Journal des débats (Hansard) of the Committee on Public Finance

(Onze heures seize minutes)

La Présidente (Mme Poulet) : Alors, à l'ordre, s'il vous plaît! Ayant constaté le quorum, je déclare la séance de la Commission des finances publiques ouverte. Je demande à toutes les personnes présentes dans la salle de bien vouloir éteindre la sonnerie de leurs appareils électroniques.

Alors, la commission est réunie afin de poursuivre l'étude détaillée du projet de loi n° 82, Loi concernant l'identité numérique nationale et modifiant d'autres dispositions.

M. le Président, est-ce qu'il y a des remplaçants?

Le Secrétaire : Oui, Mme la Présidente. Mme Abou-Khalil (Fabre) est remplacée par Mme Lachance (Bellechasse); M. Lemay (Masson), par M. Provençal (Beauce-Nord); M. Beauchemin (Marguerite-Bourgeoys), par M. Tanguay (LaFontaine); Mme Cadet (Bourassa-Sauvé), par Mme Setlakwe (Mont-Royal—Outremont); M. Morin (Acadie), par Mme Caron (La Pinière); et Mme Zaga Mendez (Verdun), par M. Bouazzi (Maurice-Richard).

La Présidente (Mme Poulet) : Alors, lors de l'ajournement de nos travaux, jeudi dernier, nous en étions à l'étude de l'article 10.7, introduit par l'article 6 du projet de loi. Est-ce qu'il y a d'autres interventions?

Mme Setlakwe : Oui, certainement, Mme la Présidente. Donc...

La Présidente (Mme Poulet) : Oui, Mme la députée de Mont-Royal-Outremont.

Mme Setlakwe : Nous étions donc à 10.7. Je ne pense pas qu'on avait encore parlé de la question du profilage. On parlait de... évidemment, du noyau, là, ici, de la constitution d'un... ou de l'institution d'un registre pour constituer un système de dépôt et de communication des données numériques gouvernementales et on étudiait donc le contenu obligatoire du registre.

Est-ce que le ministre peut juste... avant d'arriver au profilage, est-ce que le ministre peut nous rappeler, par rapport au contenu du registre qui est... qui... on parle d'une liste qui n'est pas... qui n'est pas limitative, est-ce que... dans quelle mesure est-ce que le contenu du registre peut évoluer et pourquoi on doit se garder une... la possibilité d'y ajouter toute autre fonctionnalité?

M. Caire : Bien, comme je le disais, l'identité numérique peut aussi avoir pour objet... puis, je pense, c'est avec Mme la députée de La Pinière qu'on avait eu cette question-là, au niveau de la prestation de services, il est possible que certains renseignements soient transférés au donneur de services.

Une voix : ...

M. Caire : Oui, vous m'excuserez, je... vous aurez sans doute remarqué que mon... j'ai des petits problèmes au niveau de la gorge. Alors, je vais essayer de parler plus fort. Je suis désolé, Mme la Présidente. Donc, il est...

M. Caire : ...et il est possible, puis comme je disais, je pense que c'est avec Mme la députée de La Pinière qu'on avait eu la conversation la semaine dernière, l'identité numérique gouvernementale, oui, a pour objet d'identifier et d'authentifier quelqu'un avant de donner une prestation de service. Mais ça peut aussi avoir pour objet de transmettre des informations, des renseignements sur l'identité de la personne, un prestataire de services lorsque c'est requis par la prestation de service. Donc, dans une perspective de simplifier les services, de les rendre plus fluides et de faire en sorte que le citoyen n'ait pas à répondre à des questions pour lesquelles on connaît déjà la réponse, bien, il est possible que d'autres informations soient requises. Celles qui sont ciblées, là, sont effectivement dans un contexte d'identification et d'authentification. Mais comme je le disais dans une... Parce qu'on parle aussi des sources officielles de données, là, souvenons-nous, et on a dit que tous renseignements qui concernent un individu seront concernés par la source officielle de données et donc extraites des autres bases de données. Donc, éventuellement, il va falloir qu'on puisse faire circuler cette information-là lorsque c'est requis.

• (11 h 20) •

Mme Setlakwe : Oui, évidemment, les informations doivent circuler pour les... strictement pour les fins pour lesquelles elles sont requises. Est-ce que vous pouvez, parce qu'on va y arriver, au profilage, expliquer comme la réflexion derrière le libellé, parce qu'on comprend qu'il y a une interdiction. On dit que le ministre ne peut utiliser ces données à des fins de profilage des personnes. Et ensuite, il y a une définition de ce qu'on entend par profilage. Mais avant d'en arriver aux fins détails du libellé, puis aux différents commentaires qui ont été prononcés et les préoccupations qui ont été mises de l'avant, juste nous expliquer votre vision de cette... bien, de cette interdiction? Et on a tiré cette définition d'où exactement?

M. Caire : Bien, en fait, je vous dirais, le débat, il est initié à l'adoption de la loi n° 25 parce qu'on reprend ici le concept dont la définition vous allez la retrouver dans la loi n° 25, parce que, dans la loi n° 25, il y avait des dispositions où certains renseignements personnels pouvaient être transmis à des organismes sans le consentement, sans que le consentement des individus soit requis, mais selon des paramètres très précis. Et déjà à l'adoption de la loi n° 25, bon, ce qu'on ne souhaitait pas, par exemple, des informations de Revenu Québec qui permettraient d'identifier un individu qui est en défaut de paiement de ses impôts et qui pourrait avoir des sanctions en conséquence de ça, parce qu'il consomme un autre service qui n'est pas en lien avec ça. Bien ça, ça serait un exemple, par exemple — un exemple, par exemple, désolé de la redondance — ce serait un exemple de ce que... de ce que l'on ne souhaite pas qu'on puisse faire avec l'identité numérique nationale.

Mme Setlakwe : Merci. Est-ce que vous croyez que la définition de profilage est suffisamment étoffée?

M. Caire : Oui.

Mme Setlakwe : Pouvezvous élaborer?

M. Caire : Bien, oui, je pense que dans la loi n° 25 on a eu... Puis à ce moment-là, avec la prédécesseure, d'ailleurs, de Mme la députée de La Pinière et l'actuelle députée de Saint-Laurent, on avait un débat, puis on avait fait venir aussi des spécialistes de Revenu Québec parce que, même à l'interne, là, on voulait s'assurer qu'il y avait des pare-feu qui faisaient en sorte, par exemple, que l'agence du revenu ne communiquerait pas des informations à des fins de profilage, etc. Donc, cette notion-là, elle avait quand même été bien définie. Je pourrai... Me Bacon, je ne sais pas si vous l'avez, la définition de la loi n° 25. Si, Mme la députée, vous le souhaitez, on pourra vous faire lecture de la... pour les fins de la conversation de...

La Présidente (Mme Poulet) : Alors, on va demander. Est-ce qu'il y a un consentement pour que madame puisse prendre la parole? Alors, si c'est possible de vous nommer, votre titre et de répondre à la question.

Mme Bacon (Nathalie) : Oui, bonjour, Mme la Présidente. Nathalie Bacon, légiste à la Direction des affaires juridiques pour le MCN. Alors, c'est l'article 65.0.1 de la Loi sur l'accès, qui balise, si vous voulez, là, qui encadre la possibilité ou non de profilage dans le cadre de la cueillette, l'utilisation, la communication de renseignements personnels. Et le dernier alinéa de l'article 65.0.1 prévoit la même définition que nous avons au dernier alinéa de l'article 10.7 de notre projet de loi. Voulez-vous que je le lise?

Mme Setlakwe : Bien, vous dites que c'est exactement la même définition.

Mme Bacon (Nathalie) : Oui, c'est la même chose

Mme Setlakwe : . Non, non, si c'est la même définition, on n'a peut-être pas la...

Mme Bacon (Nathalie) : Oui, c'est la même définition. La seule distinction, c'est qu'au niveau de la Loi sur l'accès, le profilage est balisé, tandis que dans notre cas, il est interdit, comme vous avez dit, puisqu'il ne peut utiliser...

Mme Setlakwe : ...Oui. Ici on dit bien que : «On entend par profilage la collecte et l'utilisation de renseignements personnels afin d'évaluer certaines caractéristiques d'une personne physique, notamment à des fins d'analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne.» Et c'est bien avec l'utilisation du mot «notamment», c'est... on comprend que la... que ce sont des exemples qui sont donnés et que ce n'est pas limitatif.

J'aimerais savoir qu'est-ce que le ministre pense de la proposition de la Ligue des droits et libertés, qui vise à modifier... bien, c'est la phrase, en fait, juste avant la définition, modifier la phrase par une autre qui dirait que «nul ne peut utiliser les données d'identité numérique à d'autres fins que l'identification et l'authentification.»

M. Caire : Bien, vous l'avez dans ma... dans ma réponse précédente. C'est que si on fait ça, ça veut dire qu'on condamne chaque ministère et organisme à collecter des renseignements personnels dans une perspective de prestation de service. Parce que si je les limite aux fins d'identification et d'authentification, ça veut dire que l'idée, le concept de dites-le nous une fois ne tient plus parce que ça veut dire que je ne peux pas transférer ces informations-là. Par exemple, vous utilisez un service du ministère de l'Emploi, Solidarité sociale, etc., bien, le prestataire de services, oui, vous êtes identifié, authentifié, mais comme je ne lui communique pas les renseignements personnels, il devra vous redemander votre nom, votre prénom, votre adresse, etc., et tous les renseignements relatifs à la prestation de service. Et donc là, on prive le gouvernement d'efficacité, alors que le principe, c'est de dire : Bien, de toute façon, ces renseignements-là sont requis par la prestation de service. Le citoyen n'a pas le choix de les communiquer, sinon il ne pourra pas recevoir la prestation de services. Donc, c'est dans cette perspective-là où je dis que cette proposition-là, je pense, limite notre capacité à améliorer les services aux citoyens.

Mme Setlakwe : Ce n'est pas ce qui est souhaité, mais on peut se poser la question. Ici, on dit que c'est le ministre qui ne peut utiliser ces données. Et le ministre, on se rappelle, il est responsable du registre, responsable de la gouvernance, et le ministre ne peut utiliser ces données à des fins de profilage. Mais qu'en est-il des ministères et organismes?

M. Caire : Bien, c'est la même chose parce qu'ils sont soumis à la loi 25.

Mme Setlakwe : C'est la loi 25 qui s'applique à eux.

M. Caire : C'est ça. Ils sont tous soumis à la loi 25.

Mme Setlakwe : Merci. On a... Je sais que ma collègue vous poser des questions aussi sur...

La Présidente (Mme Poulet) : Oui, Mme la députée de La Pinière, la parole est à vous.

Mme Caron : Merci, Mme la Présidente. Alors, bonjour, tout le monde. Donc, la dernière fois qu'on était en commission, justement, sur l'article 10.7, au paragraphe numéro quatre, on était rendus là, je crois, dans les... dans notre échange. Donc, on lit que : «La traçabilité de tout accès au registre par une personne, que ce soit pour y déposer ses données, les utiliser ou en recevoir la communication», et puis ça, on parle des données numériques, là, alors quand on dit «La traçabilité de tout accès au registre par une personne», on a déjà établi qu'il y aurait une journalisation des accès au système. Donc, une personne, un citoyen, une citoyenne pourrait savoir qui a... est allé dans le système pour l'authentifier, mais pas l'inverse. C'est-à-dire que le gouvernement ne peut pas suivre les utilisations de l'authentification par le citoyen ou la citoyenne. Donc, si cette personne va s'acheter une caisse de bière au dépanneur, va faire... acheter... pas «acheter», mais faire une transaction bancaire, ce n'est pas... on ne suit pas ça. Mais quand on lit ici que «le registre doit notamment permettre la traçabilité de tout accès au registre par une personne, que ce soit pour y déposer ses données, les utiliser ou en recevoir la communication», ça peut faire croire qu'une personne, ça peut être le citoyen. Donc, c'est comme si, en fait, la journalisation était aussi dans le sens... dans le sens inverse.

La Présidente (Mme Poulet) : Oui. Mme Bacon, allez-y, la parole est à vous.

Mme Bacon (Nathalie) : Oui, Mme la Présidente. Vous parlez du sujet de la gestion des accès, la journalisation, les...

Mme Caron : ...la traçabilité, comme c'est indiqué dans l'article, donc, paragraphe numéro quatre, «la traçabilité de tout accès au registre», le registre étant...

Mme Caron : ...le registre de l'identité numérique nationale sous la responsabilité du ministre. Donc, la traçabilité de tout accès au registre par une personne, que ce soit pour y déposer ses données, les utiliser ou en recevoir la communication. Puis on a établi que recevoir la communication, ça peut être de juste consulter les données. Donc, moi, quand je lis ce paragraphe-là, bien, c'est... le citoyen qui veut recevoir la communication de ses données, qui veut communiquer... qui veut consulter pardon, les données à son sujet, bien, la traçabilité de son accès va être... va être suivie. Donc, qu'est-ce qui... C'est un peu comme si ce paragraphe-là venait dire l'inverse ou pouvait être interprété comme disant l'inverse de tout ce qu'on a dit depuis le début, c'est-à-dire que la traçabilité, via la journalisation des accès, ne se ferait pas sur l'utilisation du citoyen, se ferait uniquement sur l'utilisation de... des ministères et organismes utilisant l'identité numérique nationale, mais ici ça semble laisser la porte ouverte à ce qu'on suive la... la traçabilité se fasse sur les utilisations du citoyen puisqu'on dit «par une personne».

• (11 h 30) •

Mme Bacon (Nathalie) : Mme la Présidente, en réalité, toutes les options sont possibles. Ce qui est important, c'est de savoir qui a eu accès à nos données. Alors, comme citoyen, c'est de le savoir. Il est possible que le système, pour toutes sortes de raisons qu'on peut imaginer, mentionne les dernières fois que nous-mêmes avons eu accès ou si nous venons d'avoir accès, question de sécurité. Alors, nous, on a des systèmes comme ça, là, au gouvernement, comme employé, ou quand on accède à des systèmes, je pense au système de SAGIR, entre autres, là, quand on veut remplir nos absences. Alors, on... lorsqu'on qu'on a des accès ou des accès erronés, on a une notification, ça fait que c'est pour couvrir ces situations-là.

Mme Caron : Alors, si c'est pour couvrir ce genre de situations, qu'on veut avoir... On ne peut pas dire qu'on ne suivra pas les accès d'une personne. C'est-à-dire que je comprends que, dans le cas de SAGIR, par exemple, bon, on va suivre parce qu'on peut... on peut savoir s'il y a une transaction qui a été faite dans le système, peut-être erronée, qu'on peut corriger, etc. Mais là, le registre, c'est le registre de l'identité numérique nationale, c'est très large et c'est la traçabilité de tout accès au registre par une personne. Ça veut dire que tout est ouvert, là, ça veut dire qu'une personne, un citoyen, bien, va se faire suivre., hein, si j'utilise... va être... va être traçable dans le système. Et on a dit qu'on n'allait pas faire ça, qu'on n'allait pas travailler... je vais utiliser ces mots-là, contre le citoyen en le suivant, puis si on... si on utilise ce libellé-là, bien, ça ouvre la porte à faire ça, même si peut-être que l'intention n'est pas là, mais ça ouvre la porte à faire ça. Puis on comprend que c'est assez inquiétant.

Mme Bacon (Nathalie) : Mme la Présidente, pour moi, il y a une différence entre traçabilité puis profilage, là. Alors, traçabilité, c'est tout ce qui concerne les fonctionnalités technologiques. Alors, notamment, la journalisation, alors qui a des accès, comment c'est répertorié, qui a eu accès, mais ce n'est pas... le citoyen n'est pas dans le registre. Le citoyen, lui, a une page personnalisée. Ça, c'est peut-être au niveau technologique qu'on pourrait l'expliquer, là.

M. Caire : Sur le... En fait, moi, ce que je comprends, Mme la députée, de votre propos, c'est que vous dites : La traçabilité, telle que libellée, là, nous permet de dire : Bon, bien, le citoyen est allé à la SAQ. Bon, alors, donc l'idée, c'est justement de dire : Si, par exemple, vous allez à la SAQ, il n'y a pas... il n'y a pas de traçabilité de ça pour le citoyen. On ne va pas... on ne va pas demander ou on ne va pas faire une journalisation de ça dans les... dans les... dans les... voyons, excusez-moi, je vais finir par trouver mes mots, dans les registres.

Par contre, ce qu'on veut, c'est que, par exemple, une infirmière accède à votre dossier médical, donc doit être capable d'avoir accès à vos renseignements d'identité pour ensuite aller chercher vos... Donc, ça, il faut qu'il y ait une trace de ça, même si on est dans deux banques différentes. Là, je vais essayer de vous l'expliquer selon le modèle que je... que je définissais l'autre jour. On s'entend, les renseignements de santé sont gardés dans une banque sans renseignement d'identité. Les renseignements d'identité sont gardés dans une banque sans autre...

M. Caire : ...renseignements. Donc, il faut être capable de faire le lien entre les deux lorsqu'il y a une prestation de services. Donc, nous, si vous vous connectez à un service, une prestation électronique de services, je n'ai pas besoin de faire la... je n'ai pas besoin de faire la trace de ça. Ce que... Ce dont j'ai besoin d'avoir comme trace, c'est si, par exemple, je transfère vos renseignements personnels à quelqu'un qui va avoir une prestation de services puis qui va vouloir aller chercher d'autres renseignements pour... dans le but... ça, il faut que je sois capable de faire une trace de ça. Donc, moi, j'ai donné accès, vous avez donné accès par le fait même à tel ou tel commis, Revenu Québec, Santé, etc., à vos renseignements personnels. Ça, je dois garder une trace de ça. Donc, c'est comme ça que moi, je comprends le libellé de l'article 4.

Mme Caron : Mme la Présidente, bien, effectivement, ce que vous venez d'expliquer là, oui, le libellé s'applique à ça, tout à fait, c'est ce dont on a parlé déjà, et c'est nécessaire d'avoir cette traçabilité-là. Mais le libellé parle... dit : «la traçabilité de tout accès au registre par une personne». Alors, ça peut... il n'y a pas de garantie, il n'y a pas de protection que ça n'ira pas dans l'autre sens. Puis je veux bien... je veux bien que la traçabilité, c'est un terme technique, qu'on parle de journalisation, mais, quand on laisse des traces, ça sert à quelque chose à un moment donné. Même si on n'a pas l'intention, le gouvernement n'a pas l'intention de suivre les personnes, il n'en demeure pas moins que, si les traces sont au registre pour tout accès par une personne puis on ne dit pas que c'est une personne autre que le citoyen, bien, à ce moment-là, il n'y a pas... il n'y a pas de... il n'y a pas de protection, ça peut être... ça peut être... ça peut être compris des deux façons. Alors, je ne sens pas que les citoyens seront protégés dans ce cas... dans ce cas-ci, là, pas du tout.

La Présidente (Mme Poulet) : ...M. le ministre?

M. Caire : Non. Bien, Mme la Présidente...

La Présidente (Mme Poulet) : M. le ministre.

M. Caire : ...je vous demanderais de suspendre quelques instants, puis on aura des discussions avec...

La Présidente (Mme Poulet) : Parfait. Suspension, s'il vous plaît, de quelques instants.

(Suspension de la séance à 11 h 36)

(Reprise à 11 h 40)

La Présidente (Mme Poulet) : Alors, avant la suspension, le ministre avait demandé une suspension. Alors, si c'est possible de poursuivre les discussions, alors allez-y, M. le ministre.

M. Caire : Oui. Merci, Mme la Présidente. Donc, ce que j'expliquais aux collègues, c'est qu'il faut entendre traçabilité de deux façons dans l'article. Et il faut lire l'article, le paragraphe 4, avec l'alinéa 2. Donc, la traçabilité au sens de dire qu'est-ce que le citoyen a fait via l'identité numérique nationale, on ne peut pas faire ça. Est-ce que je me suis servi de mon identité numérique nationale pour prouver que j'avais l'âge légal d'acheter de l'alcool? Je ne peux pas faire ça, l'alinéa 2 me l'interdit. Je ne peux pas. Est-ce que je me suis servi de mon identité numérique nationale pour une preuve d'âge pour acheter du cannabis? Je ne peux pas faire ça. L'alinéa 2 l'interdit. Quand on parle de traçabilité. Bien, à ce moment-là, si le citoyen accède à son identité numérique nationale, la démarche, elle est journalisée. Donc, le fait que vous l'avez fait, ça, c'est journalisé. Mais on arrête ça là. Et je dois le savoir. Comme je disais, Mme la Présidente, pour des raisons de sécurité, je dois savoir qui a accédé. Par exemple, il y a un bris de sécurité, il y a un vol d'information de vos renseignements personnels, bien, moi, c'est les journaux qui me donnent des indices pour dire : O.K. Qui a accédé? Qu'est ce qu'il a fait avec? À quelle heure c'est arrivé? Qu'est-ce qui s'est passé? Ça, pour des raisons de sécurité, ça, je vais garder une trace de ça. Après ça, vous vous identifiez, vous authentifiez, parfait, c'est correct. C'est Mme la députée de La Pinière, j'arrête ça là. Je n'ai pas... Ce qui se passe après ne me regarde pas. Donc, c'est deux, le paragraphe 4 et le deuxième alinéa doivent se lire ensemble.

Mme Caron : Alors donc, merci pour ces précisions. Ce que je comprends donc du paragraphe numéro 4, «la traçabilité de tout accès au registre par une personne, que ce soit pour y déposer ses données, les utiliser ou en recevoir la communication», les traces demeurent que la personne, que ce soit un citoyen qui ce soit authentifié par le système, les traces demeurent, mais on promet, entre guillemets, qu'on ne va pas se servir de ces traces là contre le citoyen, on va plutôt s'en servir pour savoir s'il y a eu des problèmes, des erreurs dans l'accès au registre, et tout ça, assurer un certain contrôle pour s'assurer qu'il n'y a pas quelqu'un quelque part dans un ministère ou un organisme qui est en train de bombarder, disons, le dossier du citoyen. Et cette promesse-là repose sur l'alinéa suivant, que... sur celui... que «le ministre ne peut utiliser ces données à des fins de profilage des personnes» et le suivant qui définit le profilage, qui s'entend «de la collecte et de l'utilisation de renseignements personnels, etc.». Alors, comme c'est... c'est quand même majeur parce qu'on parle vraiment de l'ère du respect de la vie privée des personnes, là, qui découle de tout ça, de ces traces-là. J'aurais un amendement à apporter à l'alinéa qui commence par «le ministre ne peut utiliser ces données à des fins de profilage des personnes», mais avant de le déposer, Mme la Présidente, je voudrais aussi parler du paragraphe numéro 5, où on dit que «toute autre fonctionnalité déterminée par règlement du ministère». Donc, pour lire la phrase complète, là, c'est : «ce registre, le registre étant celui de l'identité numérique nationale, doit notamment permettre toute autre fonctionnalité déterminée...

Mme Caron : ...par règlement du ministre. Alors, ça, encore une fois, c'est très large, toute autre fonctionnalité, ce n'est pas quelque chose qui... ce n'est pas comme une restriction qui est large, mais c'est une permission qui est large, c'est comme ça que je la comprends. Alors, qu'est-ce qu'on entend par «toute autre fonctionnalité déterminée par règlement du ministre»?

M. Caire : Bien, c'est un petit peu l'explication que je donnais à Mme la députée de Mont-Royal—Outremont, parce que le registre, dans les quatre premiers paragraphes, on va définir à quoi il sert. Donc, on dit : à la conservation sécuritaire, la communication des données entre organismes publics., ce que je disais à Mme la députée, la traçabilité, donc de savoir qui a accédé à ce registre- là, mais il pourrait arriver, par exemple... puis je vous donne un exemple. Il y a des discussions avec des corporations qui souhaitent utiliser l'identité numérique nationale, qui ont des obligations au niveau de l'identité et de l'authentification... d'identification et de l'authentification. Il n'est pas prévu dans cet article que nous puissions interagir avec eux d'une autre façon. On ne pourrait pas, selon la loi, interagir d'une autre façon que sur l'identification et l'authentification du citoyen.

Par contre, avec le consentement du citoyen, est-ce qu'on pourrait leur offrir le même service, c'est-à-dire la communication entre organismes de renseignements personnels dans le but de faciliter la prestation électronique de services? Peut-être. Alors, on aurait une possibilité. Donc, par règlement, je pourrais dire : Bon, bien, par règlement, donc au Conseil des ministres, avec tout le processus d'adoption d'un règlement et la publication, évidemment, à la Gazette officielle, donc on rend cette décision-là publique, on pourrait dire : Par exemple, telle corporation professionnelle qui rend des services à la population qui a besoin d'identifier, authentifier le citoyen voudrait aussi, par exemple, avoir accès à certains renseignements personnels, le nom, le prénom, l'adresse, le numéro de téléphone, etc., pour compléter un dossier et donner une prestation électronique de service aux citoyens. C'est un exemple.

