dirais, de consultation interne, donc de
faire en sorte qu'à l'interne on a cette expertise-là puis on la met en
commun. Mais là on va vraiment plus au niveau du particulier, donc ça ajoute,
je dirais, une corde à l'arc du ministère.
Mme
Setlakwe : Puis qu'est-ce que vous avez donné comme exemple, déjà, en
termes de... au niveau de l'intelligence artificielle ou autre?
• (11 h 30) •
M. Caire : Oui,
c'est ça, le Centre québécois d'excellence numérique va développer des cellules
d'expertise en intelligence artificielle, en automatisation, sur l'Internet des
objets, en quantique, on a vraiment un beau bouquet d'expertises qui se
développe. Puis ce qu'on dit aux ministères et organismes : Bien là, on
n'est plus dans le service commun, on n'est plus dans le service
d'infrastructure, on est... là, on commence à être plus dans la consultation.
Puis on voudrait être capables de faire ça avec nos ministères, là, d'être
capables de dire : Bon, bien, écoutez, on a ces services-là, puis vous
pouvez les utiliser. Mais là on va s'adresser à un ministère en particulier
dans un projet particulier, donc c'est là-dessus que, comme je vous disais...
qu'on rajoute une corde à notre arc.
La Présidente (Mme
D'Amours) : D'autres commentaires?
Mme
Setlakwe : Oui...
La
Présidente (Mme D'Amours) : Pardon.
Mme Setlakwe :
Juste, peut-être, une dernière
question. Mais ça, évidemment, c'est un pouvoir, ce n'est pas une obligation de «fournir [...] tout autre service en
ressources informationnelles en vue de répondre à un besoin particulier d'un
tel organisme lorsque ce dernier lui en formule la demande». OK, donc, ce n'est
pas... non, non, c'est ça, ce n'est pas contraignant, mais vous...
M. Caire : Non,
c'est vraiment la possibilité de le faire.
Mme
Setlakwe : Mais il faut que la demande soit faite, c'est ça qui est
écrit, là, il faut que ça soit suite à une demande?
M. Caire : Oui,
oui.
Mme
Setlakwe : OK.
M. Caire : Oui.
C'est pour ça que je vous dis c'est pour ça que... C'est parce que, dans la
conception qu'on avait du Centre québécois
d'excellence numérique, on se disait : Ça pourrait devenir, à petite
échelle, sur des domaines précis,
peut-être plus une espèce de boîte de consultation pour nos ministères et
organismes dans des champs d'expertise qui sont précis.
Mme
Setlakwe : Merci.
La Présidente (Mme
D'Amours) : Merci. L'article 13 est-il adopté?
Des voix : Adopté.
La Présidente (Mme
D'Amours) : L'article 14. M. le ministre, s'il vous plaît.
M. Caire : ...l'article 14.
Cette loi est modifiée par l'insertion, après l'article 5, du
suivant :
«5.1.
Le ministre fournit aux organismes publics les services de certification,
incluant les services de répertoire y afférents, ainsi que les services
de signature électronique que le gouvernement détermine.
«Un décret pris en
vertu du premier alinéa détermine les services visés [par] les conditions et
modalités de leur fourniture ainsi que les
cas et les conditions selon lesquels un organisme public est tenu de recourir
pour répondre à ses besoins. Il peut autoriser le ministre à déléguer
certaines fonctions relatives aux services à un organisme public. Pour permettre sa mise en oeuvre, il peut
également prévoir le transfert au ministre d'actifs informationnels d'un
organisme public ainsi que de toutes les obligations qui en résultent.
«Lorsqu'un décret
pris en vertu du premier alinéa concerne des services de certification et de
répertoire, il doit contenir l'énoncé de politique prévu à l'article 52 de
la Loi concernant le cadre juridique des technologies de l'information
(chapitre C-1.1).»