Mme Caron : Mme la Présidente, donc, quand on parle de corporations, dans l'exemple qui est donné, est-ce qu'on parle uniquement d'ordre professionnel ou on peut parler de... ça peut inclure une banque, ça peut inclure...

M. Caire : Ça pourrait inclure, oui, une institution financière, ça pourrait inclure une télé... une compagnie de télécommunication. Mais je tiens quand même à dire que tout ça est soumis à la loi... De base, c'est soumis évidemment à l'adoption du règlement, on s'entend, mais tout ça est soumis à la loi n° 25. Donc, je ne pourrais pas... même si je décide de rajouter une fonctionnalité, je ne pourrais pas transmettre des renseignements en contravention de la loi n° 25. Ça, il faut toujours lire cette loi-là dans le cadre de la loi n° 25. Je ne pourrais pas dire : Bien, moi, je décide de donner vos renseignements personnels à telle ou telle entreprise sans votre consentement. Ça serait illégal, je ne pourrais pas faire ça. Donc, il faut... Parce que les fins pour lesquelles les renseignements personnels ont été collectés sont des fins d'identification et d'authentification. Donc, selon la loi n° 25, je ne peux les utiliser qu'à ces fins là, sinon pour les différents paragraphes qui sont ici.

La Présidente (Mme Poulet) : Mme la députée de La Pinière, vous avez mentionné tantôt que vous voulez déposer un amendement. Est-ce que c'est toujours le cas?

Mme Caron : Oui.

La Présidente (Mme Poulet) : Est-ce qu'il a été envoyé à Greffier?

Des voix : ...

La Présidente (Mme Poulet) : O.K. Alors, on va suspendre quelques instants, s'il vous plaît.

(Suspension de la séance à 11 h 48)

(Reprise à 11 h 53)

La Présidente (Mme Poulet) : Alors, on reprend nos travaux. Mme la députée de La Pinière, vous avez un amendement, alors je vous laisse l'expliquer. Merci.

Mme Caron : Merci, Mme la Présidente. Alors, je vais lire, donc, l'amendement à l'article 6 :

Article 10.7 de la Loi sur le ministère de la Cybersécurité et du Numérique. Modifier l'article 10.7 de la Loi sur le ministère de la Cybersécurité et du Numérique, tel que proposé par l'article 6 du projet de loi par l'insertion, dans le troisième alinéa, après «ne peut», de «en aucun cas».

L'article modifié se lirait comme suit :

10.7. Est institué le Registre de l'identité numérique nationale sous la responsabilité du ministre. Ce registre constitue un système de dépôt et de communication des données numériques gouvernementales. Ce registre doit permettre :

1° la conversation... la...

Mme Caron : ...conservation sécuritaire, pour le compte d'un organisme public, de tout ou partie de ces données;

«2° la communication entre organismes publics de ces données;

«3° l'accès à ces données;

«4° la traçabilité de tout accès au registre par une personne, que ce soit pour y déposer ces données, les utiliser ou en recevoir la communication;

«5° toute autre fonctionnalité déterminée par règlement du ministre.

«Le ministre ne peut, en aucun cas, utiliser ces données à des fins de profilage des personnes.

«Le profilage s'entend de la collecte et de l'utilisation de renseignements personnels afin d'évaluer certaines caractéristiques d'une personne physique, notamment à des fins d'analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne.»

Alors, l'amendement set tout simplement d'ajouter les mots «en aucun cas» pour insister sur le fait que toutes les données qui seront... qui seront dans le registre, qui pourront être accessibles, qui seront traçables, que le ministre ne peut en aucun cas les utiliser à des fins de profilage des personnes afin de, je dirais, de rassurer les gens que ces données-là ne seront pas utilisées pour faire du profilage.

La Présidente (Mme Poulet) : Est ce qu'il y a des interventions sur l'amendement? M. le ministre.

M. Caire : Bien, peut-être préciser que, pour des raisons logistiques, on ne va pas donner suite à l'amendement parce que, puis Me Bacon pourra confirmer, le fait, quand on dit «ne peut», ça ferme la porte à tout. Il n'y a aucune possibilité dans le langage juridique. Donc, toutes ces formulations-là, là, il faut le voir dans l'ensemble du corpus législatif du gouvernement, où on utilise cette formulation-là et où on utilise cette formulation-là en disant : Il n'y a aucun cas où on pourrait le faire. Donc, il y a des formulations différentes qui pourraient ouvrir la porte. Mais ici, le fait de dire «ne peut utiliser», c'est en aucun cas. Donc, légistiquement, c'est parce que, là, dans les prochains projets de loi, ça voudrait dire que cette formulation-là, on pourrait laisser entendre que cette formulation-là, si on la modifie, ouvre la porte à quelque chose, et ce n'est pas le cas. Donc, pour des raisons légistiques, Mme la Présidente, on ne pourra pas donner suite à l'amendement. Mais je veux rassurer la collègue par contre, par rapport à l'amendement qu'elle apporte, la formulation telle qu'elle est présentement, sa finalité, c'est ce que Mme la députée de La Pinière souhaite par son amendement. Puis ça, je tiens à le dire à micro ouvert, parce qu'on sait que, dans l'interprétation d'une loi, ce qu'on dit dans nos travaux peut être considéré. Et «ne peut», ici, veut dire «en aucun cas».

La Présidente (Mme Poulet) : Est ce qu'il y a d'autres interventions?

Une voix : Non.

Mme Setlakwe : Rapidement, merci pour l'explication. Mais peut-être que d'un point de vue, ne peut pas créer ce précédent au niveau de la légistique, bien, c'est rassurant d'avoir cet échange au micro étant donné que la question du profilage suscite des préoccupations légitimes. Merci, Mme la Présidente.

La Présidente (Mme Poulet) : Est ce qu'il y a d'autres interventions? Alors, Mme la députée de La Pinière?

Mme Caron : Non, ça va. Merci. C'est parfait.

La Présidente (Mme Poulet) : Alors, on va procéder à la mise aux voix. Est-ce que l'amendement est adopté?

Des voix : Rejeté.

La Présidente (Mme Poulet) : Rejeté. Alors, nous allons poursuivre les discussions sur l'article 10.7.

Mme Setlakwe : On aurait d'autres amendements, Mme la Présidente, qui ont été soumis dans Le Greffier.

La Présidente (Mme Poulet) : Oui. Alors, on va suspenses quelques instants, s'il vous plaît.

(Suspension de la séance à 11 h 58)

(Reprise à 12 h 03)

La Présidente (Mme Poulet) : Alors, on reprend nos travaux. La députée de Mont-Royal-Outrement a déposé un amendement. Alors, on vous écoute.

Mme Setlakwe : Oui. Merci, Mme la Présidente. Donc, on propose de modifier l'article 10.7 de la Loi sur le ministère de la Cybersécurité et du Numérique, tel que proposé par l'article 6 du projet de loi, par l'insertion, à la fin du troisième alinéa, de la phrase suivante : «Aucune dérogation ne peut être accordée par le gouvernement.»

La Présidente (Mme Poulet) : Des interventions?

Mme Setlakwe : Donc, ici, c'est encore une fois pour ajouter un niveau de protection, étant donné les préoccupations qui ont été mises de l'avant par différents groupes, notamment, il y a la Ligue des droits et libertés, mais il y en a plusieurs autres, là, qui sont préoccupés par la question du profilage. Puis là on comprend, au fil des échanges, qu'il y a une interdiction stricte au niveau... bien, que le ministre ne peut utiliser ces données, qui réfère aux données numériques gouvernementales, à des fins de profilage des personnes. D'ajouter qu'aucune dérogation ne peut être accordée par le gouvernement pourrait, on l'estime, ajouter un niveau de rassurance. Merci.

La Présidente (Mme Poulet) : M. le ministre.

M. Caire : Oui... Bien, en fait...

M. Caire : …non, parce que, dans la façon dont l'article est libéré… libellé, il n'y a pas de pouvoir de dérogation. Donc, même si on voulait, il faudrait qu'on précise qu'il y a des dérogations. Quand on dit : «Ne peut les utiliser», puis c'est un petit peu ce que je disais à Mme la députée de La Pinière, ce n'est d'aucune façon. Donc, je ne peux pas accorder de dérogation, parce que, sinon, je devrais prévoir ce pouvoir-là dans la loi. Or, il n'est pas prévu. Donc, à partir de là, c'est implicite que, comme je n'ai pas le pouvoir de donner de dérogation, je ne peux pas en donner.

Mme Setlakwe : Parfait, je comprends. Et donc il y aurait… s'il y avait une possibilité de déroger à ce principe, on aurait utilisé des mots comme… comme quoi, disons? On l'aurait…

M. Caire : …on aurait… on aurait nommé les exceptions : Sauf dans les cas suivants. C'est ça.

Mme Setlakwe : Non, parce que, si on dit «sauf dans les cas suivants», là, ce n'est pas une dérogation, mais on utilise quel genre de libellé quand on ouvre la porte à des dérogations possibles?

M. Caire : Bien, je vais laisser… je vais laisser Me Bacon…

La Présidente (Mme Poulet) : Me Bacon.

Mme Bacon (Nathalie) : Oui, Mme la Présidente. Alors, si on rédige, grossièrement : virgule, à moins que le gouvernement ne consente une dérogation. Tu sais, il faudrait que ce soit… que le pouvoir habilitant de déroger soit prévu par la loi. Autrement dit, le gouvernement ne peut pas aller contraire à la loi sans l'assise d'un pouvoir habilitant.

Mme Setlakwe : Merci pour l'explication, mais comment on peut boucler la boucle, étant donné qu'à… quand on énonce le contenu du registre, on a les cinq paragraphes, mais c'est une liste qui est non limitative. On utilise spécifiquement le terme «notamment», le registre doit notamment permettre, un, deux, trois, quatre, cinq, puis cinq, c'est «toute autre fonctionnalité déterminée par règlement du ministre». Est-ce qu'indirectement on pourrait ouvrir la porte à une nouvelle fonctionnalité ou une nouvelle… un nouveau type de données et qu'indirectement on pourrait ouvrir la porte à du profilage par le fait que le registre n'est pas… le contenu du registre n'est pas exhaustif?

M. Caire : Non, le… en fait, il faut… l'article 5, il faut le lire, évidemment, un peu comme on l'a fait avec l'article 4, dans le contexte du deuxième… troisième alinéa, ça, c'est, le deuxième, troisième? En tout cas, l'alinéa qui dit qu'il n'y a pas de profilage, et dans le contexte de la loi 25. Donc, non, le profilage ne serait pas permis. Ce n'est pas un usage qui pourrait être donné par règlement par le gouvernement du Québec, parce que, comme je l'ai dit, cette dérogation-là, elle est interdite. Il n'y a pas de pouvoir habilitant. À partir de là, l'article 5 n'a pas pour objet de donner un pouvoir habilitant sur une dérogation.

Mme Setlakwe : Oui, s'il y a une précision, peut-être, parce que la question de la fonctionnalité, ça ouvre la porte à… On a compris qu'on voulait offrir une flexibilité puis permettre de ne pas revenir… à la loi… dans… à une modification à la loi quand on… quand les… fil du temps, quand il y a une évolution au niveau des systèmes, mais j'aimerais entendre la légiste, là, qui pourrait nous expliquer que la porte est vraiment fermée à ce qu'une autre fonctionnalité ne puisse pas ouvrir la porte à du profilage.

La Présidente (Mme Poulet) : Me Bacon.

Mme Bacon (Nathalie) : Oui, Mme la Présidente. Le paragraphe que vous voyez, où qu'on prévoit «toute autre fonctionnalité déterminée par règlement du ministre», c'est inspiré de deux dispositions récentes où qu'il y a création de registres, donc, dans le p.l. trois, pour la gouvernance des renseignements de santé, qui est l'article 76. vous retrouvez ce pouvoir habilitant là. Et également lors de l'étude… Le p.l. 15… le pl 23, excusez-moi, là, qui a modifié la Loi sur le ministère de l'Éducation, avec M. Drainville. Donc, l'article 6.1 de la M15, qui prévoit également ce type de libellé

et je vous rapporte les propos de M. Drainville, qui a expliqué à la commission parlementaire ici, qu'est-ce qui était entendu par ce type de «toute autre fonctionnalité». Et M. Drainville avait donné l'exemple qu'en matière de sécurité, par exemple, ce pourrait être intégrer une nouvelle mesure de sécurité à ce système, dont, entre autres, un exemple était une mesure de sécurité. Ça fait que ça, c'est vraiment de la technicalité et de l'opérationnalité.

Mme Setlakwe : Merci. Merci, Me Bacon. Merci, Mme la Présidente. Donc, ça va pour l'amendement, mais on a quand même d'autres interventions sur la… sur l'article 10.7.

La Présidente (Mme Poulet) : O.K. Alors, on va procéder à la mise aux voix. Est-ce que l'amendement...

La Présidente (Mme Poulet) : ...est adopté? Rejeté. Alors, on poursuit les discussions sur l'article 10.7.

Mme Setlakwe : Merci, Mme la Présidente. Au niveau du profilage, je vous... je vous cite ici la Ligue des droits et libertés dans son mémoire. Bon. Eux considéraient que l'interdit énoncé à 10.7 est ambigu. Je pense qu'on a échangé là-dessus. L'interdit... L'interdit est clair. C'est-à-dire qu'il n'y a pas de... En soit, l'interdit est clair, «le ministre ne peut, de façon... c'est implicite, en aucun cas utiliser ces données à des fins de profilage des personnes.» Mais eux demandent : Que vise-t-on par «ces données»? Et ils poursuivent en disant : «Les données du... bon, du registre de l'identité numérique nationale, les attributs d'identité et ou de ces activités, accès, communications.» On vise les données du... les attributs d'identité, je présume?

M. Caire : Je ne suis pas sûr que je suis ce qu'ils veulent dire, pour être honnête avec vous.

• (12 h 10) •

Mme Setlakwe : Ils disent : «Les données du du registre et ou de ses activités, accès, communications.» Mais c'est qu'il y a les... il y a les attributs d'identité eux-mêmes, mais il y a aussi les activités en lien avec le registre, c'est-à-dire y accéder ou communiquer des informations. Donc, quand on dit qu'on ne peut utiliser ces données, c'est l'ensemble de ce que le registre permet de faire, c'est les attributs d'identité en soi, mais c'est les... c'est les... évidemment...

M. Caire : C'est ça. C'est tout ce qu'il y a dans le registre. Non, parce que je voulais la précision parce qu'on dit nommément, au deuxième paragraphe, que le registre permet la communication entre organismes publics de ces données, là. Donc, ça, je voulais préciser que, oui, la communication, elle est permise.

Mme Setlakwe : Mais c'est toujours dans l'optique d'offrir une prestation de service bien définie?

M. Caire : Prestation de service, c'est ça, et non à des fins de profilage.

Mme Setlakwe : Eux, ce qu'ils disent, c'est que, bon, il y a... c'est une opération. Pour eux, l'interdiction concerne uniquement le ministre. Bon. On l'a déterminé, que c'est les ministères et organismes aussi par le biais de la loi 25.

M. Caire : C'est ça.

Mme Setlakwe : Et ne vise que le profilage. L'opération profilage, pour eux, c'est une opération très délimitée dans la mesure où elle consiste à évaluer certaines caractéristiques d'une personne physique. C'est effectivement ce qu'on... ce qu'on dit dans la définition.

M. Caire : C'est un des éléments de la définition.

Mme Setlakwe : Bien, «le profilage s'entend de la collecte et de l'utilisation de renseignements personnels afin d'évaluer certaines caractéristiques d'une personne physique, notamment à des fins d'analyse.» Mais c'est... on est toujours dans l'évaluation de certaines caractéristiques physiques d'une...

M. Caire : Oui.

Mme Setlakwe : ...caractéristiques d'une personne physique. Eux poursuivent en disant : »Il y a bien d'autres façons d'utiliser les données, application de la loi, enquête policière, intelligence artificielle, recherche, etc.»

M. Caire : ...qui pour la recherche dans la loi 25, qui pour la biométrie. Mais l'intelligence artificielle... En fait, la loi 25 aussi prévoit, parce qu'évidemment elle est technologiquement neutre, donc il n'y a pas de référence à une technologie en particulier. Mais, dans l'utilisation des données par des systèmes d'information, la loi 25 prévoit quand même un certain nombre d'éléments. Vous avez aussi la Loi concernant le cadre juridique des technologies de l'information plus spécifiquement sur la biométrie et notamment sur l'utilisation par des forces policières de sites de cette... de ces informations-là, qui sont proscrites. Donc, article 42 de la Loi concernant le cadre juridique des technologies de l'information, notamment. Mais je dis 42, de mémoire, là, mais c'est... si ce n'est pas 42, c'est 41 ou 43, là. Et, évidemment, vous avez maintenant la loi 82 qui va modifier la LJGL.

Mme Setlakwe : O.K. Donc, c'est l'ensemble de la législation qu'il faut considérer.

M. Caire : Bien oui?

Mme Setlakwe : Évidemment, et qui couvre les éléments qui ont été évoqués par la Ligue des droits et libertés. Mais je trouve intéressant le libellé qu'ils proposent, qui est beaucoup plus... beaucoup plus direct, beaucoup plus précis. Et ils s'inspirent du Commissariat à la protection de la vie privée du Canada. Et ce sera le dernier point que je vais soulever dans leur mémoire. Pour la Ligue des droits et libertés, le système d'identité numérique national doit être dédié exclusivement à l'identification et l'authentification des personnes. On s'entend que c'est ça, l'objectif, bien, pour des fins de prestation de service. La loi devrait interdire clairement toute autre utilisation, et ce, par quiconque. Ça, on a commencé à en parler. C'est, du reste, ce que recommandent les commissaires à la...

Mme Setlakwe : ...vie privée dans leur résolution commune, les renseignements... et là il cite cette résolution, les renseignements personnels contenus dans un écosystème d'identités ne devraient pas être utilisés à d'autres fins que l'évaluation et la vérification de l'identité ou à d'autres fins autorisées qui sont nécessaires pour fournir les services. Les écosystèmes ne devraient pas permettre le suivi ou le traçage de l'utilisation des justificatifs d'identité à d'autres fins. C'est un libellé qui, clairement, est le résultat d'une réflexion approfondie, je trouve qu'on... je le trouve excellent et je me dis : Comment se fait-il qu'on n'a pas énoncé ce principe dans notre projet de loi?

M. Caire : Parce que, comme je vous disais, ça va à l'encontre, puis on avait cette discussion-là, vous et moi, ça va à l'encontre, notamment, du fait que l'identité numérique nationale pourrait servir, par exemple, à la prestation de services. Et là je vous ramène au paragraphe 2 de l'article 10.7, quand on dit : «la communication entre organismes publics de ces données», ce qui, selon le libellé que vous venez de mentionner, serait donc interdit, puisque cette communication là se fait à d'autres fins que la seule identification authentification. Et, à ce moment là, bien, tout le principe de la transformation numérique, principe qui est appliqué, dites-le-nous une seule fois., bien, ce principe-là n'est plus viable, on ne peut plus l'appliquer, parce que ça veut dire qu'on ne peut pas transmettre les données d'identité numérique à un organisme public à des fins de prestation de services, puisque cette fin-là dépasse la stricte finalité de l'identification et de la l'authentification.

Mme Setlakwe : Mais dans leur libellé, je vous entends, là, on dit quand même : «ou à d'autres fins autorisées qui sont nécessaires pour fournir le service». Dans le fond, ce que vous dites, c'est que le libellé actuel dit la même chose.

M. Caire : Bien oui, le libellé actuel... bien, il ne dit pas la même chose, c'est-à-dire que...

Mme Setlakwe : ...

M. Caire : Oui, sur le fond, il dit que la finalité de l'identité numérique nationale, c'est de fournir... puis, premièrement, c'est le cadre législatif, c'est de fournir une identité numérique aux citoyens qui... qui le désirent, qui le désirent, dans le but d'accéder aux prestations électroniques des services. Et là, à l'article 10.7, on vient quand même paramétrer ça par rapport... pour répondre, pardon, aux préoccupations notamment de la Ligue des droits et libertés, par le fait que, oui, on peut s'en servir à d'autres fins qui sont... mais qui sont des fins de prestation de services. Je réitère qu'il faut toujours considérer la loi n° 82, éventuellement si elle est adoptée dans le contexte de la loi n° 25, et on ajoute à ça la spécificité que le ministre ne peut utiliser ces données a, a manifestée, c'est le fait qu'elle ne veut pas que le gouvernement se transforme en Big Brother. C'est comme ça que je le comprends. Et le deuxième et le troisième alinéa répondent à cette préoccupation-là spécifiquement, mais permettent aussi au gouvernement une utilisation, puis là je ne ferai pas tout le laïus que j'ai fait, mais qui améliore la qualité des services, qui améliore la qualité de la sécurité de l'information et la protection des renseignements, etc... pardon, qui est aussi une préoccupation manifestée par la Ligue des droits et libertés.

Mme Setlakwe : Merci. Je pense, c'est très important qu'on aille au fond des choses puis qu'on... toujours dans l'optique de rassurer la population. Donc, merci de... pour cet échange.

On aurait. Mme la Présidente, un amendement qu'on aimerait discuter, soumettre et discuter.

La Présidente (Mme Poulet) : Parfait. Alors, on va suspendre quelques instants.

(Suspension de la séance à 12 h 18)

(Reprise à 12 h 21)

La Présidente (Mme Poulet) : Alors, on reprend nos travaux. La députée de Mont-Royal-Outremont... a déposé un amendement. Alors, Mme la députée.

Mme Setlakwe : Oui. Merci, Mme la Présidente. Donc, nous avons un amendement, un autre amendement à l'article 10.7. On propose de modifier l'article 10.7 de la Loi sur le ministère de la Cybersécurité et du Numérique, tel que proposé par l'article 6 du projet de loi, par l'ajout, à la fin du dernier alinéa, de l'alinéa suivant :

«La Commission d'accès à l'information du Québec, CAI, en fait l'audit annuellement.»

Donc, l'article modifié se lirait comme suit... À la fin de 10.7, le libellé actuel dit : «Le ministre ne peut utiliser ces données à des fins de profilage des personnes. Le profilage s'entend de la collecte et de l'utilisation de renseignements personnels afin d'évaluer certaines caractéristiques d'une personne physique, notamment à des fins d'analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne.» L'ajout : «La Commission d'accès à l'information du Québec, CAI, en fait l'audit annuellement.»

Étant donné, Mme la Présidente, les préoccupations, encore une fois, qui ont été mises de l'avant par rapport au profilage et, bon, l'importance d'avoir des mécanismes de surveillance, un organisme indépendant... il est important, là, qu'un organisme indépendant puisse être chargé de surveiller l'usage des données et de s'assurer du respect des droits des citoyens. C'est vraiment... c'est vraiment de base. Alors, on propose que... de dire explicitement que la CAI doit faire l'audit de cette opération du nouveau registre annuellement. Merci.

La Présidente (Mme Poulet) : Interventions?

M. Caire : ...Mme la Présidente, encore une fois, la Commission d'accès à l'information a vraiment tous les pouvoirs. Elle a le pouvoir d'enquête, elle a le pouvoir d'exiger toute documentation qu'elle juge nécessaire, elle a le pouvoir de prendre des ordonnances si nécessaire. La LCCJTI lui donne aussi d'autres pouvoirs, là, éventuellement, sur les banques de données biométriques qui doivent lui être transmises à l'avance, si tant que telle banque de données devait être reconstituée. Elle a le pouvoir de vérifier que les banques de données sont utilisées aux fins pour lesquelles elles ont été constituées. Elle peut ordonner des modifications, elle peut ordonner la suppression des... Elle a vraiment tous les pouvoirs et toute la latitude.

Moi, je pense que tout ce qu'on fait ici, c'est l'obliger à faire une vérification même si elle juge que ce n'est pas nécessaire. Moi, je pense qu'il faut au contraire laisser la latitude à la Commission d'accès à l'information de poser les gestes qu'elle juge... qu'elle juge nécessaires.

Mme Setlakwe : Je comprends. Merci, M. le ministre, je comprends que la CAI a tous les pouvoirs, mais là la CAI est débordée, on ne fait qu'ajouter de la nouvelle législation, des obligations de rapporter des incidents, etc. On le sait, là, on entend la CAI venir faire des représentations en commission. Donc, quand on pose la question s'ils ont les ressources, la réponse n'est pas toujours rassurante ici, toujours dans l'optique de...

Mme Setlakwe : ...la population, parce qu'on veut que la population participe à l'identité numérique. C'est quand même le but, là, c'est qu'on... c'est qu'il y ait une adhésion de la population. Puis je pense qu'entre se faire dire : Bien, la CAI a tous les pouvoirs, ils n'ont qu'à intervenir s'ils le jugent approprié, et d'avoir un... d'enchâsser dans la loi une obligation annuellement de faire l'audit de ce nouveau système, de ce nouveau registre, il me semble que ça va de soi que ça pourrait rassurer la population davantage et favoriser une adhésion... une bonne adhésion au projet.

M. Caire : Bien, je ne partage pas le point de vue ma collègue, là. Je pense que la CAI a les outils, a les pouvoirs, a la latitude d'agir là où elle l'entend, comme elle l'entend. Ce qu'on vient faire ici, c'est lui faire obligation d'un audit annuel. Et donc ça veut dire qu'à chaque année la CAI va faire cet audit-là. Même si la CAI juge que ce n'est pas approprié, que ce n'est pas nécessaire, qu'il n'y a pas de raison de faire ça, la loi va l'obliger à le faire. Donc, je pense que... je ne suis pas sûr que ça va rassurer le citoyen. Moi, je pense que ce qui rassure le citoyen, c'est quand on donne effectivement tous les outils à la CAI pour faire son travail, ce qui est le cas. Et de faire une obligation d'un audit annuel... tu sais, là j'imagine la présidente de la CAI puis... de dire : Bien, écoutez, non, je pense que ce n'est pas nécessaire, l'audit de l'année passée nous a satisfaits sur la façon dont les choses se déroulaient, mais la loi m'oblige à faire un audit, donc je vais utiliser des ressources pour faire un audit que je juge qui n'est pas nécessaire. Non, moi, je ne partage pas le point de vue de ma collègue, là.

La Présidente (Mme Poulet) : Est-ce qu'il y a d'autres interventions?

Mme Setlakwe : Oui. Bien, je pense qu'à la lumière de tout ce qui se dit dans l'actualité, à la lumière des différents incidents passés, on amorce un... on amorce d'autres chantiers majeurs du... de la transformation numérique de l'État, puis je suis un peu étonnée, là, de la réponse du ministre, qui prétend que le régime actuel est suffisant, le libellé actuel est suffisant, la CAI a tous les pouvoirs, il me semble que, de façon proactive, il faut mettre des mécanismes en place pour assurer un encadrement additionnel et adéquat.

M. Caire : Oui, Mme la Présidente.Bien, c'est parce que je veux rassurer la collègue. Je veux dire, déjà, les sources de données seront auditées annuellement. Là, ce que la collègue propose, c'est de rajouter un audit sur l'identité numérique nationale. C'est là où je dis : Mais pourquoi? Je veux dire, déjà la... comme source de données, le MCN va être audité annuellement par la CAI. Ça, c'est prévu par la loi. Puis là on va rajouter un autre audit annuel sur l'identité numérique nationale, qui va être basé sur la source officielle de données qui est déjà auditée annuellement par la CAI. C'est là où je dis : On fait des... Moi, je pense que, dans ce cas-là, la CAI devrait avoir la latitude de dire : Est-ce que l'identité numérique nationale doit être auditée compte tenu que moi, à chaque année, j'audite les sources de données officielles?

Mme Setlakwe : O.K., là, je comprends, puis c'est intéressant, puis je pense que la... c'était suite à l'échange avec la légiste, là, que cette précision a été... a été amenée, parce qu'initialement votre réponse, c'était : La CAI a tous les pouvoirs, ils n'ont qu'à le faire. Bon, là, dans un deuxième temps, suite à un échange avec votre légiste, je crois, il y a une précision qui a été fournie à l'effet que, de toute façon, c'est déjà prévu que la CAI fait l'audit du ministre à titre de source officielle des données.

M. Caire : ...des sources officielles de données, mais il n'est pas prévu qu'un tel audit se fasse pour l'identité numérique nationale. Et ce que je vous dis, c'est que je ne pense pas que ce soit nécessaire de faire un audit sur l'identité numérique nationale. Si la CAI veut le faire, évidemment, elle a le pouvoir de le faire, mais moi, je pense que ce n'est pas... que ce n'est pas nécessaire.

Mme Setlakwe : Oui, Mme la Présidente, je vois que le ministre reçoit des informations additionnelles de la part de sa légiste au fil des discussions. Est-ce qu'on peut... Est-ce qu'on peut l'entendre, s'il vous plaît?

La Présidente (Mme Poulet) : Mme Bacon, est-ce que vous voulez prendre la parole?

Mme Bacon (Nathalie) : Oui, Mme la Présidente.

La Présidente (Mme Poulet) : Allez-y.

Mme Bacon (Nathalie) : Lors d'une dernière séance, on a fait une énumération, là, des pouvoirs... des différents pouvoirs, des différentes dispositions qui s'appliquaient à LGGRI, notamment à l'article 10.6, troisième alinéa, on fait référence que, dans le cas du ministre qui est source, alors, les articles 12.16 à 12.19 s'appliquent, puis vous avez 12.17 qui a un audit, là, à la commission d'accès qui...

Mme Bacon (Nathalie) : ...qui est fait dans le cadre du ministre qui agit à titre de source, soit les sources, de façon générale, désignées en vertu d'un décret pris en vertu de 12.14, ou le ministre agissant à titre de source en vertu de 10.6. Là, vous êtes dans un autre contexte que le ministre nous dit : C'est... On ne peut pas mettre un deuxième audit en plus sur le registre parce qu'on en fait déjà un au niveau de la source. Ça fait que, dans le fond, son message, c'est que ce n'est pas... ce n'est pas nécessaire que vous le rajoutiez pour le registre.

Mme Setlakwe : Merci. Merci, Mme la Présidente. Je pense que ma collègue a aussi une intervention.

La Présidente (Mme Poulet) : Mme la députée de La Pinière.

Mme Caron : Merci, Mme la Présidente. Alors... Bien, juste sur ça, pour ma compréhension, quand on parle du ministre source, est-ce qu'on parle... ce n'est pas uniquement le ministre de la Cybersécurité et du Numérique, est-ce que... Je comprends que ce sont les ministres de tout ministère qui seraient une source de données ou je comprends mal les précisions qui ont été données?

• (12 h 30) •

M. Caire : Alors, dans la loi, effectivement, quand on parle du ministre, vu qu'on parle... qu'on est dans la LGGRI, c'est le ministre de la Cybersécurité et du Numérique. Mais cette obligation-là est faite pour la... Parce que, déjà, on est nommé comme source officielle... Donc, cette source-là est soumise à l'obligation d'audit, puis éventuellement les autres sources officielles de données qui seront mises en place ont la même obligation. C'est bien ça? C'est ça.

Mme Caron : Alors, par exemple, le ministre de la Santé ne serait pas une source officielle de données à raison du dossier santé?

M. Caire : ...c'est-à-dire qu'il l'est en vertu de la loi 3, que nous avons adoptée, qui crée le dépôt de renseignements de santé. Donc, ça le constitue officiellement comme une source officielle de données en santé. Puis, éventuellement, les autres sources de données seraient créées par un décret du Conseil des ministres.

Mme Caron :  Et ces autres sources de données, donc, que ce soit le ministre de la Santé ou que ce soit d'autres sources de données, seraient-elles toutes soumises aux articles de loi de... que la... Me Bacon vient d'énumérer?

M. Caire : Oui.

Mme Caron : Est-ce qu'une source de données pourrait être une source privée?

M. Caire : Non.

Mme Caron : Jamais?

M. Caire : Non.

Mme Caron : Jamais. O.K. Je pense que l'amendement qui était... qui est proposé par ma collègue et des amendements qu'on propose depuis tantôt... En fait, l'objectif, c'est de tenter de rassurer au sujet du profilage qu'il n'y aura pas de dérapage avec le profilage. On a mentionné rapidement tout à l'heure l'intelligence artificielle, mais il y a du profilage qui peut se faire par intelligence artificielle sans qu'on mette le doigt sur un bouton, je vais le dire ainsi, simplement par du traitement de données et... et c'est une... c'est une inquiétude. Est-ce... Je ne vois pas, mais peut-être qu'on peut me préciser, mais je ne vois pas dans le libellé comment on se protège contre ça. Et question que je pose, qui était dans le mémoire de l'AQT : Est-ce que... Puis je ne sais pas si on peut modifier le libellé, mais comment on pourrait rassurer les gens... Tu sais, quand on est... quand on fait... quand on utilise une application bancaire, par exemple, à partir d'un certain... on peut paramétrer pour qu'à partir d'un certain montant de transactions qu'on ait une notification, alors ça va arriver sur téléphone. Est-ce qu'on peut prévoir que, dans le cas de... Chaque fois que le registre est utilisé, que l'authentification est utilisée, est-ce qu'on peut prévoir quelque chose comme ça qui ferait que le citoyen, bien, il reçoit une notification si quelqu'un accède à ces renseignements, et puis à un moment donné, s'il voit que ça n'a comme pas de bon sang, puis il n'y a pas... il n'y a pas d'enjeu, qu'il pourrait avoir un mécanisme de... où il pourrait... il pourrait s'adresser pour dire : Mais il se passe quelque chose dans mon dossier, je n'ai pas... par exemple, je ne suis pas dans un état de santé qui requiert des soins, où là il pourrait y avoir plusieurs professionnels de la santé, par exemple, qui accéderaient à son dossier ou... Donc, en fin de compte, on essaie de trouver des moyens de rassurer les gens pour ne pas qu'il y ait de dérapage avec le profilage puis pour que... qu'on soit... que le citoyen puisse être au courant de ce qui se passe dans leur dossier. Parce que quelqu'un peut peut-être prendre l'habitude... je ne sais pas, ça deviendra peut-être une saine habitude dans nos vies dans quelques années, mais d'aller vérifier son dossier une fois par mois, mais, entre les quatre semaines...

Mme Caron : ...chaque fois où on va vérifier s'il y a eu des accès à notre dossier, il peut s'être passé quelque chose. Alors, c'est un petit peu ce qu'on essaie de faire avec les amendements qu'on propose qui sont rejetés depuis tantôt, mais est-ce qu'il y aurait moyen de... est-ce qu'il y a un moyen de prévenir le dérapage, donc, du profilage puis d'être proactif pour aviser le citoyen quand son dossier est accessible?

La Présidente (Mme Poulet) : M. le ministre.

M. Caire : Bien, Mme la Présidente, sur la base des amendements qui sont apportés, donc celui-là, avec la Commission d'accès à l'information, je pense que les mécanismes qui sont déjà en place devraient être de nature à rassurer. Parce que, dans le fond, l'amendement dit : Il faudrait qu'il y ait un audit annuellement de l'identité numérique nationale. Ce qu'on dit, c'est : Bien, ce n'est pas nécessaire parce que la Commission d'accès à l'information peut venir auditer le traitement qui est fait, peut... bon, a tous les pouvoirs, finalement, pour circonscrire ça, empêcher une utilisation qui ne serait pas aux fins pour lesquelles les renseignements ont été collectés. Et, en plus, il y a déjà une obligation d'audit des sources officielles de données. C'est pour ça qu'on dit : L'amendement, il n'est pas... il n'est pas nécessaire. Puis je pense que les mécanismes qui sont en place devraient déjà être de nature à rassurer les citoyens.

La Présidente (Mme Poulet) : Est-ce qu'il y a d'autres interventions?

Mme Caron : Non, ça va pour moi.

La Présidente (Mme Poulet) : Mme la députée d'Outremont... Mont-Royal—Outremont.

Mme Setlakwe : Oui. Bien, Mme la Présidente, on va avoir d'autres amendements pour tenter d'une autre façon de bonifier le libellé.

La Présidente (Mme Poulet) : Alors, s'il n'y a pas d'autre intervention, nous allons procéder à la mise aux voix. Est-ce que l'amendement proposé par la députée de Mont-Royal—Outremont est adopté?

Des voix : Rejeté.

La Présidente (Mme Poulet) : Alors, on poursuit les discussions sur l'article 10.7.

Mme Setlakwe : Est-ce qu'on a d'autres amendements qui sont... qui ont été soumis au Greffier, qui sont... qui n'ont pas encore été discutés?

La Présidente (Mme Poulet) : M. le secrétaire, est-ce que... Bon, on va suspendre quelques instants, s'il vous plaît.

(Suspension de la séance à 12 h 36)

(Reprise à 12 h 47)

La Présidente (Mme Poulet) : Oui. Alors, avant la suspension, la députée de Mont-Royal-Outremont a déposé un amendement. Alors, on vous écoute, Mme la députée.

Mme Setlakwe : Oui, Merci, Mme la Présidente. Donc, on propose un autre amendement à l'article 10.7. Nous proposons de modifier l'article 10.7 de la Loi sur le ministère de la Cybersécurité et du Numérique, tel que proposé par l'article 6 du projet de loi, par l'insertion, après le deuxième alinéa, de l'alinéa suivant :

«Le ministre doit rendre compte annuellement du registre à la commission compétente de l'Assemblée nationale.»

L'article modifié se lirait comme suit :

10.7 est institué le Registre de l'identité numérique nationale sous la responsabilité du ministre. Ce registre constitue un système de dépôt et de communication des données numériques gouvernementales. Ce registre doit notamment permettre :

1 la conservation sécuritaire pour le compte d'un organisme public de tout ou partie de ces données;

2 la communication entre organismes publics de ces données;

3 l'accès à ces données;

4 la traçabilité de tout accès au registre par une personne, que ce soit pour y déposer ces données, les utiliser ou en recevoir la communication;

5 tout autre fonctionnalité déterminée par règlement du ministre.

Le ministre doit rendre compte annuellement du registre à la commission compétente de l'Assemblée nationale. Le ministre ne peut en aucun cas utiliser ces données à des fins de profilage des personnes. Le profilage s'entend de la collecte et de l'utilisation de renseignements personnels afin d'évaluer certaines caractéristiques d'une personne physique, notamment à des fins d'analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne.

Voilà, Mme la Présidente.

La Présidente (Mme Poulet) : Il y a des interventions? Allez-y, Mme la députée.

Mme Setlakwe : Oui, s'il vous plaît. Donc, encore une fois, on est dans un élément central du projet de loi, un élément sensible. On parle du registre qui va contenir des renseignements sensibles, qui va permettre aux organismes publics et aux ministères d'offrir des prestations de services numériques gouvernementales, mais en utilisant, donc, les données dans le registre pour des fins d'identification, d'authentification. Le ministre est responsable de ce...

Mme Setlakwe : ...un registre d'identité numérique nationale. Et étant donné, donc, l'importance du projet, l'importance... le caractère sensible des données et le fait que ce soit un nouveau projet d'envergure, nous proposons donc d'ajouter cet élément qui ajoute un degré de protection pour la population dans le sens qu'on oblige le ministre à rendre compte annuellement du registre à la commission compétente de l'Assemblée nationale. Merci.

La Présidente (Mme Poulet) : Est ce qu'il y a des interventions? M. le ministre.

M. Caire : Oui, Mme la Présidente. Bien, encore une fois, je veux dire à ma collègue que 12.17 prévoit déjà une reddition de comptes sur les registres, qui est faite à la CAI. En plus, le ministère... Le ministère... Désolé, hein, j'ai un petit problème de gorge.

Mme Setlakwe : On ne vous entend pas bien. Peut-être vous... Je ne sais pas s'il y a moyen de descendre un peu votre micro de parler un peu plus proche parce qu'on vous entend à peine.

• (12 h 50) •

M. Caire : Oui. C'est l'écran... C'est l'écran qui est tannant. Donc, il y a déjà à 12.17, il y a déjà une reddition de comptes qui se fait à la Commission d'accès à l'information, et le ministère dépose annuellement son rapport annuel de gestion, là. Donc, il y a quand même une reddition de comptes qui se fait, là, à l'Assemblée nationale et à la Commission d'accès à l'information.

Mme Setlakwe : ...vous avez parlé de 12.17 de la LGGRI qui prévoit spécifiquement, donc, un rapport à la CAI, juste pour être sûrs qu'on boucle la boucle complètement.

M. Caire : Alors, «l'organisme public désigné comme source officielle de données gouvernementales doit, doit, dans le cadre de l'application de la présente section, soumettre à la Commission d'accès à l'information un rapport concernant les renseignements personnels recueillis, utilisés ou communiqués, dans les 45 jours suivant la fin de l'année financière». Plus le ministère a aussi, lui aussi, l'obligation de déposer annuellement son rapport annuel de gestion.

Mme Setlakwe : O.K. Puis dans le rapport annuel de gestion, est-ce qu'il va y avoir une rubrique spécifique sur le registre?

M. Caire : Bien oui. Compte tenu qu'on est dans la... dans l'application d'une responsabilité du ministère. Mais je veux juste être sûr par contre avant de... Parce que j'ai peut-être répondu un peu vite. J'aimerais ça que la collègue me précise ce qu'elle entend par un chapitre spécifique. Parce que dans le rapport annuel de gestion, là, c'est l'ensemble des... l'ensemble des opérations du ministère qui fait l'objet du rapport à l'Assemblée nationale, là.

Mme Setlakwe : Dans le rapport, oui, on essaie de décortiquer cette obligation de reddition de comptes et comment l'information est présentée dans le rapport annuel. Donc, est-ce qu'il va y avoir une rubrique? Je m'excuse, j'ai mal compris, est-ce qu'il va y avoir une rubrique spécifique sur l'identité numérique nationale et le registre?

M. Caire : Bien, on va état... Parce que là je veux être... C'est important qu'on soit précis. Si ma collègue, par exemple, est ce qu'on va faire un rapport sur les accès? Ça, c'est sûr que non, là. Donc, ce qui est de nature protégée, non, mais ce qui peut être de nature publique sur l'utilisation du registre d'identité numérique, oui. Alors, par exemple, bien, il pourrait y avoir combien il y a de comptes qui ont été créés, de façon générale combien il y a de comptes, mais je ne préciserai pas... Je pense que... Je ne sais pas si... Il y a des informations qui ne pourraient pas être de nature publique dans le rapport.

Mme Setlakwe : Non. On comprend ça.

M. Caire : O.K. Mais c'est pour ça que je veux être sûr que je comprends ce que ma collègue veut dire.

Mme Setlakwe : Mais, par exemple, quand... Juste me rappeler, donc, c'est en vertu de quel article, déjà, qu'il y a cette obligation de reddition de comptes, due à la LGGRI?

M. Caire : 12.17.

Mme Setlakwe : 12.17.

M. Caire : Oui.

Mme Setlakwe : Donc, «la source officielle de données gouvernementales», vous êtes déjà source officielle de données gouvernementales.

M. Caire : Par... Alors, si l'Assemblée adopte la loi n° 82, ça va le devenir par législation.

Mme Setlakwe : O.K. Et vous devez déjà soumettre à la CAI un rapport concernant les renseignements personnels recueillis, utilisés ou communiqués, dans les 45 jours suivant la fin de chaque année financière.

M. Caire : Oui.

Mme Setlakwe : Lequel rapport comprend une description des renseignements personnels recueillis ou qui ont été communiqués ainsi que leur provenance. Donc, votre rapport, dorénavant ou suite à l'adoption présumée du projet de loi, va inclure une description des renseignements personnels recueillis ou qui ont... ou qui vous ont été communiqués...

Mme Setlakwe : …ainsi que leur provenance dans le cadre du… de l'identité numérique nationale.

M. Caire : Dans la mesure où on ne communique pas de renseignements qui seraient préjudiciables aux citoyens.

Mme Setlakwe : Oui, et donc il y aurait aussi…

M. Caire : Parce qu'il y a une nuance. Les informations qu'on peut communiquer à la CAI ne peuvent pas être toutes rendues publiques. La CAI a un pouvoir d'avoir accès à des informations qui ne seraient pas nécessairement des informations qu'on pourrait rendre publiques.

Mme Setlakwe : Très bien. Il y aurait aussi, donc, dans ce rapport, les noms des organismes publics à qui sont communiqués des renseignements personnels.

M. Caire : …parce qu'encore là ça reviendrait à faire une forme de trace, de... qui...

Mme Setlakwe : Non, mais généralement de savoir quels organismes publics participent à l'identité numérique nationale...

M. Caire : Oui, oui, oui. Oui, O.K., dans ce sens-là, je comprends la question, parce que j'avais compris : Est-ce que le rapport va contenir les organismes publics à qui on aura transmis des informations? Non, évidemment pas.

Mme Setlakwe : Mais est-ce qu'on peut… Est-ce qu'on peut soumettre à la commission un rapport précédent qui aurait été soumis à la CAI, en vertu de 12.17? Peut-être ça vaudrait la peine qu'on rassure… qu'on mentionne quel genre de rapport est déjà soumis à titre de source officielle.

M. Caire : Écoutez, Mme la Présidente, la députée, comme membre de l'Assemblée nationale, peut faire cette demande-là, très certainement. Vous comprendrez que moi, comme ministre, je ne vais pas dans les travaux de la Commission d'accès à l'information.

Mme Setlakwe : Non, non, mais si on…

M. Caire : La présidente de la CAI est un officier de l'Assemblée nationale, mais pas un officier du gouvernement.

Mme Setlakwe : Non, je comprends, mais j'avais compris que le ministre, comme source officielle de données, produisait un rapport.

M. Caire : Oui.

Mme Setlakwe : Bien, c'est ça, c'est ce rapport-là qui pourrait être déposé, non?

M. Caire : Bien, comme je vous dis, comme ministre, moi, je ne vais pas exiger de la CAI qu'elle…

Mme Setlakwe : Donc, c'est un… O.K., ce n'est pas un document public, évidemment.

M. Caire : Non. Non, c'est ça que je vous disais, c'est que la CAI a accès à des informations qui ne sont pas… de par son statut, mais par son mandat, à des informations qui ne sont pas nécessairement de nature publique. Donc, est-ce que le rapport qui est fait à la CAI sera transposé dans le rapport annuel de gestion? Non. Bien sûr que non, parce qu'il y aurait potentiellement, puis je dis bien «potentiellement», là, il faudrait l'analyser de façon exhaustive, mais il pourrait y avoir un préjudice causé… causé, pardon, aux citoyens.

Mme Caron : J'ai une question, Mme la Présidente.

La Présidente (Mme Poulet) : Oui, Mme la députée de La Pinière, on vous écoute.

Mme Caron : Merci, Mme la Présidente. Alors, juste pour clarifier ce qui a été dit, tout à l'heure, par le ministre, le rapport contient… pourrait contenir le nom des organismes publics qui participent à l'identité numérique nationale, mais pas les organismes publics à qui on a donné de l'information. Est-ce que c'est… est-ce que j'ai bien compris, ça?

M. Caire : Vous avez bien… vous avez bien compris.

Mme Caron : J'ai bien compris. Mais est-ce qu'un organisme public qui participe à l'identité numérique nationale ne participe pas justement, pour pouvoir utiliser l'identité numérique nationale, en y mettant, disons, sa source de… sa source de données, et aussi pour utiliser ce dont il a besoin pour offrir les services qui sont dans... qui sont dans la source. C'est comme… comment… comment un organisme public ne mettrait que, dans le registre, les informations qu'il détient déjà, sans jamais… sans jamais y retourner.

M. Caire : Bien, c'est-à-dire que… Là, je ne suis pas sûr que je comprends, mais je vais tenter une réponse, puis vous me direz si… C'est-à-dire qu'un organisme qui recevrait des renseignements personnels via la source officielle de données n'est pas nécessairement un organisme qui participe à l'identité numérique nationale. Par exemple, la Régie d'assurance maladie du Québec est un organisme participant, bien sûr. L'Agence du revenu est un organisme participant, mais, par exemple, dans l'utilisation prévue de l'identité numérique nationale, le ministère du Tourisme pourrait recevoir des informations via l'identité numérique nationale, sans nécessairement être participant à la même identité numérique nationale. Donc, ce n'est pas exactement la même chose. Puis ce qu'on dit, c'est que, du fait de ne pas...

M. Caire : ...ne pas surveiller le citoyen dans ses comportements. Clairement, on ne peut pas rendre compte de... oui, à qui... avec qui le citoyen a fait affaire en utilisant l'identité numérique nationale. Puis, ça, ça va à l'encontre de la discussion... puis je sais que vous êtes... vous êtes d'accord avec ça, ça va à l'encontre de la discussion qu'on a eue, vous et moi.

Mme Caron : Alors, pour reprendre ces exemples-là, dans le rapport, disons, il y aurait la RAMQ puis Revenu Québec, parce que ce sont des organismes publics qui participent à... qui participeraient à l'identité numérique nationale, mais il n'y aurait pas le ministère du Tourisme qui obtiendrait des renseignements de... qui validerait une identité en utilisant l'identité numérique nationale, mais sans y mettre des données, par exemple.

M. Caire : C'est ça.

Mme Caron : Donc, son nom ne serait pas dans ce rapport des... Alors, il y a... Autrement dit, on a... on a des participants qui sont... on aura des participants qui sont des organismes...