En fait, je vous
dirais que ça, ça vient compléter un vestige de l'étape où il n'y avait pas de
ministère de la Cybersécurité, donc, tous les services de certification, de
répertoire, tout ça était au ministère de la Justice. Quand on a créé le
ministère, la responsabilité est devenue la responsabilité du ministère de la
Cybersécurité, mais tout le volet opérationnel est resté au ministère de la
Justice. Or, aujourd'hui, je vous dirais que, bon, on a développé l'expertise
en cybersécurité, et tout ça, donc on se dit : À terme, ce serait
important de rapatrier cette fonction-là au ministère de la Cybersécurité dans l'opérationnel, mais on veut
le faire graduellement, là, d'où le libérer de le faire par décret et/ou
d'avoir la possibilité de continuer à
impartir ça au ministère, parce qu'il faut y aller quand même par étapes. C'est
des services qui sont quand même assez importants, assez gros, assez
névralgiques, là. Donc, c'est important de le faire selon une certaine
séquence, là, pour ne pas être... être en rupture de services non plus.
Mme Setlakwe :
Donc, il y a un plan de transition?
M. Caire :
Oui, tout à fait.
Mme Setlakwe :
Ça peut prendre combien d'années?
M. Caire :
C'est une bonne question. Je vous
dirais que ce n'est pas... Il n'y a pas urgence de... Bon, premièrement,
il y a... il y a quand même certaines mises
à niveau à faire initialement sur nos... toute notre infrastructure avec le
public dans un premier temps, donc en
collaboration avec le ministère de la Justice. Puis après ça, bien, le
rapatriement, je vous dirais peut-être... Bien là, je m'avance pas mal,
mais d'ici la fin du mandat, là.
La Présidente (Mme
D'Amours) :
D'autres commentaires, Mme la députée?
Mme Setlakwe : Oui.
Est-ce... Merci. Est-ce qu'il y a d'autres pouvoirs comme ça qui demeurent
entre les mains du ministère de la Justice dans le cadre de votre
mission?
M. Caire : Non.
Non. Ça, c'était vraiment... Bien, parce que le ministère de la Justice, si
vous pensez à la Loi concernant le cadre juridique des technologies de
l'information, le... tout le volet sur la preuve, la preuve numérique, ça relève du ministère de la Justice. Mais, tu
sais, on est vraiment dans la gestion de la preuve puis... Donc, ça, qui est vraiment
une mission de cybersécurité. Je vous dirais que c'était... c'était le dernier
volet.
Mme Setlakwe : Est-ce
que, ça, ça évolue rapidement? J'imagine que oui, tu sais. Est-ce que... Oui,
une fois que c'est mis sur pied, il y a déjà toujours des nouvelles
versions?
M. Caire : Oui,
oui, oui, vraiment. Oui, puis, tu sais, c'est... c'est une expertise qui est
quand même particulière, là. Toutes les infrastructures avec le public,
là, c'est... Bien, nous, on développe ce volet-là.
Mme Setlakwe : Puis ça, vous
l'avez à l'interne, l'expertise, ou vous dépendez aussi de l'externe?
M. Caire : Non, on a ça à
l'interne.
Mme Setlakwe : Donc,
là, on a comme... Est-ce que c'est le même libellé qui existait dans la loi...
la loi sur... en tout cas, du ministère de la...
M. Caire : Non. Bien là, ça,
c'est un libellé qui vise la transition.
Mme Setlakwe : Oui,
les services de certification. Ah! mais c'est «incluant». Ça fait que... Parce
que, si ça évolue, il y a place à...
M. Caire : Oui, oui, tout à
fait.
Mme Setlakwe : Ce n'est pas
exhaustif comme liste. OK.
M. Caire : Non, non.
La
Présidente (Mme D'Amours) : Je vous rappelle d'attendre que les personnes
aient terminé leur intervention avant
de commenter, s'il vous plaît, pour le bien de nos gens qui nous suivent, qui
suivent nos travaux, s'il vous plaît. Merci, M. le ministre. Mme la
députée.
Mme Setlakwe : Ainsi
donc, le libellé est suffisamment large que vous ne serez... vous n'aurez pas
besoin de...
M. Caire : Non.
Mme Setlakwe : ...de modifier
la loi dans... dans quelques mois?
M. Caire : Non, parce qu'on va
pouvoir travailler par arrêtés ministériels.
Mme Setlakwe : Ça, ici, il n'y
a pas eu de... C'est ça, il n'y a pas d'enjeu ici, là, il n'y a pas personne
qui vous a dit : Non, on veut...
M. Caire : Non. Non, je pense
que tout le monde comprend que ça... ça... que c'est logique.