La Présidente (Mme Poulet) : Je m'excuse de vous interrompre mais, compte tenu de l'heure, je dois suspendre les travaux jusqu'à 15 h.

(Suspension de la séance à 13 heures)

(Reprise à 15 h 05)

Le Président (M. Rivest) : Alors, la Commission des finances publiques reprend ses travaux.

Nous poursuivons l'étude détaillée du projet de loi n° 82, Loi concernant l'identité numérique nationale et modifiant d'autres dispositions.

Alors, lors de la suspension des travaux cet avant-midi, nous étions à l'étude de l'amendement de la députée de Mont-Royal—Outremont. Nous allons proposer à ce stade-ci, je vais avoir besoin de votre consentement pour suspendre l'étude de l'amendement, afin d'étudier l'amendement du député de Maurice-Richard. Est-ce qu'on a consentement?

Des voix : Consentement.

Le Président (M. Rivest) : Alors, M. le député.

M. Bouazzi : Excellent! Donc...

Des voix : ...

M. Bouazzi : Exact. Exact. Parfait.

Le Président (M. Rivest) : On vous écoute.

M. Bouazzi : Merci beaucoup, M. le Président. Et merci à mes chers collègues de m'accommoder pour pouvoir participer à cette commission. Donc, je lis l'amendement : À l'article 17 de la Loi sur le ministère de la Cybersécurité et du Numérique, introduit par l'article 6 du projet de loi. Insérer, après le paragraphe 5° du deuxième alinéa, les alinéas suivants : Les données ne peuvent être utilisées à des fins... qu'à des fins d'authentification et d'identification. En ce sens, elles ne peuvent pas être utilisées pour désigner l'admissibilité des personnes à un programme ou à une prestation ni pour mettre en place un système de décision automatisé, à l'exception des décisions liées exclusivement à l'authentification et à l'identification.

Ça fait que, peut-être, avant de développer, parce que je ne voudrais pas prendre du temps sans... énormément pour rien, j'aurai... Ça s'explique assez bien, là. L'idée ici, c'est de dire les données que le gouvernement ramasse sur les... qui sont très personnels, on s'entend, sur les citoyens et citoyennes québécoise ne doivent servir qu'à authentifier et identifier les citoyennes et citoyens et pas à faire autre chose. Donc, déjà, avant de développer, est-ce que le ministre aurait des objections à l'adopter, tout simplement?

M. Caire : Mais en fait, M. le Président, oui, parce que, puis je veux quand même prendre le temps d'expliquer au député de Maurice-Richard, c'est une discussion qu'on a eue avec notamment Mme la députée de La Pinière et Mme la députée de Mont-Royal—Outremont, puis si on regarde le paragraphe 2° de l'article 10.7 qui dit : «la communication entre organismes publics et ses données». Puis l'objectif, M. le député, c'est de dire, par exemple, vous, comme citoyen, vous vous servez de l'identité numérique nationale, mais vous le faites dans une perspective de vous brancher à une prestation électronique de service. Et il est à supposer que cette prestation électronique de service là aura besoin de renseignements concernant votre identité. Donc, si on allait dans le sens de l'amendement, ce qui se passait techniquement, c'est qu'une fois que je vous ai identifié, authentifié, j'arrête ça là, je vous transfère à la prestation de service, et là il revient à l'organisme public de recueillir vos renseignements personnels pour être capable de vous donner la prestation électronique de service que vous souhaitez obtenir. Deux choses. Donc, je pose des questions pour lesquelles j'ai déjà la réponse, mais parce que j'ai fait ce cloisonnement-là, je vais obliger des citoyens à redonner des informations que je possède déjà. Et, autre chose, autre désavantage, je force l'organisme à collecter des renseignements et, potentiellement, à les conserver. Or, l'objectif, c'est d'épurer les nombreuses bases de données qui existent au gouvernement du Québec...

M. Caire : ...ce type de renseignement là à des fins de sécurité de l'information, justement, de façon à ce que, s'il arrivait un incident de sécurité, bien, on n'a pas le pactole au complet, notamment les renseignements qui sont en lien avec la prestation électronique de services que vous utilisez, ça peut être Revenu Québec, ça peut être santé, ça peut être éducation, plus vos renseignements d'identité. Donc, c'est un peu ça, là, il y a un double objectif là-dedans : de commodité pour le citoyen, de faciliter d'obtenir les renseignements, de fluidité, d'efficience et un objectif de cybersécurité.

Ceci étant dit, il faut lire le projet de loi n° 82, M. le député, dans le contexte de la loi 25. Donc, la loi 25 prescrit quoi? Qu'un renseignement, un renseignement personnel, s'entend, qui est collecté, les finalités pour lesquelles on le collecte doivent être énoncées au citoyen de façon claire, le consentement est requis. Normalement, selon la loi, je ne peux pas transférer les... ces renseignements-là ou je ne peux pas les utiliser à d'autres fins que ce pour quoi je les ai collectés. Donc, on comprend que, dans l'interprétation de la loi 25, si on exécute ça, il faudra avoir le consentement du citoyen. Et là je pense qu'on rejoint un peu... on rejoint un peu ce que vous souhaitez, c'est-à-dire qu'on ne peut pas non plus donner des renseignements personnels à n'importe qui sous n'importe quel motif. On s'entend que ça ne peut pas arriver. Et l'idée de l'article 10.7, qui se lit non seulement dans sa globalité, mais qui se lit aussi dans l'interprétation de la loi 25, nous amène à cette finalité-là.

• (15 h 10) •

M. Bouazzi : On va essayer de démêler ce que vous dites. Et, d'entrée de jeu, je suis prêt à faire évoluer la proposition qu'on fait. Ceci étant dit, sur la question du consentement et du fait d'accumuler des données sur les citoyens, je signale au ministre qu'il y a des expériences actuellement en matière d'intelligence artificielle, par exemple, où l'État accumule des données sur nos enfants, leurs notes à l'école, leurs absences, leurs nombres de fois qu'ils ont déménagé, est-ce qu'ils prennent le transport scolaire, les situations socioéconomiques de leurs quartiers, de leurs écoles, etc., pour pouvoir rouler sur plusieurs années, parce qu'évidemment il faut le faire sur plusieurs années pour pouvoir avoir assez de données, être de prédictif, pour pouvoir prévoir qui est à risque de décrochage scolaire, qui ne l'est pas. Est-ce que ça respecte la loi?

M. Caire : ...ça respecte la loi, et là on parle de la loi 25, dans la mesure où ça est fait dans un...dans le cadre d'un protocole de recherche. Donc, encore là... puis là vous comprendrez que je n'ai pas tous les articles en tête, mais, le protocole de recherche, il y a toute une procédure pour qu'il soit autorisé. Donc, il y a une évaluation... je me souviens qu'il y a une évaluation des facteurs relatifs à la vie privée qui doit être produite. Ça doit être transmis à la Commission d'accès à l'information. Les données doivent être anonymisées dans la mesure du possible. Bon, il y a un certain nombre, là, de requis, et ça, c'est aux fins de recherche, et c'est aux fins de recherche d'intérêt public. Je le souligne parce qu'on l'a... en fait, c'était... c'était justement le chef... le député de Gouin, qui... c'est ça, Gouin, qui avait... on avait travaillé cet article-là avec lui, là, c'était vraiment pour... à des fins d'intérêt public. Donc, la loi 25... dans la situation que vous décrivez, M. le député, c'est vraiment la loi 25 qui s'appliquerait.

M. Bouazzi : Donc, comme l'idée, c'est, dans ce cas précis, de prévoir si les personnes sont décrocheuses ou pas, on s'entend que, d'un point de vue anonymisation, ça ne vaut pas grand-chose, M. le ministre, parce qu'on est obligé de ne pas anonymiser pour savoir qui va décrocher, qui ne va pas l'être. Bon. On peut bien jouer un peu sur les adresses, et encore. Et donc on a des exemples, actuellement on est capables d'utiliser toutes sortes de données personnelles des... tout en respectant la loi et dans le cadre qui permet, sans aucun consentement, d'accumuler, dans des bases de données centralisées, vraiment beaucoup d'informations sur des centaines de milliers d'enfants québécois, là.

Pour en revenir à ce dont on parle ici...

M. Bouazzi : ...peut-être avant de rentrer dans le détail, vous avez dit, M. le ministre, que l'idée, c'est de centraliser des données, de ne pas dupliquer les données personnelles dans d'autres systèmes. Prenons des exemples concrets. Les données personnelles des gens, c'est leur nom, leur prénom, leur adresse, leur téléphone par exemple. Est-ce que vous êtes en train de dire que dans les systèmes, à travers les différents ministères, les systèmes ne vont pas ou plus enregistrer les téléphones, les adresses courriel ou les adresses personnelles?

M. Caire : C'est le but recherché. Mais je pense que vous avez suffisamment d'expérience pour comprendre qu'il y a une période de transition parce qu'il y a des systèmes qui ont été conçus sur le modèle de gestion de données actuel. On ne peut pas tout simplement les déconnecter et les transférer sur un nouveau modèle de gestion. Mais, à terme, oui, c'est l'objectif. C'est de sortir...

Je vais reprendre l'exemple, M. le député. Puis, bon, je connais votre background. Dans le fond, ce qu'on veut faire à l'échelle gouvernementale, c'est un modèle relationnel. Et donc une source... une source officielle de données, voyez ça comme une table, donc, qui va renfermer, comme vous le savez, des informations selon une logique spécifique. On a le dépôt de renseignements de santé qu'on a travaillé avec Mme la députée de Mont-Royal-Outremont pour les données de santé, mais on veut extraire les autres données qui ne sont pas à proprement parler des données de santé. Le MCN est la source officielle de données sur les renseignements d'identité. Il y aura d'autres organismes qui seront... qui seront nommés comme sources officielles de données. Mais l'idée, effectivement, c'est d'extraire ces informations-là des banques existantes, d'aller vers ces différentes banques-là, sources officielles de données, qui seront... qui ne seront évidemment pas centralisées en un seul et même endroit, vous comprendrez, qui, avec une clé primaire, pourront être... pourront être interrogées, et donc va permettre, pour l'utilisateur, d'avoir accès aux renseignements puis qui va offrir une plus grande sécurité. Parce que, si vous réussissez à entrer dans une banque de données, bien, les données sont inintelligibles, et ça nous empêche aussi d'avoir des données qui sont incohérentes, parce que les mises à jour... faire la mise à jour de plusieurs centaines de banques de données, ce n'est pas à vous que je vais expliquer ça, ça devient extrêmement complexe, alors que d'avoir cette source officielle de données là, bien, ça nous permet d'avoir une mise à jour, donc des renseignements qui sont... qui sont cohérents, qui sont intègres.

Donc, ça, c'est aussi un autre problème qu'on règle avec cette philosophie-là. Mais ça sous-entend bien sûr qu'en fonction des régimes de permissions et des accès, on donne les accès à ces informations-là en fonction de ce qui est requis. Et, ça, c'est l'autre chose qui vient dans la loi 25. Donc, les renseignements qui sont accessibles sont ceux qui sont strictement nécessaires à la prestation électronique de service. Ça aussi, c'est dans la... c'est dans la loi sur... la loi 25 puis sur la loi, la... il y a l'article 10.6, là, qui, à proprement parler, pour le MCN, nous amène des contraintes, là.

M. Bouazzi : M. le ministre, donc vous, ce que vous dites, c'est que nous allons centraliser ces données-là, nous n'aurons plus de copies dans les différents systèmes, dans les autres ministères, et ça va nous permettre de mettre à jour, d'avoir des mises à jour instantanées. Et je vous annonce, M. le ministre, que vous ne... en tout respect, vous ne ferez pas ça. Ceci n'arrivera pas. Ceci n'arrivera pas pour trois raisons. D'abord, il y a toutes sortes de systèmes qui ne pourront jamais se connecter sur des EPI. Et puis Dieu sait qu'il y a du legacy à l'intérieur des différents ministères. Donc, ça, un, ça demanderait des investissements tellement majeurs que, d'un point de vue financier, ce serait impossible. D'un point de vue technologique, ça voudrait dire que, si le système d'identification nationale tombe ou c'est juste... il y a une mise à jour, parce qu'il y a de temps en temps des mises à jour, et donc qui ne fonctionne pas, ça voudrait dire qu'aucun système d'aucun ministère n'est capable d'utiliser le nom, le prénom, l'adresse, le courriel ou le téléphone. Or, c'est un risque que je suis sûr ni vous ni personne n'a envie de prendre. Troisième raison. En imaginant que ce système-là fonctionne, si à chaque fois que j'ai besoin d'un nom, d'un téléphone, d'un courriel ou d'une adresse - et je prends ces exemples-là, il y en aura évidemment d'autres - bien, ça va faire tellement de transferts de données, ce qu'on appelle du «chitchat», ça veut dire du va-et-vient, du va-et-vient, du va-et-vient entre les systèmes, que les systèmes vont tous tomber, là, incluant le réseau, parce que la latence se rajoute à chaque fois. J'ai...

M. Bouazzi : ... J'ai besoin du nom, ça me prend 0,128 microseconde; j'ai besoin de... etc., ça me prend un autre, un autre, un autre, et je me retrouve à tuer et le réseau et les systèmes. Et donc, en tout respect, M. le ministre, ce n'est pas un argument recevable. Je vous annonce d'ores et déjà qu'il va y avoir le nom, le prénom, le téléphone, l'adresse et le courriel dans à peu près tous les systèmes qui ont aujourd'hui un nom, un prénom, une adresse et un courriel, aucune chance qu'il y ait autre chose, sans compter les systèmes que nous achetons et qui ne fonctionneraient pas autrement qu'avec ces données personnelles. Donc, cet argument-là ne fonctionne pas technologiquement, aucune chance que ça fonctionne.

• (15 h 20) •

Le deuxième consiste à dire : O.K., mais ma base de données va grossir, va grossir, et puis je ne veux pas avoir à réentrer les mêmes données deux fois. Il y a deux choses qui sont dites ici dans cet amendement. La première, c'est de dire : Seule... Les données ne peuvent être utilisées qu'à une seule... un seul objectif, c'est d'authentifier et d'identifier, O.K., l'objectif principal de l'identité nationale. Et là vous dites quelque chose qui est vrai qui consiste à dire : Oui, mais moi, si je rentre l'adresse ici, bien, je ne veux pas avoir à la mettre à jour partout et je ne veux pas redemander la même chose tout le temps aux citoyens. Bon. Alors, c'est une gestion qui n'est pas simple, mais qui est franchement faisable, et même qu'on pourrait espérer.

Mais cet amendement dit autre chose aussi. Il dit que ces données-là ne peuvent pas être utilisées, automatisées dans des prestations de services ailleurs, et je pense que ça, c'est vraiment important, M. le ministre, parce qu'en fait, si on ne met pas ce genre d'amendement, on est en train d'ouvrir une porte, on est en train d'ouvrir une porte qui permet toutes sortes de dérives. Et là, je le dis le plus sincèrement du monde, je ne parle pas de vous, je ne parle pas de vous, je parle des suivants, parce que clairement, même si on peut avoir toutes sortes de désaccords, on n'a pas l'impression de voir en vous des dérives autoritaires qui veulent faire de nous un État policier sécurisé, etc. Mais, malheureusement, en 2025, quand on voit tout ce qu'il se passe en Chine, avec des gens qui ont des... carrément des cotes de citoyenneté par des simples caméras où on reconnaît les visages, ou aux États-Unis, avec un fou furieux qui fait des saluts nazis, qui se retrouve à ramasser toutes les données de tous les 2 millions de fonctionnaires avec une intelligence artificielle qui va automatiser qui va perdre sa job lundi matin et automatiser la carte qui ne fonctionne plus quand ils arrivent à la job, bien, laissez-nous, s'il vous plaît, éviter par la loi que ce genre de dérives soient possibles. Et, si on ne met pas ce genre... Et, je vous supplie vraiment, je vous le dis vraiment le plus sincèrement du monde, si nous ne sommes pas capables d'avoir un amendement qui va en ce sens-là, nous ouvrons la porte au genre de dérives qu'on peut voir en Chine et qu'on ne pensait possibles qu'en Chine et qu'aujourd'hui nous voyons au sud de nos frontières, alors que, rappelons-le, les droits fondamentaux au sud de nos frontières sont mieux  bétonnés, défendus que les droits à l'intérieur du Canada, étant donné les clauses dérogatoires.

Donc, je ne sais pas si vous voulez qu'on suspende et qu'on travaille ensemble sur un texte qui vous va et qui permet une certaine efficacité, mais qui interdit la prise de décision automatisée basée sur des données qui ont été récoltées pour authentifier, identifier, ou pas.

M. Caire : Bien, d'abord, M. le député, je vous remercie, parce qu'effectivement je pense qu'essentiellement... Puis ce que vous dites, je pense que c'est vrai pour les 125 députés de l'Assemblée nationale, on cherche à adopter les meilleures lois pour servir nos citoyens et les protéger. Donc, je vous renvoie le compliment.

J'ai un désaccord sur l'analyse que vous faites sur la gestion de la donnée, je pense que... Mais, bon, là je comprends que l'objectif de l'amendement n'est pas de se dire : Est-ce que, technologiquement, on est capables de mettre en place cette structure-là? Je pense que oui, vous pensez que non. Je pense qu'avec la redondance, on est capables d'assurer une sécurité des systèmes et faire en sorte que... avec une bonne politique de redondance, je vais préciser, avec une bonne politique de redondance, on peut faire qu'un système qui tombe est remplacé rapidement, et ces politiques-là sont mises de l'avant.

Là où je vous rejoins... Vous avez raison, il y a une période de transition quand même. C'est vrai que...

M. Caire : ...l'actuel... les systèmes actuels sont basés sur le modèle de gestion actuel, et là il faudra faire cette... assurer cette transition-là. Ce n'est pas simple, mais je pense qu'on peut y arriver, y compris pour les nouveaux systèmes, qui, dans le fond, vont faire des requêtes sur une base de données. Donc, les nouveaux systèmes pourront considérer le nouveau modèle et faire... et bâtir leurs requêtes en fonction du modèle actuel ou de l'ancien modèle. Ça, je pense qu'il y a une faisabilité. Bon.

Sur le fait de l'utilisation des renseignements personnels ou de l'intelligence artificielle, faire en sorte qu'il n'y ait pas de possibilité d'intrusion, le corpus législatif québécois est très différent de celui des États-Unis. Puis j'endosse totalement l'analyse que vous faites de ce qui se passe au Sud, et c'est extrêmement inquiétant, là où je veux peut-être m'inscrire en faux... D'une part, dans le projet de loi, je vous amène au deuxième alinéa : «Le ministre ne peut utiliser ces données à des fins de profilage des personnes.», et là on fait une définition de ce qu'est le profilage des personnes. Dans la loi 25, bon, vous savez, l'article 65.2... je vous le lis parce que vous ne l'avez sans doute pas devant vous, là, mais : Un programme... «Un organisme public qui utilise les renseignements personnels afin que soit rendue une décision fondée exclusivement sur un traitement informatisé de ceux-ci doit en informer la personne concernée au plus tard au moment où il est informé de cette décision.» Donc, d'une part, on a l'obligation légale d'informer.

Puis là on parle de... on parle d'un traitement automatisé, parce que la loi doit être technologiquement neutre, mais on comprend que cette définition-là va inclure l'intelligence artificielle. Alors :

«Il doit aussi, à la demande de cette personne... l'informer :

«1° des renseignements personnels utilisés pour prendre la décision;

«2° des raisons, afin que des principaux facteurs... des paramètres, ayant mené à la décision;

«3° son droit de faire rectifier les renseignements personnels utilisés pour prendre la décision.

«Il doit donner à la personne concernée l'occasion de présenter ses observations à un membre du personnel de l'organisme... l'organisme public en mesure de réviser la décision.»

Donc, ça, c'est sur les traitements automatisés. Bon, il y a aussi d'autres dispositions qui sont... qui sont déjà dans la loi 25.

Donc, c'est pour ça que je vous dis : La loi 82, on doit la prendre sur l'ensemble des lois du Québec. J'ajouterai aussi la Loi concernant le cadre juridique des technologies de l'information, qui a des articles spécifiques aux banques de données biométriques et à l'utilisation de la biométrie, par exemple, pour apporter des accusations ou... bon, etc., ce qui est interdit au Québec. Donc, il y a quand même... On n'est pas dans le même contexte juridique qu'aux États-Unis, au Québec, on a un cadre législatif, je pense, qui est plus... beaucoup plus contraignant pour ce que le gouvernement peut faire, puis je vous dirais le gouvernement, mais les organismes publics, ce serait plus exact, peut faire ou non avec les renseignements personnels et, notamment, les données biométriques et sur la reddition de comptes quand on utilise des systèmes automatisés.

M. Bouazzi : Alors, deux points. D'abord, j'espère que votre avis sur le fait qu'on soit obligé de copier toutes ces données-là dans tous les systèmes va évoluer. Et je prendrai un exemple, pour ne pas le nommer, SAP, dans SAAQclic. Je vous promets que vous n'avez aucune chance de vous débarrasser de l'adresse du téléphone, du nom, du prénom à l'intérieur de SAP et vous aurez, ne serait-ce que dans ce système-là, qui est tout neuf, l'obligation d'avoir les données en double. Donc, ça... Mais ça, ce n'est pas grave, on n'est pas obligé d'être d'accord. J'espère que vous changerez d'avis.

Revenons sur la question des données. Aujourd'hui, je rappelle que, sans aucun, sans aucun parent n'ait donné son consentement, il y a une centaine de points de données qui est accumulée sur chacun de nos enfants sur des années pour prévoir leur avenir. Ça, c'est notre réalité actuellement. Dans notre corpus législatif, vous m'avez expliqué que c'était légal. Puis moi, j'espère, honnêtement, que vous faites des choses légales, ça fait que je veux bien vous croire. S'il vous plaît, on va faire des questions d'identification, parce que les questions dystopiques, là, qui peuvent revenir à ça sont assez effrayantes, là. Si on se met à... Parce qu'on peut décider que, pour le bien commun, il faut mettre à la porte 10 % des fonctionnaires de l'État. Ça, ce n'est pas impossible, qu'il y ait un... excusez-moi, un crétin, je ne sais pas si on a le droit de dire ça ici, là, qui ait cette excellente idée...

M. Bouazzi : ...pour dire : Ah bien, moi, demain, je dois mettre, comme ce que nous fait Musk aux États-Unis, pour le bien commun, il nous faut 10 % de fonctionnaires en moins. Eh bien nous, ce qu'on dit, c'est que les données qui ont été accumulées par l'État pour faire de l'identité numérique, de l'identification numérique, de l'authentification... ce qui est déjà beaucoup, là, parce que, dans l'authentification, il y a quand même beaucoup de choses, honnêtement, bien, ne devrait être utilisé qu'à ces fins et surtout qu'aucune décision automatisée pour faire autre chose ne doit être basée sur des données là.

Donc, si vous voulez qu'on fasse évoluer cet amendement pour pouvoir refléter quelque chose qui dit : C'est vrai, évitons d'automatiser des prises de décisions administratives, politiques, quelles qu'elles soient, basées sur les données accumulées pour l'identification numérique, bien, s'il vous plaît, faisons-le.

• (15 h 30) •

O.K. Alors, dernier point, vous nous dites : Oui, mais attention, le profilage est interdit dans ma loi. En tout respect, ça, c'était une question que j'avais toujours eue pour vous, je suis content d'être dans cette commission, M. le ministre, le profilage est interdit, je veux dire, de toute façon, si... je veux dire, il n'y a pas écrit : Il est interdit de profiler au SPVM. Malheureusement pour eux, il y a des décisions de justice les unes après les autres qui disent qu'ils profilent. Je veux dire, ça n'a pas besoin d'être écrit. Ça fait que nous, ce qu'on dit, c'est qu'il y a bein des affaires qui seraient légales si on ne les interdit pas. Le profilage c'est le plus facile.

Effectivement, c'est bien que vous ne vouliez pas profiler. J'espère bien, M. le ministre, mais, je veux dire, nous, ce qu'on dit, c'est que, si nous donnons, nous, comme citoyens, des données personnelles au gouvernement pour faire l'identification numérique, bien, vous ne pouvez pas les utiliser pour automatiser des prises de décisions qui nous regardent, nous, les citoyens, pour faire autre chose. C'est à éviter. Il y a plusieurs spécialistes qui sont venus nous dire ça. Je n'ai pas entendu les spécialistes nous dire : Oui, oui, s'il vous plaît, utilisez toutes vos... toutes les données des citoyens pour faire... chose. Ça fait que... ça fait que c'est ça.

Le Président (M. Rivest) : Allez-y, M. le ministre.