Mme Setlakwe : OK.
La Présidente (Mme D'Amours) : D'autres
commentaires?
Mme Setlakwe : Oui, ce ne sera
pas long, Mme la Présidente. Puis dans quels cas est-ce que vous déléguez certaines des fonctions? Ça, ça existe déjà aussi?
Parce que, vous dites, vous vous occupez de rendre les services. Il y a un
décret qui est émis. Ça «détermine les services visés, les conditions et
modalités de leur fourniture ainsi que les cas et les conditions selon
lesquels un organisme public est tenu d'y recourir pour répondre à ses
besoins». Et vous, vous contrôlez vraiment tout ça?
M. Caire : C'est ça.
Mme Setlakwe : Vous pouvez
autoriser... Le décret peut autoriser le ministre à déléguer certaines
fonctions relatives aux services à un organisme public. Par exemple?
M. Caire : Si d'aventure, dans la
transition, on... on se disait : Bon, bien, il y a peut-être pertinence de
laisser une partie de... des opérations au ministère de la Justice, à ce
moment-là, on a la... pardon, on a la possibilité de le faire.
Mme Setlakwe : OK.
Mais il n'y a pas d'enjeu en ce moment, là, avec... de... de retard ou de...
d'un mandat de cet autre ministère qui n'est pas... qui n'est pas
exécuté, là, tu sais?
M. Caire :
Non. Non, c'est vraiment parce
que, nous, on développe cette expertise-là puis, dans la logique de la mise en place du réseau gouvernemental de
cyberdéfense, il y a une volonté de rapatrier les expertises plus pointues
au ministère puis de... d'assurer la mise à
niveau de ça, bien, le maintien à jour, je devrais dire, plutôt que la mise à niveau.
Mme Setlakwe :
OK, Merci. Puis comment se fait-il qu'on décrit très bien ce que le décret
doit prévoir... prévoyait aussi que le
décret peut permettre... peut «prévoir le transfert au ministre d'actifs
informationnels d'un organisme public ainsi que de toutes les
obligations qui en résultent»? Puis à la fin...
M.
Caire :
C'est parce que...
Mme Setlakwe :
Oui, allez-y.
M. Caire :
Parce qu'il y a des ressources
qui travaillent là-dessus au ministère de la Justice. Donc, on pourrait...
Mme Setlakwe :
Exact, on rapatrie.
M. Caire :
C'est ça.
Mme Setlakwe :
Dernier alinéa : «Lorsqu'un décret pris en vertu du premier alinéa
concerne des services de certification et de répertoire, il doit contenir
l'énoncé de politique prévu à l'article 52 de la Loi concernant le cadre juridique des technologies de l'information.»
Alors, pourquoi on a fait cette distinction-là? Puis qu'est-ce que ça vient
dire, exactement, cet énoncé de politique?
M. Caire :
Je vais vous lire l'article en question, Mme la députée. Alors,
l'article 52 du cadre prévoit : «L'énoncé de politique d'un
prestataire de services de certification ou de répertoire indique au moins»,
puis là vous avez neuf éléments qui doivent être prescrits dans ces
politiques-là. Donc, c'est de dire : On va respecter... Le décret que nous
allons prendre dans le rapatriement va respecter les différentes obligations
qui sont prévues à cet article-là.
• (11 h 40) •
Mme Setlakwe :
Merci.
La Présidente (Mme
D'Amours) : Autres questions? Donc, l'article 14 est-il adopté?
Des voix : Adopté.
La Présidente (Mme
D'Amours) : L'article 15. M. le ministre, s'il vous plaît.
M. Caire :
Oui. Alors, Mme la Présidente,
l'article 15 : L'article 7 de cette loi est modifié par le
remplacement de «à l'article quatre et» par «aux articles 4 et 5.1
ainsi que».
Ça, c'est de la
concordance, là, parce qu'il y a le nouvel article 5.1, qu'on vient d'adopter
à l'article 14.
Le Président
(M. Tremblay) :
Parfait. Des commentaires?
Mme Setlakwe :
Oui, ça ne sera pas long, merci.
Le Président
(M. Tremblay) : Oui.
Mme Setlakwe :
C'est de la concordance pour ajouter 5.1, qu'on vient d'ajouter, en effet.