M. Caire : Oui, un court commentaire, M. le Président. Je pense que c'est important de spécifier que le ministre ne peut utiliser ces données à des fins de profilage des personnes, parce que ce que la loi prévoit, quand même, c'est une communication aux organismes publics des données qui sont contenues dans le Registre de l'identité numérique nationale. Et donc, quand je dis aux citoyens, quand j'affirme aux citoyens que l'idée, c'est dans une seule perspective de services, bien, la loi vient dire que je ne peux faire autre chose que ça. Donc, pour moi, pour moi, c'est quand même important que ce soit dans la loi. Je comprends ce que... je comprends votre raisonnement puis je ne suis pas en désaccord, mais je pense que c'est important qu'on le mette dans la loi.

Et c'est pour ça que je réitère que le service soit un service automatisé, parce que, je veux dire, on est... puis je sais que vous n'êtes pas... au contraire, vous l'avez... vous l'avez même dit, dans la mesure où ça vise à augmenter l'efficience des services aux citoyens, vous n'êtes pas contre l'idée d'implanter des services automatisés, de l'intelligence artificielle, bon, avec pour finalité d'augmenter la qualité des services aux citoyens. Je sais que vous et moi, là-dessus, on est d'accord, mais si on adopte l'amendement, bien, on s'enlève cette possibilité-là. Je pense qu'il faut paramétrer ça. Là-dessus, on va être d'accord, il faut paramétrer ça, il ne faut pas faire n'importe quoi avec ça, ne pas autoriser n'importe quoi. 65.2 de la loi 25, que je vous ai lu, à mon avis, crée un cadre. Il y a l'article 42 de la loi concernant... 44? Excusez, 44. Je n'étais pas loin... 44 de la loi concernant le cadre juridique des technologies de l'information. Je me permets de vous le lire, M. le député, parce qu'il est important. Alors : «Nul ne peut exiger sans l'avoir divulgué préalablement à la Commission d'accès à l'information et sans le consentement express de la personne que la vérification ou la confirmation de son identité soit faite au moyen d'un procédé permettant de saisir des caractéristiques ou des mesures biométriques.» Je ne peux pas... Parce qu'on a beaucoup parlé de caméras corporelles. Alors, la loi ferait en sorte que je ne pourrais pas utiliser ces données-là dans une perspective d'identification, parce que ça, c'est dans la loi.

Donc, c'est important aussi, là, parce qu'on parlait d'identification de masse... Alors, utiliser la biométrie dans une perspective de comparaison faciale, puis j'utilise le terme à dessein, comme on va le faire...

M. Caire : …en exhibant son permis de conduire, oui, mais, si on veut faire une identification de masse, l'article 44 de la loi l'interdirait, interdirait cette utilisation-là. Puis il y a d'autres dispositions, là, sur… bon, la constitution de banques de données biométriques, qui doit être autorisée par la Commission d'accès à l'information, puis différents pouvoirs que la Commission d'accès à l'information a. Donc, je pense que… je comprends votre préoccupation. Je la partage, mais mon sentiment, c'est que le cadre législatif, quand on le regarde dans son ensemble, ce qu'on fait avec la loi 82, ce qui est déjà dans la loi 25, ce qui est déjà dans la loi concernant le cadre juridique des technologies de l'information, on en arrive à cette finalité-là.

Le Président (M. Rivest) : Alors, s'il n'y a pas d'autre intervention, nous allons procéder aux mises aux voix. Il y a une intervention. Mme la députée de La Pinière.

Mme Caron : Merci, M. le Président. Moi, j'avoue qu'une chose que j'aime beaucoup dans cet amendement-là, c'est la référence au système de décision automatisée, parce qu'il n'en est pas question, je n'ai pas vu qu'il en était question dans le… dans le projet de loi. Et on nous a dit, durant les consultations, qu'avec l'intelligence artificielle, même si on ne prévoit pas automatiser certaines choses, le… les données qui vont… qui vont se promener, qui vont s'échanger, vont permettre d'arriver à des… soit à des… à des identifications de profils ou de personnes, ou… et les décisions automatisées peuvent… peuvent en découler. Donc, je trouve que, même si l'amendement n'était pas… n'était pas adopté tel quel, qu'on prévoit d'interdire de… de faire en sorte qu'on ne pourrait pas avoir de système de décision automatisée, je pense que c'est… je pense que c'est important. À l'exception, comme c'est indiqué dans l'amendement, de décision liée exclusivement à l'authentification et l'identification.

Le Président (M. Rivest) : M. le ministre.

M. Caire : Bien, comme je viens d'expliquer, je ne suis pas d'accord. Si on souhaite effectivement une transformation numérique, il y a des systèmes de décision qui vont être automatisés. Donc, de l'interdire, puis c'est ce que je disais au député de Maurice-Richard, je pense que ce n'est pas une bonne idée. Par contre, ce qu'on fait avec l'article 65.2 de la loi 25, c'est le paramétrer. Donc, on ne peut pas faire n'importe quoi. Et ça, c'est déjà prévu à la loi 25.

Mme Caron : Est-ce que je comprends qu'on dit qu'on ne peut pas faire d'omelette sans casser des oeufs? Par la réponse que vous avez donnée, si on veut faire de l'identification numérique, il faut qu'on fasse… il faut qu'on… il faut qu'on arrive avec des décisions automatisées. Peut-être que j'ai mal compris ce que vous avez dit.

M. Caire : Bien non, ce n'est pas ça que je dis. Ce que je dis, c'est que, dans la transformation numérique, dans la volonté du gouvernement d'améliorer l'efficience de ses services, aujourd'hui, la transformation numérique sous-entend l'implantation de l'intelligence artificielle, et qui sous-entend l'automatisation des systèmes. Moi, je pense que c'est souhaitable. Ça améliore l'efficacité puis ça améliore la rapidité de traitement, ça améliore… ça diminue le nombre d'erreurs, essentiellement. Donc, je pense que c'est souhaitable. Donc, de l'interdire, je pense que ce n'est pas une bonne idée, parce que c'est de s'empêcher de moderniser nos systèmes, mais de le paramétrer comme on le fait à l'article 65.2 de la loi 25, je pense que ça, c'était la bonne chose à faire.

Mme Caron : Et vous trouvez que le paramétrage de… dans la loi 25 est suffisant pour les décisions automatisées, pas seulement le traitement automatisé, mais même des prises de décisions? Parce que traiter des données de manière automatisée, mais prendre une décision sur… Par exemple, si une personne a droit à tel… à tel programme d'indemnisation, ou autres. Est-ce que c'est vraiment paramétré dans l'autre loi?

M. Caire : J'ai lu l'article tout à l'heure. Moi, je pense que oui.

Le Président (M. Rivest) : Est-ce qu'il y a d'autres interventions? M. le député de Maurice-Richard.

M. Bouazzi : Bien, une question, parce que le… On s'entend qu'il y a beaucoup de mots, là, dans cet amendement. Encore une fois, moi, je suis tout à fait prêt à le faire évoluer pour qu'il soit acceptable par le gouvernement. Là, on parle de l'admissibilité des personnes à un programme, à une prestation…

M. Bouazzi : ...Est ce que vous pouvez nous donner des exemples pour quoi vous utiliserez les données de l'identification nationale... numérique nationale pour accéder à un programme ou une prestation? Est-ce qu'il y a un exemple?

• (15 h 40) •

M. Caire : Là, je vais distinguer deux choses. Parce que je comprends... en fait, peut-être que je comprends, de votre amendement, que vous ne voudriez pas qu'un citoyen soit pénalisé par un traitement informatique par rapport à un programme du gouvernement. Alors, l'idée, c'est l'inverse. Puis je vous donne l'exemple, peut-être vous souvenez vous, il y a quelques années, au gouvernement fédéral, il y avait un crédit d'impôt ou... je pense, c'était un crédit d'impôt, mais il y avait un avantage financier qui était consenti aux aînés, les aînés n'étaient pas au courant du programme, ce qui fait que l'argent n'avait pas été décaissé parce que personne ne savait qu'ils avaient droit à ça. Est-ce que ce ne serait pas souhaitable qu'on puisse notifier les gens? Puis là je dis «les gens» de façon très large, mais que le gouvernement, quel qu'il soit, à quelque époque que ce soit, a mis en place un programme et que, selon ce qu'on peut analyser, le citoyen est éligible à ce programme-là. Donc, il y a un service qui est disponible pour lui puis d'être sûr qu'il est au courant que ce service-là est disponible pour lui, avec bien sûr son consentement, parce que je vous ramène à ce que je disais, la collecte de données, il y a une finalité à ça. Et si on sort de la finalité pour lesquelles la donnée a été collectée, il y a une obligation d'aller chercher le consentement à quelques exceptions, là, mais surtout pour des fins de recherche. Donc, on peut imaginer que le système dirait : Bon, bien, écoutez, si jamais il y a un nouveau programme ou... est ce que vous voulez être notifié? Oui? Non?

Donc, c'est dans cette perspective là que je dis : Mais pour désigner l'admissibilité à une personne à un programme ou une prestation, bien, ça peut être positif pour le citoyen. S'il y a un nouveau crédit d'impôt, s'il y a un nouveau programme, s'il y a une nouvelle subvention puis que le citoyen souhaite être notifié, bien, je me dis : Si la loi m'interdit de le faire... Mais je comprends ce que vous dites, puis c'est pour ça que l'alinéa deux : «le ministre ne peut utiliser ces données à des fins de profilage»... Donc, si là on se sert de ça pour profiler quelqu'un... Il y a un contentieux à l'Agence du revenu, je le pénalise par rapport à un service, à la solidarité sociale par exemple, parce qu'il y a un contentieux, là, on a un problème, mais là on est en contradiction de ce que l'article 10.7 prévoit parce que, ça, c'est du profilage.

M. Bouazzi : Mais, M. le ministre, pourquoi on ne se baserait pas juste sur les données de Revenu Québec et puis juste d'exclure ces affaires-là, là? Je dirais, ce que vous décrivez peut très bien fonctionner juste avec les données de Revenu Québec. Pourquoi avoir à refuser? Je vous entends, là, mais ce n'est pas ça... Ça ne marche pas.

Maintenant, par ailleurs, on peut se retrouver à ne pas vouloir profiler et le résultat, c'est du profilage pareil, là. Je veux dire, probablement que la plupart des policiers ne veulent pas profiler, le résultat de leurs politiques publiques, c'est que les Noirs, les Arabes, les autochtones sont profilés, là. Ça fait qu'il y a des biais systémiques assez terrifiants, là, des algorithmes d'intelligence artificielle, et vous le savez aussi bien que moi, là.

Donc là, on dirait : Voilà, pour identifier, c'est tellement important que ces données-là servent juste à ça. Et puis, oui, évidemment, Revenu Québec a plein de données et on espère bien que, pas juste pour les personnes qui ont besoin de crédit d'impôt auxquels ils auraient droit qu'ils ne demandent pas, mais pour les PME qui auraient accès à des services ou des crédits pour toutes sortes de gens que ça aiderait, là. En tout cas, moi, c'est... je comprends.

M. Caire : ...

Le Président (M. Rivest) : Allez-y, M. le ministre.

M. Caire : Très rapidement, j'ai donné l'exemple de Revenu Québec puis... mais, je veux dire, il y a d'autres ministères, on peut penser à Emploi, on peut penser à Solidarité... pas Solidarité sociale, on peut penser à Santé, on peut penser à la RAMQ, des nouveaux médicaments. Je veux dire, il y a plein de situations potentielles où un citoyen éligible à quelque chose de nouveau qui n'est pas dépendant que de Revenu Québec pourrait avoir envie. Et je le réitère, M. le député, là, il faut aller chercher le consentement du citoyen, là. Alors, si on l'interdit de façon absolue, mais, même avec le consentement du citoyen, je ne pourrais pas le faire...

Le Président (M. Rivest) : ...oui, allez-y, M. le député.

M. Bouazzi : Je m'excuse auprès de mes collègues, comme je l'avais dit au début, je dois absolument courir et revenir dans... ça fait que, malheureusement, je vais voter pour cet amendement, mais je ne serai probablement pas là au moment du vote.

M. Caire : ...le député de Maurice-Richard, est-ce qu'on peut... je ne sais pas, à moins que les collègues aient d'autres questions sur l'amendement.

Le Président (M. Rivest) : On pourrait suspendre...

M. Caire : Parce que...

Le Président (M. Rivest) : Là, il vous reste que quelques minutes, là, de toute façon, pour le débat.

M. Bouazzi : Oui. Mais c'est comme vous voulez. Moi, je suis arrivé au bout, de toute façon, de mon plaidoyer.

Le Président (M. Rivest) : Je comprends.

M. Caire : On peut le voter, M. le Président.

Le Président (M. Rivest) : Oui, on pourrait... Bien, il y a Mme la députée de La Pinière qui...

M. Caire : Ah! O.K., désolé.

Le Président (M. Rivest) : Mme la députée, allez-y.

Mme Caron : Bien, en fait...

Le Président (M. Rivest) : On passera au vote par la suite.

Mme Caron : Oui. Bien, c'est que je... Dans l'exemple, justement, que le ministre vient de donner, on n'a pas besoin d'aller aussi loin que le gouvernement fédéral, là, le crédit de maintien à domicile du gouvernement provincial, presque aucun aîné ne s'en sert, sauf ceux qui habitent dans les RPA ou qui ont un comptable qui connaissent... Mais est-ce que... Il me semble que ce n'est pas ce à quoi va servir l'identité numérique nationale. C'est-à-dire que, par exemple, cet exemple de crédit d'impôt de maintien à domicile devrait être dans le système de Revenu Québec et quand la déclaration est traitée, la déclaration de revenus est traitée, qu'en fonction de l'âge de la personne puis de son adresse, que le crédit d'impôt pourrait être appliqué automatiquement. Mais il me semble que ce n'est pas dans l'identité numérique, parce que l'identité numérique, c'est pour s'authentifier et valider son identité, n'est-ce pas?

M. Caire : Bien, c'est parce qu'on a dit et on a convenu que l'identité numérique pouvait aussi permettre de transmettre à un organisme public des renseignements sur la personne. Et l'amendement du député de Maurice-Richard dit que ces données-là ne peuvent être utilisées qu'à des fins d'authentification, identification. Et, en ce sens, elles ne peuvent pas être utilisées pour désigner l'admissibilité d'une personne à un programme ou une prestation. Donc, ça vient interdire ce que vous proposez. Donc, c'est pour ça que je dis : Bien, je pense que cet amendement-là, on ne devrait pas l'adopter.

Mme Caron : O.K., merci.

Le Président (M. Rivest) : Pour.

Le Président (M. Rivest) : Est-ce qu'il y a d'autres interventions? Mme la députée de Mont-Royal—Outremont.

Mme Setlakwe : Merci, M. le Président. Bien, je ne vais pas refaire toute la discussion, mais nous, clairement, on appuie ce... parce qu'on appuie cet amendement. Et j'aimerais qu'on reparle du mémoire de la CAI, que j'ai sous les yeux, la Commission d'accès à l'information du Québec. Bien sûr, il y a une... il y a une recommandation spécifique au niveau du profilage, on pourra y revenir, mais j'aimerais poser la question suivante au ministre : Il a dû, lui ou ses équipes, prendre connaissance du mémoire de la CAI, qui est assez étoffé, donc il n'y a aucune des recommandations de la CAI qui a fait l'objet d'un amendement. Pourquoi?

M. Caire : Écoutez, je n'ai pas... je n'ai pas en tête l'ensemble des recommandations de la CAI, là. Vous comprendrez que ça fait quand même un certain temps. Mais ce que je peux dire, c'est que la finalité du projet de loi n° 82 sur l'identité numérique répond... à mon avis, répond aux besoins... des besoins... des besoins concrets. Et souvent, les recommandations que la CAI faisait, à notre avis, trouvent écho dans d'autres lois, notamment les pouvoirs d'intervention. La CAI recommandait entre autres, là, une fusion de la LGGRI, de la Loi concernant le cadre juridique des technologies de l'information. On n'est pas d'accord d'aller dans cette direction-là. Donc, il y a des choses... il y a des choses pour lesquelles on est déjà... on est déjà en action là dessus. Il y a des choses pour lesquelles on n'est juste pas d'accord pour aller dans cette direction-là.

Mme Setlakwe : Très bien. Je pense qu'on va peut-être... au fil des prochaines minutes, des prochaines heures, nous, on va les amener, les différentes recommandations juste pour être sûrs qu'elles soient... qu'elles soient discutées. Ça ne fait pas si longtemps que ça, là, le mémoire est daté du 27 janvier 2025. C'est la fin du mois dernier. La recommandation n° 7, j'attire votre attention sur la recommandation n° 7 en particulier. Juste avant d'y arriver, la mise en contexte est la suivante : La commission, donc, suggère d'ajouter au projet de loi qu'effectuer du profilage, du traçage ou de la surveillance à l'aide de l'identité numérique nationale ou des renseignements qui découlent de son utilisation est interdit et constitue une infraction. Là, on a déjà discuté de l'interdiction. Comment on fait le lien...

Mme Setlakwe : ...avec le fait que cette interdiction... que de contrevenir à cette interdiction constitue une infraction. Parce que, je me dis, s'ils prennent la peine de mettre tout ça de l'avant, c'est que peut-être qu'ils ont... qu'ils ils ont un doute à l'effet qu'il faut... peut-être il faut resserrer le projet de loi.

M. Caire : Pour moi, enfreindre la loi, automatiquement, ça constitue une infraction.

Mme Bacon (Nathalie) : M. le Président.

Le Président (M. Rivest) : Oui. Est-ce qu'elle est intervenue?

Une voix : ...

Le Président (M. Rivest) : Oui? Allez-y.

• (15 h 50) •

Mme Bacon (Nathalie) : Oui. Alors, si on a... on trouve un... il y a un problème avec un renseignement personnel, vous avez tout le régime, autant pour la... Vous avez la loi sur l'accès pour le secteur privé, vous avez la loi sur l'accès pour le secteur public. En soi, pour le chapitre sur l'identité numérique nationale à la LMCN. Le choix a été fait que c'est un régime qui est mis en place pour les fins de l'administration publique, c'est-à-dire pour permettre... Vous l'avez vu, vous vous souvenez de l'article 10.2, c'est un ensemble de moyens pour permettre aux citoyens d'avoir un accès sécurisé à des prestations électroniques de service, premier alinéa.

Deuxième alinéa, là, on dit, bien, par ailleurs, il y a... il y aura une possibilité d'interaction dans la collectivité. Donc, pour le moment, on est, puis ça, on en a déjà discuté avec vous, là, on est à l'étape qu'on jette les bases, les assises du registre, les pouvoirs habilitants pour l'identité numérique nationale. Nous ne sommes pas à l'étape où on introduit un régime de sanctions ou d'interdictions. Alors, peut-être que dans une évolution 2.0 de l'identité numérique nationale, il y aura tout un chapitre d'interdictions, et de contraventions, et d'amende, et de soit des amendes pénales ou administratives applicables au secteur privé. Mais pour le moment, c'est plutôt l'objectif, et le ministre l'a dit ici en commission, là, que l'objectif était d'abord et avant tout d'offrir un accès simplifié aux citoyens pour les prestations électroniques de services qui vont aller selon une certaine mise en œuvre, là, un calendrier de mise en œuvre.

Mme Setlakwe : D'après ce que je comprends, c'est que, oui, on a mis... Avec l'article 10.2, on met sur pied ce régime qui a déjà des infractions au niveau du secteur public. Et si jamais on allait de l'avant puis qu'on ouvrait l'identité numérique au secteur privé, il y aura... Donc, ça viendra avec un régime spécifique d'infractions.

M. Caire : La loi n° 25, là, puis vous me permettrez, Me Bacon, la loi n° 25 propose déjà le régime de sanctions et pour le privé... pour le privé et pour le public.

Mme Setlakwe : Donc, quand on le dit, ça viendra subséquemment où ça existe déjà?

M. Caire : Non mais, je veux dire, dans la loi n° 25, il y a un régime de sanction inhérent à la loi, là. Il y a des sanctions administratives et il y a des sanctions pénales qui sont prévues dans la loi n° 25, là. S'il y avait une utilisation non conforme à la loi des renseignements personnels, là, il y a un régime de sanction dans la loi n° 25. Ce que Me Bacon dit, c'est au niveau de l'identité numérique. Puis c'est là où je pense que la CAI nous invite d'aller. Ce n'est pas un régime qui est particulier à l'utilisation de l'identité numérique. Il y a un régime qui est prévu par la loi n° 25 sur l'utilisation inappropriée, un excès inapproprié ou utilisation inappropriée des renseignements personnels, ça, il y a un régime de sanctions pécuniaires, il y a un régime de sanctions pénales, et c'est la CAI qui a l'autorité pour appliquer le régime.

Mme Setlakwe : Très bien. Ils continuent. Ils mentionnent en disant que la commission est d'avis que l'identité numérique ne devrait d'aucune façon permettre à qui que ce soit de profiler les individus qui l'utilisent ou de les surveiller. Ça, je pense qu'on en a parlé. À cet égard, la commission recommande que le projet de loi interdise à tous les organismes publics ainsi que toutes les organisations privées d'utiliser les renseignements qui pourraient découler de l'utilisation de l'identité numérique nationale à des fins de profilage ou de surveillance des citoyens. Encore une fois, vous leur répondez que c'est déjà prévu dans d'autres lois?

M. Caire : Exact.

Le Président (M. Rivest) : Est ce qu'il y a d'autres interventions?

Mme Setlakwe : Oui, M. le Président.

Le Président (M. Rivest) : Allez-y.

Mme Setlakwe : Merci. Bon. Là, le prochain... La prochaine préoccupation de la CAI, c'est que le projet de loi est muet en ce qui concerne, bon, le traçage et la géolocalisation. La commission propose d'ajouter des limites législatives claires et plus exhaustives relativement aux données contenues et résultant du système de l'identité numérique. C'est vrai qu'on ne parle pas de géolocalisation.

M. Caire : Oui, M. le Président. Là, peut-être qu'on pourrait disposer de l'amendement, parce que je comprends la question de ma collègue, mais là on s'adresse plus à l'ensemble...

M. Caire : ...de l'article et un peu moins l'amendement. Peut-être disposer de l'amendement du député de Maurice-Richard puis revenir à l'article.

Le Président (M. Rivest) : Ça vous convient?

Mme Caron : Oui.

Le Président (M. Rivest) : Est-ce qu'il y a d'autres interventions à ce stade-ci?

Mme Setlakwe : Sur l'amendement, non.

Le Président (M. Rivest) : Sur l'amendement. Non. Alors, nous allons mettre aux voix. Est-ce que l'amendement à l'article 10.7 est adopté? Rejeté. Alors, ce matin, nous étions à l'étude de l'amendement de la députée de La Pinière. Je vous propose qu'on puisse revenir.

Une voix : ...

Le Président (M. Rivest) : Oui. Ça serait bien. On va le remettre à l'écran. Alors, on en était à l'étude de l'amendement de la députée de Mont-Royal-Outremont, pardonnez-moi. Et, Mme la députée de La Pinière, vous étiez en train de prendre la parole. Je vous invite à poursuivre.

Mme Caron : Merci, M. le Président. Alors, là où est en... où on en était, je vois... bien, en tout cas, je vois le texte, je ne vois pas le bout de l'amendement, là. Est-ce qu'on... Est-ce qu'on peut... Parfait. Alors, là où j'étais rendue quand on a... on a arrêté plus tôt, c'est que le ministre venait de parler. Et j'allais... j'allais paraphraser pour m'assurer que je comprenais ce qu'il avait dit. Alors, parce qu'on dit dans... le projet de loi dit que «le ministre ne peut utiliser ces données à des fins de profilage des personnes», et les ministères et organismes ne sont pas inclus là parce qu'ils sont... ils sont inclus, disons, via la loi 25. Et, ce que je comprenais des propos du ministre, c'est que là, on va avoir des organismes... dans le cadre de l'identité numérique nationale, on va avoir des organismes participant à l'identité numérique nationale, par exemple la RAMQ ou Revenu Québec et d'autres, qui vont déposer leurs sources de données et qui vont authentifier. Mais on aura des entités utilisatrices qui vont authentifier sans pour autant partager leurs données. Et...

Je ne sais pas, je vais peut-être attendre, M. le Président, que... parce que le ministre ne pourra pas me confirmer ce que j'ai compris puisqu'il est en conversation. Je vais le laisser terminer.

M. Caire : C'est parce que... puis, M. le Président, parce que ce que... ce que... Je laisserais Me Bacon répondre parce que j'ai peut-être fait une petite erreur d'interprétation. Ça fait que je... Pour qu'on ait une discussion sur des bonnes bases, je laisserais Me Bacon répondre à la notion d'organisme participant, parce qu'effectivement j'ai cru que c'étaient les organismes qui aidaient à définir l'identité numérique, et ça, tous les organismes ne font pas ça, bien sûr, on parle de la RAMQ, de l'Agence du revenu, de la SAAQ, bon, etc. Mais, ce que Me Bacon dit, les participants, c'est tous ceux qui l'utilisent, l'identité numérique.