Non, je n'ai pas de question, M. le Président.
Le Président
(M. Tremblay) : Parfait. L'article 15 est adopté?
Des voix : Adopté.
Le Président
(M. Tremblay) : M. le ministre. À l'article 16, s'il vous
plaît.
M. Caire :
Oui, M. le Président. L'article 16 se lit comme suit : Cette loi
est modifiée par l'insertion, après l'article 10, du suivant :
«10.1. Le
gouvernement peut autoriser la mise en oeuvre par le ministre d'un projet
pilote visant à étudier, à expérimenter ou à innover dans le domaine de la
cybersécurité ou dans celui du numérique, ou à définir des normes applicables en de tels domaines. Un [...] projet
pilote peut viser les organismes publics ou les entreprises du gouvernement
au sens de la Loi sur la gouvernance et la gestion des ressources
informationnelles des organismes publics et des entreprises du gouvernement
(chapitre G-1.03), toute autre entreprise ou les citoyens.
«Dans
le respect des dispositions législatives applicables, notamment en matière de
protection des renseignements personnels et de la vie privée, le
gouvernement détermine les normes et les obligations applicables dans le cadre
d'un projet pilote. Il détermine également les mécanismes de surveillance et de
reddition de comptes applicables dans le cadre d'un projet pilote.
«Un projet pilote est établi pour une durée
maximale de trois ans, que le gouvernement peut prolonger d'au plus un an. Le
gouvernement peut, en tout temps, modifier un projet pilote [pour] y mettre
fin.
«Les résultats du projet pilote doivent être
publiés sur le site Internet du ministère de la Cybersécurité et du Numérique
au plus tard un an après la fin du projet pilote.»
Puis c'est un peu ce qu'on indiquait, Mme la
députée, qu'on veut être capables de... Bon, on n'a pas de pouvoir réglementaire, donc on veut être capables,
par projet pilote, de tester des hypothèses. Compte tenu du mandat
régalien du ministère en matière de cybersécurité, là, on veut aller dans...
pour tester des hypothèses, être capables de voir comment on peut appliquer ce
mandat-là à la société civile, les entreprises privées, etc. Comme je vous
disais, pour donner un exemple plus précis,
si on allait vers une obligation de divulgation, bien, qu'est-ce que ça
voudrait dire, qu'est-ce que ça aurait comme impact, quel serait
l'encadrement pour assurer la pérennité de l'entreprise, le secret industriel, etc. Donc... Puis là, bien, ça, c'est
un exemple, mais il y en... il y a quand même pas mal, d'autres exemples, là,
pour lesquels on pourrait vouloir tester, là, la capacité... la capacité de
mettre en place des normes, des standards, etc.
La Présidente (Mme D'Amours) :
Des
commentaires, Mme la députée?
Mme Setlakwe : Oui. Bien, ça,
je pense que c'est un autre article clé, là, dans votre projet de loi?
M. Caire : Tout à fait. Oui, il
va être très, très, très utile, parce que, comme je disais, le ministère de la
Cybersécurité et du Numérique, c'est une formule qui est très innovante par
rapport à ce qui se fait. Il y a beaucoup d'agences qui existent, mais il n'y a
pas de ministère. Puis, en plus, le ministère, ce qui est une première au
Canada, a une mission régalienne sur son territoire. Donc, ça, c'est... Oui,
ça, c'est important pour nous, pour être capables, comme je disais, là,
d'avancer dans la mise en place de notre mandat, mais de le faire avec, comment
je dirais ça, avec une certaine marge de manoeuvre pour essayer des choses. Il
faut se donner la capacité d'essayer des choses puis de dire : Oups! Non,
on va corriger le tir parce que ça ne s'en va pas dans la bonne direction ou on
n'atteint pas l'objectif ou... Puis on veut être capables aussi de collaborer
avec la société civile, là, dans la mise en place de ça. Parce que, si on n'a pas cette collaboration-là,
ces partenariats-là, à travers les projets pilotes, on va avoir de la
difficulté à fédérer les... fédérer les... la société civile.
Mme Setlakwe : Est-ce que vous
avez, donc, des exemples? Parce que c'est vraiment très large. Puis je ne dis
pas que ça n'a pas sa raison d'être, pas du tout. Puis vous touchez ici, donc,
plus au domaine privé ou ce n'est pas forcément ça?
M. Caire : Bien, je dirais oui.
Mme Setlakwe : Oui, surtout?
M. Caire : Je dirais oui. Je
dirais oui. Domaine privé, comme je vous dis, des exemples, bien, la
divulgation obligatoire, la définition de ce que c'est, un secteur stratégique.
Qu'est-ce que c'est, un secteur stratégique en matière de cybersécurité? Qu'est-ce qui est stratégique? Qu'est-ce qui est...
Alors, on... Je pense que c'est important de pouvoir... pouvoir tester
des hypothèses.
Mme Setlakwe : Donc, disons...
Merci. Disons que le projet de loi est adopté, là, assez rapidement, qu'est-ce que... Ça va être quoi, votre mission, à court
terme? Ce seraient quoi, vos projets pilotes, à court terme? Ça serait dans
quels secteurs que vous interviendriez?
M. Caire : Bien,
en fait, je vous dirais, les premiers projets seraient potentiellement,
justement, d'être capables de voir comment... comment on peut étendre notre
réseau de cyberdéfense sans nécessairement intégrer au réseau de cyberdéfense la société civile, intégrer dans le
sens où il y a une hiérarchie qui s'installe. Comme le réseau gouvernemental
de cyberdéfense, c'est une organisation
hiérarchique. Le ministère est au centre de ça, puis il y a des indications
d'application des ordres qui sont
donnés aux centres opérationnels de cyberdéfense, qui sont déployés dans les
ministères, puis c'est vraiment comme ça que ça a été construit. Puis,
même dans la hiérarchie des ministères, il y a des organismes à tous les
niveaux qui sont chargés d'assurer la cyberdéfense de ces... C'est très
hiérarchique. Je ne pense pas qu'on puisse étendre ça à la société civile, ce
pouvoir-là, hiérarchique, mais par contre, on peut peut-être étendre le Réseau
gouvernemental de cyberdéfense en mettant en place certaines pratiques,
notamment la divulgation d'incidents. Mais, pour ça, je pense qu'il faut qu'on
soit capables de le faire plus à travers des projets pilotes, parce que, comme je disais, on n'a pas de pouvoir réglementaire.
Donc, moi, je ne vais pas prendre un règlement puis en vertu duquel telle,
ou telle, ou telle entreprise va être obligée de faire telle ou telle chose, tu
sais. On va le faire à travers, comme je disais, des projets pilotes, où là, on
va tester des hypothèses. On va dire : Bon, bien, voici comment je pense
qu'on devrait opérer. Est-ce qu'on met en
place les... Est-ce qu'on développe les 18 mesures partout sur le
territoire? Si oui, c'est quoi l'impact? Puis, bon, c'est tout ça,
comment ça coûte, est-ce que les petites entreprises ont la capacité de faire ça, qu'est-ce que
ça prendrait comme soutien pour y arriver? Donc, avec un projet pilote dans des
secteurs ciblés, bien, on est capables de tester ces hypothèses-là.
Mme Setlakwe : Je
comprends. Là, vous ne nous dites pas dans quels secteurs vous souhaitez
intervenir de façon prioritaire.
M. Caire : Bien,
je dis... Bien, je dirais, il faut définir quels sont les secteurs
stratégiques. Moi, en tout respect, je ne suis pas sûr que le gouvernement du
Québec... Tu sais, le dépanneur, qui est très certainement un commerce qu'on
adore tous, mais tu sais, s'il y a une cyberattaque, c'est plate, mais bon, ça
ne vient pas d'impacter le Québec. Par contre, les secteurs de l'énergie? Ah!
Là, on est ailleurs. Donc, s'il y avait... Puis là, je ne pense pas à
Hydro-Québec, parce que je pense qu'on a eu cette discussion-là au début de la
conversation, mais il y a des entreprises privées qui travaillent dans le
domaine de l'énergie. Bien ça, peut-être que l'impact est autre. Puis au niveau
de notre économie, il y a des entreprises et
des institutions qui sont plus névralgiques, dont l'impact va être beaucoup
plus grand s'il y avait une
cyberattaque. Donc, ça... Alors, il faut les identifier puis il faut voir
comment on interagit avec eux autres. C'est pour ça que les projets pilotes, vous avez raison, ça, c'est un point, un pan
très important du projet de loi pour la suite des choses.