Le Président (M. Rivest) : ...Me Bacon.

Mme Bacon (Nathalie) : Merci. Alors, M. le Président, on va dire que les services de l'identité numérique vont comprendre deux volets, le service du SAG et les services d'identité. Et, dans ces deux services là, il y a les activités qu'on appelle d'identification, d'authentification. Je vais tenter d'illustrer ça comme ça. C'est lorsque je fais affaire avec le ministère de la Cybersécurité, j'ai une identité numérique. Toutes les dispositions qu'on met à la LMCN pour pouvoir enchâsser législativement et utiliser l'identité numérique, c'est que le ministère va mettre à la disposition de la population cette identité-là, et les citoyens vont pouvoir se connecter à des prestations électroniques des services dans la mesure où un organisme public va être rattaché avec ses infrastructures et ses systèmes au ministère. Et là, dans sa prestation électronique de service, lorsqu'il la rend aux citoyens, alors il y a la pleine autonomie. C'est-à-dire que dans sa prestation électronique de service, il va avoir défini, c'est lui qui détermine les critères d'admissibilité à une prestation ou à un programme. ou... Alors, c'est selon. Et, au fur et à mesure que chaque organisme public va... va... va vouloir brancher sa prestation aux systèmes et solutions technologiques du MCN qu'on va plus en savoir. Mais je veux que vous reteniez que, pour les renseignements personnels, que ce soit... que le système permette de faire affaire avec un organisme public ou ultimement avec une clientèle privée, les services d'identité vont être une porte d'entrée, mais ce n'est pas une porte d'entrée sur le registre ou sur le contenu du registre, mais bien juste pour pouvoir s'identifier pour obtenir un service...

Mme Bacon (Nathalie) : ...un service, soit un service public ou un service privé, ou simplement avoir un usage de pouvoir, comme le permis de conduire physique, là... de pouvoir se manifester, là, puis montrer notre... comme quand on rentre à l'Assemblée nationale, actuellement, là, on présente notre permis de conduire, ça fait que de s'identifier avec l'usage.

Le Président (M. Rivest) : ...Mme la députée, oui.

• (16 heures) •

Mme Caron : Merci. Donc... Alors, les organismes participant à l'identité numérique nationale vont être des ministères ou organismes... vont être des organismes publics. Donc, je comprends bien que le citoyen va s'identifier, on va authentifier son identité, c'est la porte d'entrée, ce bout-là, c'est la porte d'entrée, et là l'organisme... mettons, la RAMQ, qui, disons, est participante, va donner sa prestation de services comme elle le ferait en temps normal aujourd'hui, juste avec le cinq. Et je comprends aussi que, si, pour une raison ou une autre, la RAMQ ne voulait pas participer à l'identité numérique nationale... bien, qu'on ne pourrait pas... le citoyen a... ne pourrait pas utiliser son identité numérique nationale... bien, son identité numérique pour avoir accès à une prestation de services en ligne ou, si la RAMQ par exemple, participait mais que ça prenait trois ans avant qu'elle... que tout soit effectif, que... bien, ça, je pense, on l'a déjà dit, que ce serait... ça ne serait pas à géométrie variable, mais ce serait... parce que les ministères et organismes auront leurs propres planifications, ils pourront... pourront offrir les services de cette... par cette porte d'entrée là au fur et à mesure que leurs systèmes seront prêts à le faire.

Donc... Alors, ce que... ce que je comprends, c'est qu'on a tous ces organismes participants dont la porte d'entrée va être l'identité numérique, mais qui vont... qui vont offrir leurs services. Ils sont maîtres de la façon dont ils offrent leurs services avec leurs systèmes, et tout ça. Mais les données auxquelles... avec lesquelles ces organismes traitent, puis je reprends encore l'exemple de la RAMQ, admettons, ces données-là, c'est une source de données qui... entre guillemets, qui est la source de données de la RAMQ, mais est-ce que cette source de données là va être dans le registre, le grand registre, admettons, de données? Parce qu'on a dit qu'on allait avoir moins de registres éparpillés un peu partout, qu'on allait centraliser davantage.

M. Caire : Et d'abord, il faut comprendre que le service d'authentification gouvernemental, la RAMQ, ne peut pas décider de l'utiliser ou de ne pas l'utiliser. D'abord, la RAMQ l'utilise déjà avec Carnet Santé et c'est un service obligatoire. Maintenant, on va prendre le temps de brancher les ministères et organismes un à la fois d'ici 2028.

D'autre part, bien, c'est un peu l'exemple que je vous donnais avec mes trois verres, Me Bacon me dit : Bien, c'est l'exemple des trois verres, effectivement, à terme, parce que, ça aussi, il y a une transition. Donc, pour l'instant, la RAMQ travaillait avec le FIPA, qui est le fichier des personnes assurées, mais, à terme, le dépôt de renseignements de santé, qui est une source de données prévue par la loi, le registre de l'identité numérique nationale est une autre source de données, éventuellement, il y en aura d'autres, ce sera là où les ministères et organismes... et c'est ce que la loi dit maintenant, c'est que l'utilisation des sources de données officielles sera obligatoire. Maintenant, il faut prendre le temps de faire la transition. On ne peut pas demain matin exiger qu'ils utilisent des sources de données qui n'existent pas. Puis je sais que vous comprenez bien ça, là. Donc, il y a une transition, mais ce système-là va devenir le système obligatoire pour tout le monde.

Mme Caron : Mais justement, donc, ces dépôts de données vont être dans le grand système, je dirais. Les sources de données de chacun des ministères et organismes seront dans le système? Parce que, ce matin aussi, quand vous avez... Bien là, peut être qu'avec la précision qu'a donnée Me Bacon, peut-être que l'exemple qui avait été utilisé ce matin avec le ministère du Tourisme, peut-être que ça ne tient plus, ça. Peut-être juste le confirmer.

M. Caire : Bien, M. le Président, en tout respect pour ma collègue, peut-être qu'on pourrait disposer de l'amendement, parce qu'effectivement les questions de ma collègue concernent, un peu comme tout à l'heure, l'ensemble de l'article 10.7, mais peut-être qu'on pourrait disposer de l'amendement, s'il n'y a plus de questions sur l'amendement...

Le Président (M. Rivest) : …tout à fait. Est-ce qu'il y a des interventions sur l'amendement? Oui, Mme… allez-y, Mme la députée.

Mme Setlakwe : Oui. Merci. Quand on a quitté, ce matin, on était en train d'étudier ou de faire le lien avec la LGGRI, l'article 12.17. Donc, moi, si je me souviens de notre… de notre discussion, la réponse du ministre était que ce n'était pas nécessaire de prévoir cette obligation de faire une reddition de comptes annuellement du registre à la commission compétente de l'Assemblée nationale. Et on nous expliquait que l'obligation de produire un rapport existe déjà dans la LGGRI, à 12.17, pour une source officielle de données numérique gouvernementale. Et donc ce rapport-là est fait à la CAI, c'est ce qu'on nous disait, mais moi, ma question, c'est… c'est que, dans le rapport qui est fait à la CAI, bon, on a le… on a l'obligation de prévoir les informations qui sont prévues aux paragraphes 1°, 2°, 3°, 4°, 5°, là, tout ce qui est prévu à 12.17. Mais ça, c'est donc entre les mains de la CAI, mais comment est-ce qu'on s'assure qu'il va y avoir un volet sur l'identité numérique dans le rapport annuel qui est produit par votre ministère?

M. Caire : D'une part, puis je vais apporter une correction à ce que j'ai dit ce matin, le dîner permet la réflexion. Vous regarderez à 12.18, le rapport en question… Oui, je suis désolé, là, je me nourris de pastille présentement. Donc, 12.18, le rapport, il est public.

Le rapport prévu à 12.17.

Mme Setlakwe : …

M. Caire : Le rapport prévu à 12.17, il est public. Donc, l'organisme public désigné comme source officielle de données numériques gouvernementales rend publiques sur son site Internet, dans une section dédiée à cette fonction, les règles visées au paragraphe deux du premier alinéa de l'article 12.16, ainsi que le rapport visé à l'article 12.17. Il transmet sans délai une copie de ces documents aux gestionnaires des données numériques gouvernementales.

Alors, ça, déjà, il y a une reddition de comptes… Pardon, il y a une reddition de comptes publics qui est faite. Et ensuite, sur le rapport de gestion du gouvernement, bien, il y a une obligation pour le gouvernement de faire rapport de l'ensemble de ces opérations comme Responsable de l'identité numérique nationale, dans la mesure… dans la mesure du possible, évidemment, là, le ministère a une obligation de faire rapport de ses opérations. Donc, il n'y a pas… il n'y a pas… la loi ne prévoit pas… Puis je veux être sûr de ne pas me tromper, là, mais la loi ne prévoit pas qu'il doit y avoir cette section-là, cette section-là, cette section-là, là, c'est… Un ministère fait rapport de ses opérations dans son rapport annuel de gestion. Il y a peut-être des spécificités, là, il faudrait voir avec la loi, là, qu'est-ce qui… qu'est-ce qu'il y a comme spécificité. Le développement durable. Sinon, le reste, c'est à la discrétion. Bien, c'est ça.

Mme Setlakwe : Bien, je pense que c'est intéressant, là, il faut qu'on aille au fond de la question.

M. Caire : Mais c'est vrai pour… mais c'est vrai pour tous les rapports annuels de gestion de tous les ministères et organismes. Donc, tu sais, je comprends que cet élément-là nous semble important, mais…

Mme Setlakwe : Ça me… c'est un élément qui nous semble important à nous, à l'opposition officielle, oui, mais je pense que ces jours-ci, toute la question de la reddition de comptes, c'est un élément qui est important pour toute la population. Je pense que ça a été clairement énoncé dans le rapport de la semaine dernière de la Vérificatrice générale. Et donc comprenez le sens de nos questions. Et là, dans le cadre de nos échanges, ce que j'entends, c'est qu'un ministère, oui, à l'obligation de produire un rapport annuel de gestion, mais ai-je bien entendu qu'il y a une discrétion au niveau du contenu?

M. Caire : Oui… un article de la Loi sur l'administration publique qui prévoit ça.

(Interruption)

M. Caire : Je sympathise. On va lire, M. le Président, on va lire à l'article en question, mais ceci étant dit…

M. Caire : ...l'article est valable pour l'ensemble des rapports annuels de gestion.

Mme Setlakwe : ...je comprends, M. le ministre, mais, à la lumière de... à la lumière des failles qui ont été mises de l'avant dans le dossier SAAQclic, qui font l'objet du rapport de la Vérificatrice générale... Son rapport parle beaucoup de reddition de comptes, de s'assurer que, pour les projets futurs, les chantiers majeurs en identité numérique... qu'on tire des leçons du passé et qu'on s'assure de faire tout en notre possible pour éviter que ces situations se reproduisent. On a entendu ce matin... bien, «ce matin», on l'entend depuis quelques jours, là, qu'il y aurait des rapports annuels de la SAAQ — c'est de la SAAQ? — qui, à partir d'une certaine année, ne parlent plus du déploiement de SAAQclic.

Alors, je pense que les questions, en ce moment, doivent être prises au sérieux et je pense qu'on devrait aller au fond des choses pour s'assurer qu'on soit très, très serré, et très rigoureux, et très strict par rapport à la chaîne de communication, pour s'assurer qu'il y ait une obligation de rendre des comptes par rapport au registre, par rapport à l'identité numérique nationale. Donc, je vous écoute, M. le ministre.

• (16 h 10) •

M. Caire : Bien, écoutez, je sais que nous avons une lecture différente du rapport de la Vérificatrice générale, ça, c'est assez clair, je pense que ça a été mis en lumière pendant la période des questions.

Mme Setlakwe : ...si vous me permettez, M. le Président.

Le Président (M. Rivest) : Mme la députée.

Mme Setlakwe : Juste bien comprendre. Vous venez de me dire qu'on a une lecture différente du rapport de la Vérificatrice générale.

M. Caire : C'est ce qui m'a semblé, effectivement.

Mme Setlakwe : Expliquez-moi en quoi on semble voir les choses différemment, sur quels enjeux. Sur l'enjeu de la reddition de comptes?

M. Caire : Ah! non, non, sur l'ensemble du rapport. Puis j'invite la collègue à réécouter les périodes de questions d'hier et d'aujourd'hui, mais...

Mme Setlakwe : Encore une fois, moi, mon regard n'est pas tourné vers le passé.

Des voix : ...

Le Président (M. Rivest) : Moi, je vous invite, là... je pense que... M. le député d'Orford... mais, effectivement...

M. Provençal : ...au niveau de la pertinence.

Le Président (M. Rivest) : ...oui, de revenir au sujet de l'étude de l'amendement. C'est ce que je vous propose aussi, là.

M. Provençal : C'est ça.

Le Président (M. Rivest) : On est en train de...

Une voix : J'aimerais...

Mme Setlakwe : ...c'est la pertinence?

M. Provençal : C'est : Tout discours doit porter sur le sujet en discussion, et le sujet en discussion, c'est l'amendement.

Mme Setlakwe : O.K. La...

Une voix : ...

Mme Setlakwe : Oui?

Le Président (M. Rivest) : Donc, je pense que, M. le ministre, vous pouvez poursuivre. Nous en étions à... sur le registre, là, au fait, qui est souhaité dans l'amendement. On peut poursuivre.

M. Caire : Bien, sur l'amendement, M. le Président, ce que je dis, c'est que les rapports annuels de gestion font état des opérations des ministères et organismes. Je comprends l'argumentaire de ma collègue, mais cette obligation-là, elle est remplie à chaque année. Puis, après ça, bien, libre aux différentes personnes intéressées de prendre connaissance des rapports puis de poser des questions en conséquence. Mais c'est parce que, là, ce que l'amendement dit, c'est : «Le ministre doit rendre des comptes annuellement du registre à la commission compétente de l'Assemblée nationale.» Bon, rendre quels comptes? À partir de quoi? Sur quoi? Du registre, mais rendre des comptes du registre, l'amendement, il ne dit pas grand-chose, d'une part.      D'autre part, ce que je dis, c'est qu'il y a déjà un ensemble de redditions de comptes qui est prévu. Là, j'ai donné celui de la CAI sur l'utilisation des renseignements qui sont collectés, qui sont utilisés, qui sont transmis. Donc, il y a... Puis ça, c'est public. Donc, il y a déjà une reddition de comptes qui se fait sur les renseignements. Je pense que cette obligation légale là par rapport au registre, elle est déjà... elle est déjà de nature à assurer une transparence sur l'utilisation des renseignements qui sont faits par le registre, puisque la loi 25 ici s'applique. Et, en plus... parce qu'on ne peut pas le... comme je dis, on ne peut pas analyser les choses de façon... isolément, il faut les prendre dans leur ensemble, en plus, il y a le rapport annuel de gestion. Maintenant, si le rapport annuel de gestion ne contenait pas des renseignements à la satisfaction des parties intéressées, bien, il y a toujours... il y a différents mécanismes qui permettent une reddition de comptes supplémentaire, M. le Président.

Le Président (M. Rivest) : Est-ce qu'il y a d'autres interventions?

Mme Setlakwe : Oui. Bien, possiblement que le libellé pourrait être...

Mme Setlakwe : ...changer, d'ailleurs, on aura d'autres formulations à soumettre. Mais j'aimerais revenir sur le fait que le contenu du rapport annuel, un élément discrétionnaire, est-ce qu'on peut juste élaborer là-dessus, me dire en vertu de quel article? Je pense qu'on était sur le point de nous dire ça, c'était... ça provenait de quelle source législative.

M. Caire : «Un ministère  ou organisme doit préparer un rapport annuel de gestion. Ce rapport doit notamment comprendre une présentation des résultats obtenus par rapport aux objectifs prévus par le bilan stratégique visés à l'article 8 et, le cas échéant, par le plan annuel de gestion des dépenses prévu à l'article 46;

«2° une déclaration du sous-ministre ou du dirigeant d'organisme attestant la fiabilité des données contenues aux rapports et des contrôles afférents, tout autre élément ou renseignement déterminé par le Conseil du trésor.

«Un rapport distinct doit être préparé pour toute unité administrative visée par une convention de performance et d'imputabilité ou être inclus dans une section distincte du rapport du ministère ou de l'organisme. Son contenu est déterminé dans cette convention ou, le cas échéant, à une entente de gestion.» Alors, voilà, voilà ce que la loi dit, M. le Président.

Le Président (M. Rivest) : Mme la députée.

Mme Setlakwe : Merci, M. le ministre. Mais, écoutez, j'ai pris note de certains éléments, donc, j'ai deux éléments. Premièrement, vous avez parlé de faire état des objectifs, des dépenses de contrôle. J'ai pensé aussi à la notion d'incidents... d'incidents de confidentialité, ce sont... Et ça m'amène à ma question générale. Ce ne serait pas, en fait, dans votre intérêt, de prévoir justement une obligation précise, spécifique d'éléments qui doivent être mis de l'avant, formulés dans un rapport annuel, justement, pour enchâsser dans la loi ce qui doit être... ce qui doit être fourni comme suivi. Cette discussion et la lecture de l'article ne vous inspirent pas à vouloir être plus spécifique dans la loi?

M. Caire : Bien, M. le Président, pour être honnête avec ma collègue, sans dire que la discussion n'est pas d'intérêt, ce n'est certainement pas la loi 82 qui va revoir les dispositions prévues pour l'ensemble des ministères et organismes dans ce que le rapport annuel de gestion... pardon, devrait contenir ou non. Ce que je dis...

Mme Setlakwe : Ce serait spécifique à...

M. Caire : Mais si je peux compléter la réponse, ce que je dis à  ma collègue, c'est qu'au niveau de la reddition de comptes, il y a déjà des dispositions qui sont prévues à la loi 25 et des dispositions qui sont prévues... publiques.

Mme Setlakwe : OK. Je comprends. Donc, à la loi 25, disons, des  incidents de confidentialité, ce serait une obligation d'en faire part en vertu de la loi 25.

M. Caire : Donnez-moi 30 secondes.

Le Président (M. Rivest) : Je vous ferais une petite proposition, compte tenu aussi de la longue séance que nous avons soulignée, si vous vouliez, nous pourrions suspendre quelques... peut-être un cinq minutes. Ça vous va? On va suspendre. Merci.

(Suspension de la séance à 16 h 18)

(Reprise à 16 h 30)

Le Président (M. Rivest) : Alors, merci à chacun d'entre vous. Nous en étions à l'étude de l'amendement de la députée de Mont-Royal-Outremont sur 10.7. Alors, je vous invite à poursuivre.

Mme Setlakwe : Oui, mais, en fait, c'est le ministre qui s'exprimait quand on a...

Le Président (M. Rivest) : D'accord.

M. Caire : J'avais complété, M. le Président.

Le Président (M. Rivest) : Avez-vous d'autres interventions?

Mme Setlakwe : Oui, on est encore dans la reddition de comptes. Moi, mon souvenir, c'est que le ministre avait... On comprend qu'il est grippé et qu'il devait préciser sa pensée par rapport à... Mais, si vous voulez, je vais lui remettre en contexte, donc, on est dans la reddition de comptes, s'assurer d'avoir tous les éléments spécifiques au projet d'identité numérique enchâssés dans la loi. Je comprends très bien qu'il y a des obligations qui existent dans d'autres lois, et il y en a même, on en a eu la lecture par Maître Bacon, il y a des obligations qui s'appliquent au contenu d'un rapport de gestion annuel qui s'applique à tous les ministères et organismes.

Je ne dis pas qu'il faut aller retoucher à ça, mais il me semble que ce serait dans l'intérêt du ministre d'avoir des dispositions claires et spécifiques et explicites quant à la reddition de comptes du projet d'identité numérique nationale, et j'avoue que je ne saisis pas la résistance. On a parlé, par exemple, je cherche ma liste - on a parlé par exemple de, suite à la lecture que faisait maître Bacon de la loi... Rappelez-moi, c'était quelle loi déjà?

Mme Bacon (Nathalie) : La Loi sur l'administration publique.

Mme Setlakwe : Merci, merci. Oui. Bon, il y a un élément du contenu d'un rapport de gestion annuel, un rapport annuel de gestion qui est discrétionnaire. On ne peut pas prévoir dans la Loi sur l'administration publique le contenu spécifique d'un rapport. Mais, moi, à la lecture de ce que j'ai entendu, il y a quand même des éléments qui pourraient être prévus dans la loi comme devant devant être prévus dans un rapport annuel, les objectifs, qui participe. On s'entend que c'est un projet transversal qui va toucher à d'autres organismes. Quels organismes participent? Quels ont été les incidents? Quels sont les contrôles qui sont mis en œuvre? Quels sont les risques qui sont encourus? Comment on a répondu à ces risques-là?

Je pense, c'est important qu'on aille au fond des choses. Le ministre semble me dire qu'il avait complété sa réponse, bien, je ne sais pas si, là maintenant, avec les éléments que je viens de mettre de l'avant, il y aurait autre chose à répondre, M. le Président.

M. Caire : Bien, M. le Président, c'est parce que ce que je dis à ma collègue, c'est que 1216, mais surtout 1217, 1218 de la loi prévoient déjà la reddition de comptes spécifique sur les sources officielles de données, donc, et à la Commission d'accès à l'information et à l'ensemble de la population du Québec, en publiant le rapport sur le site Internet.

Mme Setlakwe : Le rapport sur? 

M. Caire : Sur Internet.

Mme Setlakwe : Donc, le rapport qui est...

M. Caire : 1218, ça, c'est 1218.

Mme Setlakwe : Oui, le rapport qui est produit...

M. Caire : Donc, ici, ce qu'on dit aussi, puis la collègue y a fait référence tout à l'heure, la Commission d'accès a aussi... a publié un rapport sur les incidents de sécurité...

Mme Setlakwe : Sur les?

M. Caire : ...sur les incidents de sécurité, la Commission d'accès à l'information en est avisée puis va publier un rapport là-dessus. Alors, ce que je dis, c'est... Puis, en plus, à ça s'ajoute ce qui n'est pas optionnel, ce qui est obligatoire, la production d'un rapport annuel de gestion qui prévoit quand même que le rapport doit porter sur les stratégies qui ont été adoptées par les ministères et organismes.

Donc, oui, il y a une partie qui est discrétionnaire, mais en ce qui concerne l'identité numérique nationale et le registre de l'identité numérique nationale basé sur la source officielle de données, il n'y a rien discrétionnaire là-dedans...

M. Caire : ...il y a un rapport à la CAI puis il y a... le rapport est rendu public sur internet. Ça fait que c'est pour ça que je dis : Mais là on peut en rajouter, en rajouter, en rajouter, mais on a déjà, nous, un régime particulier à 12.17, 12.18.

Mme Setlakwe : O.K. Et c'est ce rapport qui est rendu obligatoire par 12.17, 12.18, va être public effectivement. Et quelles informations vont être prévues au niveau de la participation des organismes... des organismes publics?

M. Caire : Alors : «1° une description des renseignements personnels recueillis ou qui lui ont été communiqués ainsi que leur provenance;

«2° les noms des organismes publics à qui sont communiqués des renseignements personnels;

«3° une description des fins auxquelles les renseignements personnels sont recueillis, utilisés ou communiqués;

«4° une description des modalités de communication des renseignements personnels;

«5° une description des mesures propres à assurer la protection des renseignements personnels.»

Mme Setlakwe : O.K., je comprends. Mais, en termes de... je veux dire, étant donné que c'est un... On parle quand même d'un projet important, un projet de société. On en a déjà parlé, des différentes phases, la... celle qui... qui va être la prochaine à être livrée, si le portefeuille... Mais où est l'obligation du ministre de la Cybersécurité et du Numérique de faire une reddition de comptes sur l'avancement du chantier d'identité numérique? Mais je ne pense pas que c'est 12.17, 12.18. Ou est-ce que je me trompe?

M. Caire : Non, ça, on est dans le rapport annuel de gestion, d'une part. D'autre part, l'amendement de la collègue dit : «Le ministre doit rendre compte annuellement du registre à la commission compétente de l'Assemblée nationale.» Ça fait que ça non plus, ça n'a pas pour objet de faire un rapport sur l'état d'avancement de la transformation numérique.