Mme Setlakwe : Donc,
vous souhaitez intervenir en priorité dans des... En tout cas, ce n'est pas une
déclaration formelle que vous faites
ce matin, là, mais une des priorités, ce serait des entreprises privées dans
secteur de l'énergie? Ça pourrait être l'éolien.
M. Caire : Des entreprises
privées dans des secteurs stratégiques, mais, oui, dans des secteurs qui sont
stratégiques pour l'économie québécoise. Oui. Oui, parce que c'est... On le
voit, là, quand on sort du domaine public. Évidemment, le domaine public, on
est déjà dans le Réseau gouvernemental de cyberdéfense. Mais quand on va dans
l'entreprise privée, il y a des secteurs qui sont névralgiques pour l'économie,
le secteur bancaire, entre autres. Bon, on
parle de l'énergie, c'est un autre secteur qui est important, mais on peut
paralyser l'économie d'une société à travers des cyberattaques
concertées. Donc, comment on peut... comment on peut travailler avec ces
secteurs-là pour assurer une plus grande cybersécurité de nos secteurs
stratégiques?
Mme Setlakwe : D'autres
exemples?
M. Caire : Non, je pense que ça
donne une bonne idée, là, de l'intention.
Mme Setlakwe : Est-ce que vous
pensez qu'il y a suffisamment de sensibilisation de la population?
• (11 h 50) •
M. Caire : Oui, dans les
secteurs stratégiques, oui, mais c'est la cohésion qu'il faut gagner. Donc,
moi, je dis toujours : Le silo est
l'ami du cyberattaquant. Alors, c'est cette cohésion-là qu'on veut aller
chercher. Mais les secteurs... les
secteurs névralgiques sont... ont probablement un bon niveau de conscience du
risque. Mais, si on travaille en cohésion, en cohérence, on est plus...
on est plus efficaces.
Mme Setlakwe : Merci. La CAI
avait... On a parlé de la CAI, la semaine dernière, là, la Commission d'accès à
l'information, qui a soumis... en fait, qui est une des seules entités à avoir
soumis un mémoire. Il y en a eu très peu. On n'a pas eu beaucoup de... beaucoup
d'échanges durant les consultations, il y a beaucoup de groupes qui se sont
désistés, mais la CAI est venue, bon, nous parler des articles 10 et 19.
Ça, on en a parlé. En fait, le... toute la question des règles de gouvernance, ça, ça va, on en a parlé abondamment, mais au
niveau de l'article 16, ils ont des enjeux, là. Ils disent que
l'article 16 va permettre au gouvernement d'autoriser la mise en oeuvre
d'un projet pilote, bon, ça, ça va, qui vise à étudier, expérimenter, innover dans le domaine de la
cybersécurité ou du numérique, ou à définir des normes applicables.
Est-ce que vous avez considéré leurs préoccupations? Là, j'y arrive, là,
dans... ils avaient...
M. Caire : Bien, en fait, oui.
Je vous dirais que, si vous regardez le deuxième alinéa, l'idée était effectivement de... Parce qu'en fait la CAI
dit : Vous devriez faire comme on le fait dans le projet de loi
n° 14. Mais on n'est pas... Ce
n'est pas le même champ d'intervention. La loi no° 14, on vise des projets
en ressources informationnelles qui sont d'intérêt gouvernemental, alors
que là on vise des projets pilotes qui vont nous permettre d'aller plus vers le
normatif ou la définition de règles, de
normes. On n'est pas dans la mise en place d'une application en technologies de
l'information, où là, on va chercher dans les banques d'information du
gouvernement des données, des informations.
Maintenant, le projet pilote... Puis on a
rajouté le deuxième alinéa pour dire : Écoutez, c'est sûr que ce projet
pilote là va se faire dans le respect des dispositions législatives
applicables, on pense à la loi 25 notamment, mais on n'est pas dans des
projets à ressources informationnelles, on est dans des projets qui visent à
établir des normes, des façons de faire, des standards.
Mme Setlakwe : Puis
vous dites que ça doit respecter... dans le respect des dispositions
législatives applicables?
M. Caire : Oui. Bien oui. Puis
s'il faut, bien, le gouvernement peut établir aussi des normes applicables aux
projets pilotes. Donc, dépendamment, on se donne aussi la souplesse de
dire : Bien, dépendamment du projet pilote, il y a peut-être certaines
normes supplémentaires qui devront être mises en place. Puis là on a la
possibilité de le faire avec
le deuxième alinéa. Mais c'est fonction du projet pilote. Tu sais, de façon
générale, on va respecter les lois, puis de façon particulière, on
pourra rajouter des normes et des obligations.
Mme Setlakwe :
«La commission suggère d'ajouter à l'article 16 que le gouvernement
doit édicter des règles particulières dans le cadre d'un projet pilote
lorsqu'il existe un degré élevé d'atteinte raisonnable en matière de vie privée, sauf si une disposition d'une loi
ou d'un règlement prévoit déjà une protection adéquate. Une telle précision
pourrait bonifier l'article 16».
M. Caire :
Bien, en tout respect, je ne suis pas d'accord avec la CAI parce que faire
une évaluation des facteurs relatifs de la vie privée, c'est un travail qui est
quand même très important. Et de le faire systématiquement sans savoir c'est
quoi, le projet pilote, ça vise quoi, tu sais, c'est comme de dire : Dans
tous les projets pilotes, sans savoir ce que vous allez faire, sans savoir les
hypothèses que vous allez tester, vous devriez faire une évaluation des
facteurs relatifs à la vie privée. Mais il y a des projets pilotes, Mme la
députée, qui n'auront aucun impact sur la vie privée,
là. On s'entend, là, on parle d'une capacité normative. Alors, ce n'est pas...
On ne parle pas de, comme je vous dis, là, d'un projet en ressources
informationnelles qui accède à des données, qui va traiter de la donnée, qui,
dans certains cas, va en générer. On n'est pas là du tout, là. Donc, moi, je
pense que le deuxième alinéa fait bien le travail. Compte tenu de la raison
pour laquelle l'article 16 est édicté, je pense que ça fait le travail.
Mme Setlakwe : Oui, ça le fait, c'est
sûr. Ça le fait de façon moins stricte, je dirais. Ce qu'eux disent, à la CAI, ce
n'est pas de faire cette évaluation-là dans tous les cas, c'est de dire que le
gouvernement doit édicter des règles particulières dans le cadre d'un projet
pilote lorsqu'il existe un degré élevé. Parce que ça, c'est une notion connue,
un degré élevé...
M. Caire :
Oui. Oui, mais ce n'est pas ça que...
Mme Setlakwe : ...d'attente? Là, je pense qu'ils se sont
trompés. C'est d'atteinte raisonnable en matière de vie privée. C'est
«atteinte».
M. Caire :
Bien, c'est pour ça que je vous parle d'évaluation des facteurs relatifs à
la vie privée. C'est parce que, ce que ça
sous-entend, c'est qu'il faudrait systématiquement faire cette évaluation-là
pour valider est-ce qu'il y a un degré... un haut degré d'atteinte à la
vie privée. Mais ça, on le sait, si on fait l'évaluation puis selon ce qui...
la formulation qui est utilisée par la CAI.
Puis, oui, on va le retrouver dans la loi
n° 95, on va le retrouver dans
la loi n° 25, notamment, là. Mais ça, c'est, oui,
quand il y a des projets en ressources informationnelles, mais on n'est pas
dans des projets en ressources informationnelles.
Mme Setlakwe :
OK Troisième alinéa, c'est la durée. Pourquoi vous avez choisi trois ans?
M. Caire : Parce
qu'en général je vous dirais que ça nous... Après trois ans, là, tu sais, si on
n'a pas une bonne idée des hypothèses qu'on
veut tester... Tu sais, normalement, ça risque d'être moins que ça, là, les
projets pilotes, la durée des projets pilotes. Mais en trois ans on est
capables, je pense, de collecter une bonne information, des cas qui vont être très parlants. Puis on se rajoute
aussi la possibilité de l'étirer d'un an, là, dans les faits. Donc, ça peut
aller jusqu'à quatre ans. Mais on
parle quand même de projets pilotes sur du normatif en cybersécurité, là.