Mme Setlakwe : Mais ça, je l'ai déjà dit, on peut... on peut soumettre un autre libellé, on peut le travailler ensemble. Je vous tends la main, on vous tend la main pour améliorer la reddition de comptes. On a entendu à maintes reprises dans le cadre des consultations. On a lu, vous et moi, de nombreux mémoires, parlent de... qui parlent de la transparence. On a entendu la Vérificatrice générale. Je sais que c'est un sujet délicat, mais elle est venue ici, en consultations, dans le cadre des consultations particulières sur le projet de loi n° 82. Et, encore une fois, M. le Président, je vais le dire avec la plus grande prudence, on a lu son rapport à la Vérificatrice générale. Et je n'ai pas le regard tourné vers le passé, vers SAAQclic, vers CASA, mais elle l'a dit, elle l'a dit publiquement aussi en ondes dans une entrevue à Patrick Lagacé. Au niveau du projet de loi n° 82 et du projet d'identité numérique nationale, elle a des préoccupations. Donc, on n'est pas ici dans une optique de regard tourné vers le passé, mais... mais... mais il faut quand même lire son rapport, et tirer des leçons, et s'assurer d'avoir une bonne reddition de comptes dans les projets futurs. Et ça, là-dessus, j'ose espérer qu'on a la même compréhension.

M. Caire : Sur les consultations particulières, là, ma collègue fait référence à la Vérificatrice générale qui est venue en consultations particulières, et, oui, c'est vrai. Ceci étant dit, M. le Président, ce que je dis à la collègue, c'est qu'on n'est pas non plus dans un vide absolu. Ce que je dis à la collègue... La collègue dit : Oui, mais là l'identité... Parce que, là, on évolue dans le narratif, je comprends, mais initialement on dit : Oui, mais l'identité numérique nationale, c'est important, donc il devrait y avoir une reddition de comptes sur l'identité numérique nationale. Ça, c'est le narratif de départ. L'amendement traduit ça. Là, maintenant, la députée de Mont-Royal Outremont dit : Oui, O.K., mettons que ça, ça va, mais allons-y plus largement, sur l'ensemble de la transformation numérique, et là la Vérificatrice générale nous enjoint plus de transparence, ce qui est vrai. Mais, si je me fie à l'amendement qui est proposé par ma collègue sur l'identité numérique nationale et le registre d'identité numérique nationale, 12.17, 12.18 fait le travail, et c'est la raison pour laquelle cet amendement-là ne nous convient pas.

Le Président (M. Rivest) : Est-ce qu'il y a d'autres interventions? Mme.

Mme Setlakwe : Très bien. Merci, M. le ministre. On a d'autres amendements qu'on pourra discuter. Pour ce qui est du registre 12.17... 12.16, 12.17, 12.18 nous permettent d'atteindre les objectifs. Une fois qu'on a dit ça, est-ce que... est-ce que vous souhaiteriez qu'on travaille ensemble...

Mme Setlakwe : ...un amendement au projet de loi pour aller plus loin que ce qu'exigent les articles qu'on vient de mentionner, là, de la LGGRI et parler plus spécifiquement du déploiement du projet? On a parlé, d'ailleurs, en... Quand on a entendu la lecture de la loi sur l'administration publique, on entendait les objectifs, les indicateurs. Ça peut... Là, ce serait... Évidemment, avec... vous et vos équipes, vous seriez mieux placés que nous, là, pour... Puis ça se voit dans d'autres projets de loi, là, on pourrait produire un texte, on pourrait travailler sur un texte qui pourrait assurer des suivis adéquats... des redditions de comptes adéquates, s'assurer qu'il y ait un rapport qui soit... qui soit produit annuellement sur l'avancement du projet, du chantier. Est-ce qu'il y a une ouverture à ce niveau-là?

• (16 h 40) •

M. Caire : Bien, est-ce qu'on peut disposer de l'amendement pour commencer, M. le Président?

Le Président (M. Rivest) : Nous pouvons, s'il n'y a pas d'autre intervention.

M. Caire : Moi, je...

Mme Setlakwe : Mon côté, sur celui-là, non. Je ne sais pas si ma collègue... Non.

Le Président (M. Rivest) : ...d'autre intervention, nous allons procéder à la mise aux voix. Est-ce que l'amendement à l'article 10.7 est adopté?

Des voix : Rejeté.

Le Président (M. Rivest) : Merci. Est-ce qu'à ce stade-ci... Je crois qu'il y a d'autres interventions ou d'autres amendements possibles. M. le député de Maurice-Richard.

M. Bouazzi : Oui, M. le Président, nous avons techniquement déjà déposé notre amendement pour le 10.7, et donc nous n'aurons même pas besoin de suspendre.

Le Président (M. Rivest) : Allons-y. C'est à l'écran dans quelques secondes. Vous pouvez en faire la lecture, M. le député.

M. Bouazzi : Il n'est pas encore à l'écran. J'espère qu'on a le bon. Parfait.

Donc, à l'article 10.7 de la Loi sur le ministère de la Cybersécurité et du Numérique introduit par l'article 6 du projet de loi, insérer au paragraphe un, au deuxième alinéa, après les mots «conservation sécuritaire», les mots «sur le territoire du Québec».

Cet amendement tombe sous le sens, M. le ministre. Je suis persuadé que personne ici ne voudrait que les données sensibles des Québécoises, des Québécois se retrouvent sur des serveurs à l'extérieur de notre propre territoire. Et donc je nous invite tout simplement à voter pour. Est-ce que le ministre est d'accord avec moi?

Le Président (M. Rivest) : M. le ministre.

M. Caire : Bien, comme j'ai expliqué, M. le Président, législativement, il y a des... bien, en fait, dans les accords que nous avons signés, il y a des dispositions qui font en sorte que je ne suis pas convaincu qu'on pourrait... qu'on pourrait adopter un tel article. Je vais, avec la permission du député de Maurice-Richard, valider ce que je dis à cette commission. Et donc peut-être qu'on pourrait suspendre quelques instants.

Le Président (M. Rivest) : Il n'y a pas de problème. Nous pouvons suspendre.

(Suspension de la séance à 16 h 43)

(Reprise à 16 h 59)

Le Président (M. Rivest) : Alors, nous sommes de retour. M. le député de...

Le Président (M. Rivest) : ...Richard.

M. Bouazzi : Oui, M. le Président, je propose de suspendre l'étude de cet amendement, le temps qu'on fasse plus de validation. C'est d'ailleurs la conversation que nous avions entre collègues pour avoir plus d'informations demain matin et pouvoir continuer la conversation avec les informations qu'il nous faut pour pouvoir statuer sur cet amendement.

Le Président (M. Rivest) : Super! Est-ce qu'on a consentement pour suspendre l'étude de l'amendement du député de Maurice-Richard?

M. Caire : Consentement.

Le Président (M. Rivest) : Consentement. Alors, maintenant, Mme la députée de La Pinière.

Mme Caron : Merci, M. le Président. J'aimerais que les documents qui ont été demandés durant la suspension soient déposés sur Greffier pour que tous les parlementaires puissent en prendre connaissance, s'il vous plaît.

Le Président (M. Rivest) : Est-ce qu'on a besoin du consentement? Est-ce que c'est possible?

• (17 heures) •

M. Caire : Je nous réserve, M. le Président, je nous réserve la possibilité soit de le transmettre aux parlementaires, soit de le déposer au comité, ce qui n'est pas exactement la même chose, parce que le transmettre au comité, l'avis juridique devient public. Or, les avis juridiques normalement selon... auxquels les ministres se rapportent dans les décisions qu'ils prennent selon la Loi d'accès à l'information, protection des renseignements personnels, sont des avis qui sont protégés et donc je ne pourrai pas les rendre publics, M. le Président. Donc, je ne peux pas consentir d'emblée à cette demande-là.

Le Président (M. Rivest) : Oui, Mme la députée.

Mme Caron : En fait, je ne veux pas que les... que seul le député de Maurice-Richard ait accès aux documents en question, je veux m'assurer que ma collègue députée de Mont-Royal—Outremont et moi-même aurons accès à la même information. C'était l'objet de ma demande.

Le Président (M. Rivest) : M. le ministre.

M. Caire : Oui. M. le Président, je m'engage à communiquer le renseignement aux collègues, bien évidemment. Maintenant, sous quelle forme est ce que ce sera? Par la voix de Me Bacon ou par la voie d'un avis juridique formel? Je me réserve le droit, M. le Président, de gérer cette situation-là, en conformité avec nos us, nos coutumes et surtout avec nos lois et nos règlements. Merci.

Le Président (M. Rivest) : Merci. Parfait. Alors, nous allons poursuivre avec Mme la députée de Mont-Royal—Outremont.

Mme Setlakwe : Oui. Juste un élément, M. le Président. Non, très bien. Nous aussi, on est... Évidemment que la question de l'hébergement sécuritaire, ça nous préoccupe. On se rappellera qu'avant d'entamer l'étude détaillée, nous avions déposé quatre motions préliminaires. Il y en avait une qui demandait d'entendre la présidente du Conseil du trésor. Il y en a une autre qui demandait qu'on ait un portrait complet de l'hébergement des données. Donc... Et ça nous a été refusé. D'ailleurs, on n'a même pas eu... on n'a pu entendre le ministre sur ces motions-là. Donc, il est clair que pour nous, c'était des éléments qu'il fallait prendre en considération dans le cadre de l'étude détaillée. C'était des préoccupations légitimes. Et puis l'amendement du... qui est proposé par notre collègue de Maurice-Richard mais évidemment suscite des questions. Donc, voilà, c'était simplement pour rappeler que ça touche un élément sur lequel nous sommes préoccupés depuis un bout. Merci.

Le Président (M. Rivest) : Merci. Donc, à ce stade-ci, je crois qu'il y avait le dépôt d'un autre amendement. Alors, je...

Mme Setlakwe : ...

Le Président (M. Rivest) : Oui, il va venir à l'écran. Je vous invite à en faire la lecture, Mme la députée de Mont-Royal—Outremont.

Mme Setlakwe : Oui. Tout à fait. Merci. Merci. Donc, nous proposons de modifier le quatrième alinéa de l'article 10.7 de la Loi sur le ministère de la Cybersécurité et du Numérique, tel que proposé par l'article 6 du projet de loi, par l'insertion après «renseignements personnels» de «incluant toute forme de traitement automatisé de ces renseignements»; deuxièmement, par l'insertion après «des fins d'analyse» de «ou prédiction»; troisièmement, par le remplacement de «ou du comportement» par «de la fiabilité du comportement de localisation ou des déplacements».

L'article modifié se lirait comme suit : Donc, article 10.7 à partir du troisième alinéa, donc : Le ministre ne peut utiliser ces données à des fins de profilage des personnes. Le profilage s'entend de la collecte et de l'utilisation de renseignements personnels, incluant toute forme de traitement automatisé de ces renseignements afin d'évaluer certaines caractéristiques d'une personne physique, notamment à des fins d'analyse ou prédiction du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts et de la fiabilité du comportement, de la localisation ou des déplacements de cette personne...

Mme Setlakwe : ...M. le Président, cette question... Bien, on a parlé tout à l'heure de la localisation. J'attendais une réponse puis je pense que le ministre avait répondu : Bien, parlons-en dans un amendement futur. Rappelons-nous qu'on a eu plusieurs ... il y a plusieurs mémoires qui ont mis de l'avant cette préoccupation au niveau du profilage. Une des informations qu'on a... il y a la question de... il ya la CAI, je vais revenir, mais on a... on nous a dit qu'"il serait opportun de renforcer la définition du profilage pour l'aligner en partie sur celle du Règlement général sur la protection des données de l'Union européenne, qui définit le profilage d'une façon semblable à nous, mais qui va plus loin avec les éléments qui sont qui sont en gras, donc, que nous proposons par des ajouts.

Donc, j'aimerais, s'il vous plaît, entendre le ministre à savoir s'il juge opportun d'étoffer la définition de profilage, sachant que les technologies évoluent, sachant qu'il y a l'intelligence artificielle qui est une préoccupation. Donc, j'aimerais l'entendre sur tous ces éléments, là qu'on demande qui soient ajoutés à la définition, s'il vous plaît.

Le Président (M. Rivest) : Merci. M. le ministre.

M. Caire : Oui, M. le Président. Bien, sur la question des traitements automatisés, je pense qu'on a longuement débattu de ça, donc...

Mme Setlakwe : ...

M. Caire : Sur la question des traitements automatisés et l'interdiction des traitements automatisés. On a longuement débattu de ça, donc je ne reviendrai pas là-dessus, le point est fait. Sur la question de la fiabilité, je ne vois pas vraiment à quoi ça a un rapport avec le profilage. «De la localisation ou des déplacements de cette personne», bien, ce n'est pas du profilage.

Mme Setlakwe : ...

M. Caire : Puis, «à des fins d'analyse ou de prédiction du rendement au travail ou de prédiction du rendement au travail», je ne suis même pas sûr que ce je sais ce que ça veut dire, «prédiction du rendement au travail».

Mme Setlakwe : Bien, c'est pour prédire... La définition de l'Union européenne, dans sa définition de profilage, on parle de «toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité... la fiabilité d'une personne, le comportement, la localisation ou les déplacements de cette personne physique».

M. Caire : Bien, c'est ça, M. le Président, là, comme j'ai dit à ma collègue, interdire toute forme de traitement automatisé, j'ai répondu à ça. La prédiction du rendement au travail, je ne suis pas convaincu. La fiabilité, ça, je ne comprends pas. Parce que c'est la fiabilité qui est entre deux virgules, donc c'est de la fiabilité, ça devient... en quoi ça devient du profilage.

Pour la localisation ou les déplacements, de mémoire, Me Bacon va vérifier, mais de mémoire, il y a des dispositions dans la loi no 25... Balisé, on ne l'avait pas interdit, on l'avait balisé, notamment parce que... un des exemples qu'on avait donné, c'est, par exemple, un employé d'Hydro-Québec qui va dans des endroits qui sont plus éloignés.

Bien, tu sais, s'il arrive quelque chose, on ne sait pas il est où, puis, un moment donné... Mais c'est balisé, là, c'est balisé, on ne peut pas... on ne peut pas faire de la localisation des déplacements à tout propos. Puis, ça, dans mon souvenir, c'est dans la loi no 25.

Mme Setlakwe : Bien, si c'est interdit, pourquoi on hésite à le dire de façon explicite. Surtout que la CAI le mentionne aussi dans son mémoire.

M. Caire : Lequel des éléments?

Mme Setlakwe : La localisation.

M. Caire : En fait c'est que ce n'est pas interdit, c'est balisé. Comme je vous dis, il y a des cas où c'est la sécurité des personnes qui est en jeu, où, là, on l'autorise. Il y a des cas, par exemple, lorsque vous... acquérez... acquérez, acquérir, en tout cas, vous achetez par exemple un véhicule, s'il y a un processus... s'il y a un système de géolocalisation, il doit par défaut être désactivé. Donc, vous avez, vous, la possibilité de l'activer, ce qui revient au consentement. Donc, il y a différents... Dans la loi no 25, il y a différentes dispositions qui balisent la localisation. Et vous, ce que vous faites, c'est de venir interdire, dans une loi subordonnée, ce qui est balisé et donc permis dans une loi qui est...

M. Caire : ...supérieur hiérarchiquement. Donc, déjà là, je ne pense pas qu'on puisse faire ça ici. 65.0.1 de la loi n° 25. Donc, cet élément-là, à mon avis...

Des voix : ...

Le Président (M. Rivest) : Est-ce qu'il y a d'autres interventions? Mme la députée de La Pinière.

Mme Caron : Merci, M. le Président. Je ne pense pas qu'on parle du tout de la même chose ici. On définit le profilage, le profilage qui est la collecte ou l'utilisation de renseignements personnels, incluant toute forme de traitement automatisé de ces renseignements afin d'évaluer certaines caractéristiques d'une personne physique, notamment à des fins d'analyse ou de prédiction. Alors, ce n'est pas... on ne parle pas de prédiction du rendement au travail, ce n'est pas ça le thème, c'est : afin d'évaluer certaines caractéristiques d'une personne physique, notamment à des fins d'analyse ou de prédiction. Donc, c'est l'utilisation... la collecte de renseignements personnels, l'utilisation des renseignements personnels ou de toute forme de traitement automatisé de ces renseignements pour faire une analyse ou pour prédire ce que va faire la personne.

• (17 h 10) •

Par exemple, on pourrait... on pourrait dire : Ah! Sur la base des renseignements personnels qu'on a recueillis, on analyse que cette personne-là n'aura pas un bon rendement au travail, on prédit qu'elle n'aura pas un bon rendement au travail, ou on dit : Hum, sa situation économique, d'après les analyses qu'on a, c'est une personne qui va finir par avoir tel ou tel comportement. Même chose, donc la santé, ses préférences personnelles, ses intérêts, sa fiabilité, son comportement, sa localisation ou ses déplacements. On ne parle pas de localiser une personne qui est perdue en forêt, là, on parle d'utiliser des renseignements personnels qui ont été collectés dans le cadre de profilage pour analyser comment vit cette personne-là, comment se déplace cette personne-là, comment elle risque d'agir à l'avenir.

Et c'est là le danger du profilage, c'est qu'on dise : Ah! cette personne-là fait toutes ces choses-là, alors on ne va pas lui donner accès à tel programme, là, parce qu'on va perdre de l'argent pour rien, ou parce qu'elle fait tel ou tel comportement, ou elle a eu telle situation économique, et puis on va la mettre sur... je caricature, là, sur une liste noire pour ne pas lui offrir tel ou tel service public. Je ne dis pas que c'est ça, l'objet du projet de loi, là, pas du tout, mais le profilage, c'est... On parle de risques de dérives du profilage, les situations que je vais de décrire, c'est ça, ce sont les dérives possibles du profilage. Et la raison pour laquelle les groupes sont venus nous dire, durant les consultations : Il faut renforcer le paramétrage, il faut renforcer la question du profilage, c'est justement de ne pas... de mettre des balises pour pas que le profilage dérive en vienne à cela. Alors, c'est le but de l'amendement.

Le Président (M. Rivest) : Merci, Mme la députée. J'ai juste une intervention ici de M. le député de Beauce.

M. Provençal : M. le ministre, me permettez-vous de... Mme la députée, moi, j'essaie de bien comprendre votre intervention. L'introduction de l'article 10.7, dit bien : Le ministre ne peut utiliser ces données à des fins de profilage des personnes. Donc, il n'utilisera pas, ça, là, c'est clair. Mais, après ça, on avait comme défini la notion de profilage. Et quelle est la plus-value d'ajouter ces éléments-là considérant qu'il ne peut pas les utiliser. C'est ça que j'essaie de bien comprendre dans votre intervention.

Mme Caron : Bien, je me rapporte... Je me rapporterai aux groupes qui sont venus durant les consultations nous dire que ce n'était... il fallait renforcer la protection contre le profilage. Alors, oui, effectivement, le ministre ne peut utiliser ces données à des fins de profilage de personnes, mais les fins de profilage de personnes, ça ne comprend aussi pas juste d'analyser leurs renseignements personnels et certaines caractéristiques, mais ça comprend aussi de prédire ce qu'ils pourraient faire à l'avenir à l'aide de ces renseignements personnels. Et ça, on ne l'a pas dans la définition. Alors, c'est pour ça, c'est pour avoir une définition qui est comme plus complète, pour s'assurer qu'on ne va pas... on ne va pas dans ces directions là. Parce que, sinon, on pourrait dire : Bien, le ministre ne peut utiliser ces données à des fins de profilage, puis le profilage, bien, c'est juste de... c'est tout ce qu'il y a là à des fins d'analyse, mais c'est aussi à des fins de prédiction. Alors, si on ne le met pas, bien, c'est comme si on peut dire : O.K., le ministre ne va pas... ne peut pas utiliser ces données pour des fins d'analyse, mais il pourrait les...

Mme Caron : ...utilisées pour des fins de prédiction. Alors, c'est pour ça que les groupes me disaient qu'il faudrait renforcer la question de l'interdiction du profilage en décrivant mieux ce que peut être le profilage pour éviter des dérives.

Le Président (M. Rivest) : Merci, Mme la députée. Est-ce qu'il y a d'autres interventions? Mme la députée de Mont-Royal—Outremont.

Mme Setlakwe : Oui, bien sûr. En tout respect, là, pour notre collègue de Beauce-Nord, l'interdiction du profilage, on l'a bien compris, évidemment, mais le paragraphe subséquent a sa raison d'être parce qu'on définit ce qu'on entend par profilage. Donc, je pense que... Je ne sais pas si on remet en question la pertinence d'avoir une définition de profilage. J'imagine que ce n'est pas ça le... Non? Mais la définition de profilage, elle est rattachée à l'interdiction d'utiliser des données à des fins de profilage. Donc, je pense qu'il est tout à fait pertinent de débattre de la définition de profilage. Et ma collègue l'a vraiment bien expliqué, parce que la définition, elle est rattachée à une interdiction, et on l'a entendu en commission. Ce n'est pas un caprice de l'opposition officielle. La notion du profilage, si on faisait le décompte de tous les mémoires qui en parlent et toutes les personnes qui nous ont écrit aussi pour nous dire qu'ils étaient préoccupés, et aussi la CAI, la Commission d'accès à l'information nous dit de renforcer la définition de profilage. Donc, maintenant, il est temps d'entendre le ministre à savoir s'il entend bonifier la définition de profilage, M. le Président.

Le Président (M. Rivest) : Merci. Alors, M. le ministre.

M. Caire : Bien, j'ai déjà... J'ai déjà répondu, M. le Président. Alors, incluant toute forme de traitement automatisé. J'ai qu'interdire ça n'était pas une bonne idée. L'analyse inclut la prédiction, ce n'est pas nécessaire. La fiabilité, je ne vois pas ce que ça vient faire. Puis la localisation et le déplacement, c'est l'article 65.0.2 de la loi, la Loi d'accès à l'information et la protection des renseignements personnels qui inclut la définition qui est dans la loi qui vient d'être nommée... d'être votée à l'unanimité par l'Assemblée nationale. Donc, ce débat-là, il a été fait, il a été cautionné par l'Assemblée nationale. Ça fait que refaire le débat, O.K., mais pourquoi? Si l'Assemblée nationale a jugé, il y a à peine quelques années, que cette définition-là était correcte, pourquoi, aujourd'hui, cette définition-là ne fonctionne plus?

Le Président (M. Rivest) : Est-ce qu'il y a d'autres interventions? Mme la députée de La Pinière?

Mme Caron : Bien, je dirais que le domaine des technologies, le profilage, c'est quelque chose qui a évolué avec l'utilisation de l'intelligence artificielle notamment. Et aujourd'hui, bien, peut-être que ce n'était pas le cas lorsque la définition a été utilisée, et acceptée, et débattue par l'Assemblée nationale par le passé, mais on est en train d'adopter une loi qui met les bases, le cadre juridique de l'identité numérique nationale. C'est une loi, je dirais, qui est ultra moderne pour le monde moderne, mais je pense qu'il faut qu'on s'ajuste. Et le profilage, c'est plus que juste de l'analyse de données. C'est aussi la prédiction de comportements des personnes. Puis il faut qu'on se mette... il faut qu'on se mette au goût du jour pour ne pas que... pour renforcer le plus possible la protection contre le profilage qui n'était peut-être pas, qui n'était sûrement pas la même chose il y a quatre ans, il y a cinq ans, qu'il est aujourd'hui.

Le Président (M. Rivest) : Merci, M. le ministre.

M. Caire : Je ne partage pas le point de vue de ma collègue, M. le Président.

Le Président (M. Rivest) : Est ce qu'il y a d'autres interventions?

Mme Setlakwe : Oui, M. le...

Le Président (M. Rivest) : Allez-y, Mme la députée de Mont-Royal—Outremont.

Mme Setlakwe : Bon, on va continuer de porter la voix de ceux qui nous écrivent et qui suivent la commission. On était préoccupés... Encore une fois, la question de prédire des comportements, des situations, ma collègue en a fait un énoncé vraiment très, très clair, c'est quelque chose qui est prévu dans un règlement de l'Union européenne. Je serais curieuse de savoir si la légiste aurait des commentaires par rapport à ça. Est-ce qu'il y a une étude qui a été faite de la définition de profilage par rapport aux autres juridictions ou est ce que le ministre souhaite répondre?

M. Caire : C'est juste que c'est au ministre de répondre.

Mme Setlakwe : Oui, non, tout à fait. Je suis désolée. Alors, est-ce que le... Est-ce que le ministre a étudié la définition de profilage qui existe dans d'autres juridictions?

Le Président (M. Rivest) : On va écouter la réponse de M. le ministre.

M. Caire : Ça a été... Quand on a écrit la loi n° 25, oui, ça a fait partie des évaluations...

Mme Setlakwe : ...Donc, le ministre ne souhaite pas amender la définition de profilage quelques années plus tard dans le contexte de l'identité numérique nationale.

M. Caire : Bien, surtout pas d'avoir une désynchronisation entre deux lois. Donc, la loi 25 aurait une définition puis la loi... la LGGRI en aurait une autre? Non, je ne souhaite pas ça.

Mme Setlakwe : Est-ce qu'il y a une interdiction de mettre à jour deux lois, disons, non, en même temps?

M. Caire : Bien, il n'y a pas d'interdiction.

Mme Setlakwe : Si c'était jugé opportun?