L'idée générale, c'est... Je vous dirais que c'est d'aller même
peut-être un petit peu plus vite que ça, là.
Mme Setlakwe :
Mais ça ne dit pas que c'est... Vous, vous semblez dire que ça vise du
normatif, mais ça... À la lecture de cet article-là, ça me semble très large.
Non?
M. Caire :
Oui. Bien, c'est parce que, si vous regardez, bon, «expérimenter ou à
innover dans le domaine de la cybersécurité ou dans celui du numérique, ou à
définir des normes applicables à un tel domaine». Donc, oui, on est vraiment
dans l'idée de pouvoir établir un cadre normatif.
Mme Setlakwe :
OK Donc, trois ans plus un an?
M. Caire :
Oui.
Mme Setlakwe :
Puis après, on vient dire «Le gouvernement peut, en tout temps, modifier un
projet pilote».
M. Caire :
Oui.
Mme Setlakwe :
Ça, là, c'est assez large, là. Modifier, ça veut dire, dans le fond,
vous...
M. Caire :
Oui, mais en même temps, c'est de se donner la capacité de dire : Aïe! On
ne s'en va pas pantoute dans la bonne
direction, là. Ça fait que là, on fait quoi, on continue pendant trois ans pour
en arriver à la conclusion qu'on, tu
sais, qu'on ne va pas dans la bonne direction? Bien, c'est d'avoir cette
agilité-là, qui est nécessaire dans un domaine où on innove. Puis quand
on innove, il faut avoir de l'agilité, là.
Mme Setlakwe :
Puis quelles sont vos obligations de rendre compte des...
M.
Caire : Puis là,
c'est le... Oui, c'est le dernier...
Mme Setlakwe : Oui, c'est le
dernier, hein?
M. Caire : Oui. Projet
pilote... «doivent être publiés sur le site Internet du ministère de la
Cybersécurité et du Numérique au plus tard un an après la fin du projet
pilote.»
Mme Setlakwe : Mais
là, c'est très long. Moi, je trouve ça très long, là. Ça peut durer quatre ans.
Ça peut être modifié, puis là, si c'est modifié, bien là, on reste à
l'intérieur du terme initial ou non?
M. Caire : Oui. Oui, mais...
Bien oui, mais, en même temps, l'idée, c'est de se dire : Bon, bien, on se
donne plus de temps selon la loi. Mais,
comme je vous dis, dans les faits, un projet pilote qui aura duré quatre ans,
effectivement, je suis d'accord avec vous, c'est long, mais là, on va
probablement être dans quelque chose à un autre niveau.
Donc, c'est de se donner de la marge de
manoeuvre, parce que, tu sais, la loi, bon, elle est adoptée, puis, si on se
rend compte qu'on ne s'est pas donné assez de marge de manoeuvre, il faut
revenir en mesures législatives. On est peut-être mieux de s'en donner un peu
plus puis d'en avoir besoin d'un peu moins.
Mme Setlakwe : Merci. Puis
quelle est la... Ah! juste... Je serais curieuse de...
M. Caire : Bien, Me Bacon
disait que c'est des durées qui sont standards.
Mme Setlakwe : OK C'est quoi,
vos comparables?
La Présidente (Mme D'Amours) : Me Bacon.
Mme Bacon (Nathalie) : Mme la
Présidente, les comparables, il y en a plusieurs, là. Vous avez le Code de la sécurité routière, vous avez la Loi encadrant
le cannabis; vous avez la Loi sur les contrats des organismes publics; la
Loi mettant fin à la recherche
d'hydrocarbures, le chapitre R-1.01; après ça, le chapitre I-13.3, loi sur
les infrastructures... l'instruction
publique; le chapitre P-29, Loi sur les produits alimentaires; et le
chapitre H-1.01, Loi sur l'hébergement touristique. On ne devrait
pas en avoir oublié.
La Présidente (Mme D'Amours) : Merci.
C'est tout le temps que nous avions. Donc, je vous remercie pour votre
collaboration.
Compte tenu de l'heure, la commission ajourne
ses travaux sine die. Merci, tout le monde.
(Fin de la séance à 12 heures)