M. Caire : Je ne partage pas le point de vue des collègues que le travail qui a été fait il y a quatre ans aujourd'hui puis... bon, ça, je ne partage pas ce point de vue là. Je pense que le travail que les parlementaires ont fait il y a quatre ans est encore tout à fait d'actualité aujourd'hui. Puis j'ai pris point par point, là, en disant : Bien, l'automatisation, ça ne tient pas la route, l'analyse avec la prédiction, puis la localisation est déjà prévue à la loi 25, l'encadrement. Alors, je ne veux pas interdire dans cette loi-là. Dans une définition, je vais interdire ce qu'on a autorisé suite à un débat sur... à l'article 65.0.2, M. le Président? C'est là... permettez-moi de douter, là.

• (17 h 20) •

Le Président (M. Rivest) : Est-ce qu'il y a d'autres interventions?

Mme Setlakwe : Oui, j'entends. Donc, la question de la prédiction, vous dites : C'est inclus dans analyse.

M. Caire : Oui.

Mme Setlakwe : O.K. Donc, c'est déjà... vous n'êtes pas contre, vous dites : C'est déjà prévu dans analyse. J'avais juste l'impression que la première réaction, ce n'était pas dans ce sens-là. Donc, c'est déjà... O.K. Donc, c'est... vous n'êtes pas contre le... vous n'avez rien contre ce terme-là, vous dites : C'est déjà inclus. O.K.

M. Caire : Oui.

Le Président (M. Rivest) : D'autres interventions?

Mme Setlakwe : Parfait. Oui, je dirais simplement, en terminant, là, j'ai l'impression que l'amendement ne sera pas approuvé, que ce qu'on nous a soumis, c'est que le numérique permet d'accumuler une quantité de données toujours plus grande sur chaque individu dans sa vie personnelle et professionnelle, notamment par la surveillance, caméras, capteurs, logiciels de surveillance à distance, etc. Et c'est là qu'on nous demandait de prévoir une définition du profilage plus étoffée et surtout prévoyant que le profilage inclut la prédiction puisque les systèmes d'intelligence artificielle peuvent être utilisés à cette fin par un gouvernement avec des résultats, d'après ce que la personne a lu jusqu'ici, plutôt décevants. Donc, encore une fois, ce n'est pas opportun de... ce que j'entends, c'est que ce n'est pas opportun de toucher à la définition de profilage. Pour ce qui est de la CAI, dans son mémoire, à la page 21, vous répondez la même chose quand ils nous demandent d'avoir un projet de loi plus spécifique en ce qui concerne le... bon, le traçage et la géolocalisation. La commission propose d'ajouter des limites législatives claires et plus exhaustives relativement aux données contenues et résultant du système de l'identité numérique.

M. Caire : Bien, oui, parce que, comme je le dis à ma collègue, ce débat-là, on l'a fait quand on a utilisé la loi 25 sur la localisation, et le balisage qu'on a inclus dans la loi était à la satisfaction de l'ensemble des parlementaires, M. le Président.

Mme Setlakwe : Ah! nous, on a... en tout cas, pour des fins de... que les choses soient... soient mises à l'avant, et expliquées, et dites au micro en commission parlementaire, bien, on met de l'avant les éléments qui sont... qui sont soulignés dans le mémoire de la CAI. On se rappelle qu'ils ont un mandat de promotion et de respect des droits des citoyens pour non seulement l'accès aux documents des organismes publics, mais aussi à la protection de leurs renseignements personnels. Donc, on jugeait à propos de relayer leurs préoccupations, M. le Président.

Le Président (M. Rivest) : Merci. Est-ce qu'il y a d'autres interventions? S'il n'y a pas d'autre intervention, nous allons mettre aux voix. Est-ce que l'amendement à l'article 10.7 est adopté?

Des voix : Adopté.

Des voix : Rejeté.

Le Président (M. Rivest) : Rejeté. Alors, nous en sommes maintenant à l'étude de l'article 10.8.

Mme Setlakwe : ...

Le Président (M. Rivest) : h! pardonnez-moi. Excusez-moi, M. le ministre. Oui, je vous écoute.

Mme Setlakwe : M. le Président, non, j'avais... on avait d'autres amendements à 10.7.

Le Président (M. Rivest) : Ah! parfait, excusez-moi.

Mme Setlakwe : Merci.

Le Président (M. Rivest) : D'accord. Donc, est-ce que l'amendement est déposé sur Greffier?

Mme Setlakwe : Oui.

Le Président (M. Rivest) : O.K. Vous pouvez en faire la lecture. Donc, il y a un amendement sur l'article 10.7.

Mme Setlakwe : Oui. Donc, nous proposons de modifier l'article 10.7 de la Loi sur le ministère de la Cybersécurité et du Numérique... Non?

Des voix : ...

Des voix : ...

Le Président (M. Rivest) : On va suspendre quelques instants. Merci.

(Suspension de la séance à 17 h 24)

(Reprise à 17 h 26)

Le Président (M. Rivest) : Alors, nous allons reprendre l'étude de l'amendement de l'article 10.7. Mme la députée de Mont-Royal—Outremont.

Mme Setlakwe : Merci, M. le Président. Donc, nous proposons de modifier l'article 10.7 de la Loi sur le ministère de la Cybersécurité et du Numérique, tel que proposé par l'article 6 du projet de loi, par l'insertion, après le troisième alinéa, du suivant :

«Et, en cas de manquements ou défaillances majeures, le ministre est tenu de déposer un rapport d'incidents complet à l'Assemblée nationale dans les plus brefs délais.»

Donc, l'article modifié se lirait comme suit :

«Est institué le registre de l'identité numérique nationale sous la responsabilité du ministre. Ce registre constitue un système de dépôt et de communication des données numériques gouvernementales.

«Ce registre doit notamment permettre :

«1° la conservation sécuritaire, pour le compte d'un organisme public, de tout ou partie de ces données;

«2° la communication entre organismes publics de ces données;

«3° l'accès à ces données;

«4° la traçabilité de tout accès au registre par une personne, que ce soit pour y déposer ces données, les utiliser ou en recevoir la communication;

«5° toute autre fonctionnalité déterminée par règlement du ministère.

«Le ministre ne peut utiliser ces données à des fins de profilage des personnes.

«En cas de manquements... Et, en cas de manquements ou de défaillances majeures, le ministre est tenu de déposer un rapport d'incidents complet à l'Assemblée nationale dans les plus brefs délais.

«Le profilage s'entend de la collecte et de l'utilisation de renseignements personnels afin d'évaluer certaines caractéristiques d'une personne physique, notamment à des fins d'analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne.» Donc, M. le Président...

Le Président (M. Rivest) : ...juste... je dois vous spécifier, là, les quelques manquements de trois «de» à l'intérieur de la lecture. Donc, on doit ajouter «en cas de»... «Et, en cas de manquements», «de défaillances» et «tenu de déposer». Je voulais vous en informer. Merci. Poursuivez, Mme la députée.

Mme Setlakwe : Je suis entièrement d'accord. C'est notre erreur.

Le Président (M. Rivest) : Il n'y a pas de problème.

Mme Setlakwe : Donc, oui, effectivement, il manquait... il manquait des mots. J'espère que les collègues vont comprendre le fond de... le fond de l'amendement.

Le Président (M. Rivest) : Oui, oui. Vous pouvez poursuivre.

Mme Setlakwe : Donc, en cas de manquements ou de défaillances majeures, on souhaiterait que le ministre soit tenu de déposer un rapport d'incidents complet à l'Assemblée nationale dans les plus brefs délais. Il peut y avoir des manquements, il peut y avoir des défaillances. C'est, encore une fois, un projet de grande envergure. On tente, encore une fois, d'assurer des mécanismes de reddition de comptes, d'assurer que les incidents soient rapportés, que les manquements soient rapportés, que les défaillances soient rapportées, qu'il y ait des rapports d'incidents. On souhaite donc assurer un suivi du projet. C'est dans cet esprit-là que nous soumettons cet amendement, M. le Président.

Le Président (M. Rivest) : Merci. Allez... Pour vous, M. le ministre.

M. Caire : M. le Président, je suis désolé, mais ça ne veut rien dire, «en cas de manquements ou de défaillances». Bien, par rapport à quoi? Bien, défaillances de quoi, manquements de quoi...

M. Caire : ...alors, ça ne veut rien dire cet amendement-là, M. le Président. 

Le Président (M. Rivest) : Est-ce qu'il y a d'autres interventions?

Mme Setlakwe : Bon, M. le Président, je nous ramène à notre discussion d'un peu plus tôt, où nous tendions la main au ministre. Nous lui disions qu'à la lumière des recommandations de la Vérificatrice générale, entre autres, dans son rapport qui a été déposé la semaine dernière, qui a énoncé des préoccupations sérieuses par rapport au projet d'identité numérique... par rapport à des questions de sécurité et de protection des renseignements. Elle a demandé notamment un plan complet de déploiement de planification. Elle a dit : Assurez-vous d'avoir un encadrement serré, il va y avoir des entreprises externes. Elle nous a implorés donc de tirer des leçons et de s'assurer d'avoir un encadrement adéquat et suffisant pour s'assurer que les manquements en termes de transparence, de communication des informations aux décideurs...

• (17 h 30) •

Je pourrais continuer, il y a beaucoup de préoccupations au niveau de la reddition de comptes au niveau des mécanismes de suivi qui sont... qui ont été mis de l'avant. Et donc je tends la main au ministre, peut-être que le libellé n'est pas idéal, mais on a tenté par... à plusieurs occasions, par le biais de plusieurs amendements... Vous comprenez que, nous, on n'a pas le bénéfice d'avoir toutes les équipes comme celles qui entourent... On a des personnes exceptionnelles à nos côtés, mais on n'est pas accompagné de légistes et d'équipes gouvernementales. Donc, on tend la main encore une fois au ministre en lui proposant de bonifier la loi. Et je pense que ça pourrait même le protéger, lui aussi, pour s'assurer que ce soit clair qu'il y ait des dispositions claires en termes de suivi et de reddition de comptes. Voilà, c'est... Je tends, encore encore une fois, la main au ministre pour qu'on puisse travailler sur un libellé adéquat.

Le Président (M. Rivest) : M. le ministre.

M. Caire : Oui, mais ce n'est pas une question de libellé. M. le Président, des mécanismes de reddition de comptes, il en existe, là... en est un. L'obligation qui est faite...

Mme Setlakwe : ...je n'ai pas compris le premier.

M. Caire : Le CIGRI en est un, SEAO en est un, les obligations qui sont faites de déclarer les incidents de sécurité, à la CAI, c'en est aussi. À l'inverse, moi, je vais dire à ma collègue qui est quand même députée à l'Assemblée nationale, légiste, qu'est-ce qu'elle trouve qui ne marche pas dans ces mécanismes-là qui ont été mis en place au fil du temps?

Mme Setlakwe : Mais, clairement, on a eu la démonstration dans les derniers jours, dans les dernières semaines, que, dans certains dossiers, il peut y avoir des manquements, et on veut s'assurer qu'il y ait des suivis, qu'il y ait des indicateurs, qu'il y ait des suivis de ces indicateurs-là, qu'il y ait des objectifs qui soient mis de l'avant, qu'il y ait des étapes. C'est ça, une feuille de route, c'est ça, un projet, c'est ça, une planification.

Alors, je pense que, dans les... qu'il va falloir qu'on suive toutes les étapes du déploiement du projet d'identité numérique nationale, bien... de façon beaucoup plus large que simplement les manquements. Mais on essaie de différentes façons de bonifier la reddition de comptes, on a parlé un peu plus tôt de la question du contenu du rapport annuel de gestion qui... bon, pour lequel il y a une discrétion qui est exercée. On veut s'assurer que, dans le futur, pour le déploiement du projet d'identité numérique nationale, l'ensemble des parlementaires et surtout les Québécois puissent être en mesure de suivre les développements et de suivre l'avancement du projet. Merci.

Le Président (M. Rivest) : Est-ce qu'il y a d'autres interventions?

M. Caire : Bien, rapidement, M. le Président. Il y a des mécanismes de reddition de comptes qui se sont mis en place au fil du temps. Donc, je ne sais pas à quel rapport de la Vérificatrice générale ou à quelle intervention de la Vérificatrice générale fait référence ma collègue. Mais, moi, je lui dis, là, sur les manquements et les défaillances avec la loi 25 qu'on a adoptée en 2021, donc, c'est quand même assez récent, il y a cette obligation de déclaration là à la CAI. Le projet de loi n° 82 amène une déclaration obligatoire des incidents au niveau privé. Donc, si on adopte 82, on aura cette reddition de comptes là supplémentaire. Le CIGRI donne l'état d'avancement de tous les projets...

M. Caire : ...en ressources informationnelles du gouvernement du Québec, c'est public, SEAO donne la situation de tous les contrats qui sont signés par le gouvernement du Québec, c'est public. Donc, je repose ma question : Qu'est-ce... Qu'est-ce... Selon la collègue, qu'est-ce qui ne fonctionne pas là-dedans?

Mme Setlakwe : Si vous me permettez, M. le Président, bien, juste pour clarifier pour les fins de la discussion. Évidemment, je réfère au rapport de la Vérificatrice générale, Mme Guylaine Leclerc, qui a été déposé jeudi dernier. J'en ai une page sous les yeux, la page 54, ça, c'était le sommaire. Elle a cinq recommandations. Et la dernière se lit comme suit : «Réviser la méthode utilisée pour la reddition de comptes liée aux travaux de développement informatique, dont les indicateurs, afin de fournir une information fiable, suffisante et pertinente aux instances de gouvernance, aux organismes externes et à la population.»

Le Président (M. Rivest) : ...

M. Caire : Je réitère à ma collègue que, depuis la genèse du projet qui a été analysé par la Vérificatrice générale, il y a des mesures de contrôle qui ont été mises en place.

Mme Setlakwe : Vous référez à des mesures qui ont été ajoutées à quel moment?

M. Caire : L'AMP en 2017, SEAO, on vient de faire une refonte complète de SEAO, SIGRI, je ne sais pas exactement, là, la CAI en 2021. Alors, il y a plusieurs mesures comme ça qui ont été mises en place au fil du temps. Puis c'est un peu ce que j'expliquais à la collègue. On ne peut pas analyser la performance de ces mesures de contrôle là à l'aune d'un projet qui a débuté avant qu'on les mette en place et surtout dont les lacunes ne relèvent pas que des mécanismes de contrôle.

Puis ce que... ce que la Vérificatrice générale souligne, ce n'est pas exclusivement sur les mesures de contrôle. Je rappelle à ma collègue que la SAAQ a été dispensée des autorisations prévues à la loi par décret du gouvernement. Je rappelle à ma collègue qu'il y a quand même des allégations très graves qui ont été faites par la Vérificatrice générale sur les gens qui avaient des comptes à rendre et qui ne l'ont pas fait de façon correcte. Alors, ça, c'est... c'est... Je comprends, là, je comprends l'idée, mais il y a plusieurs éléments qui ont été mis en place et qui vont servir d'ailleurs dans cette... dans cette situation-là.

Le Président (M. Rivest) : ...Mme la députée.

Mme Setlakwe : Oui. Juste pour... Juste pour reprendre une partie de ce que le ministre vient de mentionner. Il a parlé de mesurer la performance. Comment entend-il mesurer la performance de l'identité numérique nationale?

M. Caire : Je ne comprends pas la question.

Mme Setlakwe : Comment allez-vous mesurer la performance de l'identité numérique nationale? Avec quels indicateurs par exemple? Vous ne comprenez pas ma question?

M. Caire : Non.

Mme Setlakwe : Non. Alors, comment allez-vous expliquer à la population... Par exemple, j'imagine, vous allez fixer des objectifs et ensuite vous allez devoir...

M. Caire : Bien, je rappelle à ma collègue que l'utilisation de l'identité numérique nationale n'est pas obligatoire.

Mme Setlakwe : Mais, même si ce n'est pas obligatoire, j'imagine, vous avez des objectifs, que ce soit que la population y adhère, que les organismes publics y adhèrent, qu'il y ait une amélioration de la prestation des services. Je suis un petit peu étonnée, là. Vous dites il y aura... Vous semblez trouver que ma question n'est pas claire : mesurer la performance d'un projet. On dirait que je vous ouvre la porte à dire que... à exprimer votre vision et comment vous allez suivre l'évolution du projet et en expliquer les...

M. Caire : Bien, c'est... c'est... c'est deux choses différentes, là. Suivre l'évolution du projet, je réitère à ma collègue, il y a... en tout cas, si on en parle de façon publique et dans le cadre de l'amendement qui est déposé par ma collègue, il y a le SIGRI, qui donne l'état d'avancement des projets, de tous les projets en ressources informationnelles du gouvernement du Québec, donc, l'ensemble de la population peut suivre l'état d'avancement des projets, SEAO, même chose, va donner, au niveau des contrats qui sont... qui sont donnés... Donc, nous, effectivement, on a un calendrier de réalisation. Et comment je fais le suivi? Bien, c'est... on va monitorer si le calendrier de réalisation est respecté. C'est comme ça que, moi, je le fais à l'interne.

Mais ce n'était pas ça, la question de la collègue, là. Le narratif... Le narratif a été précisé, je dirais. Elle m'a dit : Comment vous allez mesurer la performance de l'identité numérique? Puis je dirais...

M. Caire : ...d'instinct, parce que je ne suis pas convaincu que je comprends la question de ma collègue, c'est : Est-ce qu'il y a des incidents de sécurité? Et ça, c'est... unité... je pense que c'est une bonne unité de mesure. Est-ce que l'identité numérique a été piratée? Est-ce qu'il y a du vol de données? Est-ce qu'il y a de l'usurpation d'identité? Est-ce qu'il y a des introductions frauduleuses dans nos systèmes? Ça, c'est une façon de mesurer la performance. Mais je ne suis pas sûr que c'est à ça que faisait référence ma collègue, là.

Mme Setlakwe : Bien, ce que vous venez d'énoncer...

M. Caire : Oui.

Mme Setlakwe : ...c'est important.

M. Caire : Oui.

Mme Setlakwe : C'est ça, c'est ce qu'on veut entendre de votre part. Et donc, tout ce que vous...

M. Caire : O.K.

Mme Setlakwe : ...venez d'énoncer, c'est...

• (17 h 40) •

M. Caire : Bien ça, on le monitore, oui.

Mme Setlakwe : Oui, ça, c'est... Ça, ça va être réglé par les obligations en vertu de la LGGRI, ces éléments... ces éléments-là, ou...

M. Caire : Bien, ces éléments-là, je comprends que la collègue comprend que ça ne sera pas rendu public, là.

Mme Setlakwe : Mais, s'il y en a eu, des incidents, ça va être traité par la CAI dans... Oui.

M. Caire : Oui. S'il y a des incidents au niveau de la PRP, ça va être effectivement... vous avez raison, ça va être transmis à la CAI, ça, c'est une obligation légale...

Mme Setlakwe : Très bien.

M. Caire : ...et la CAI va en faire mention.

Mme Setlakwe : Très bien. Alors, peut être que, pour préciser la question... parce que la... à mesurer la... Oui.

M. Caire : Il faut être sûr qu'on parle de la même chose.

Mme Setlakwe : Il faut... Oui. Bien, il faut en arriver à parler de la même chose, oui.

M. Caire : Parce que...

Mme Setlakwe : «Mesurer la performance», ce sont des mots que vous avez utilisés. Maintenant, si ce n'est pas clair, peut-être que juste un petit peu plus loin... Évidemment, je ne veux pas qu'on saute à l'article 10.8, mais vous parlez de... la loi... le projet de loi parle d'objectifs et de cibles.

M. Caire : Oui.

Mme Setlakwe : Est-ce que ça, c'est quelque chose sur lequel vous aimeriez élaborer? Parce qu'on... Comment allez-vous faire le suivi de tout ça?

M. Caire : Sur les cibles, on va en reparler lorsqu'on va disposer de l'amendement...

Mme Setlakwe : O.K., on va en reparler quand on va être rendus là.

M. Caire : ...effectivement, pas de problème.

Mme Setlakwe : Peut-être que ma collègue a des interventions aussi.

Le Président (M. Rivest) : Mme la députée de La Pinière.

Mme Caron : Merci, M. le Président. En fait, la question que j'ai, c'est parce que tout à l'heure le ministre a fait la liste des choses qui nous permettent de suivre différents... tous les... la SEAO, bon, tout ce qui existe. Mais, malgré que tout ça existe, ce que la... ce que le rapport de la Vérificatrice générale qui a été déposé la semaine dernière disait, c'est que, bien, il y a eu des manquements. À un moment donné, des indicateurs qui étaient suivis dans les rapports annuels de gestion dont on parlait tout à l'heure, à partir de 2020, ces indicateurs-là, cette liste de points à suivre a disparu des rapports annuels de gestion, et il existe plein de façons de faire des suivis, et je pense que, bien, malgré tout, il y a des choses qui peuvent être échappées.

Alors, le but de l'amendement de... que ma collègue a soumis, c'est que, bien, justement s'il y a un manquement ou une défaillance majeure, pas de la part du ministre, mais s'il y a des manquements ou des défaillances majeures dans le cadre de... que ce soit du profilage de personnes, que ce soit du... à propos du registre de l'identité numérique nationale, bien, qu'un rapport d'incident va être complété et va être déposé par le ministre à l'Assemblée nationale rapidement pour qu'il y ait des suites à ça. C'est comme ça que je vois cet amendement-là. L'objectif de cet amendement-là, c'est que malgré ce qui existe déjà, il peut arriver quelque chose de grave, et c'est ce qu'on dit ici : s'il arrive quelque chose de grave, bien, que le ministre dépose... soit tenu de déposer un rapport d'incident complet à l'Assemblée nationale dans les plus brefs délais, puis évidemment ce sera ensuite de... c'est pour donner des suites, comme la...

Ma collègue mentionnait la recommandation n° 5 du rapport de la Vérificatrice générale de la semaine dernière : «Réviser la méthode utilisée pour la reddition de comptes liée aux travaux de développement informatique, dont les indicateurs, afin de fournir une information fiable, suffisante et pertinente aux instances de gouvernance, aux organismes externes et à la population.» C'est pour ne pas que ce qui est arrivé se reproduise. C'est comme ça dans tous les rapports d'audit, d'ailleurs, de la Vérificatrice générale. Lorsqu'elle est venue en consultations particulières pour... une consultation publique pour le p.l. n° 82, elle a fait référence à plusieurs rapports d'audit pour qu'on tire des enseignements des choses qui ont moins bien été par le passé, et sans dire que c'est la faute de telle personne ou de tel groupe ou... mais simplement pour apprendre de nos erreurs, comme on dit dans la vie de tous les jours, M. le Président, et, si je ne m'abuse, dans tous les rapports d'audit auxquels la Vérificatrice a fait référence dans son mémoire, il y a eu des recommandations...

Mme Caron : ...comme il y a toujours, et les organismes, ou ministères, ou groupes visés par l'audit ont donné suite à ces recommandations-là, soient telles quelles ou, en tout cas, ont répondu aux recommandations. Parfois, les recommandations peuvent être suivies telles quelles, mises en application comme le propose la Vérificatrice générale, parfois, ça peut être avec des modifications.

Alors, c'est le sens de tout ça, de cet amendement-là, que, s'il y a manquement ou défaillance majeure dans le cadre de ce projet d'identité numérique, bien, que le ministre puisse faire un rapport d'incident complet et qu'il y ait des. Il y ait des suites qui soient données pour réparer et pour éviter que ça se produise dans d'autres projets liés à l'identité numérique, ou même d'autres projets informatiques, mais là on parle de l'identité numérique nationale, alors c'est dans cet objectif-là, là, qu'on a cet amendement dont on discute.

Le Président (M. Rivest) : Merci. Est-ce qu'il y a d'autres interventions? Vous avez d'autres interventions, Mme la députée?

Mme Setlakwe : En fait, peut-être juste, si je peux me permettre... Est-ce que le ministre souhaiterait répondre à l'intervention de ma collègue?

M. Caire : Bien, je l'ai déjà fait, M. le Président.

Mme Setlakwe : Vous voulez dire... Vous avez répondu à moi, mais vous avez... est-ce que je...

M. Caire : Non, bien, à part répéter ce que j'ai déjà dit, Mme la députée, je n'ai rien de nouveau à ajouter, là. Je dis : Cet amendement-là ne veut rien dire. O.K., je vous donne un exemple en cas de manquement. De quoi on parle? Si c'est un manquement par rapport à la loi no 25, il y a déjà un régime de protection qui existe, il y a déjà un régime de sanctions qui existe. Si c'est une défaillance, une défaillance dde quoi, du système, une défaillance électromécanique, une défaillance au niveau de l'application, une cyberattaque...  Je ne sais pas. Une défaillance, là, c'est... Et il y a des défaillances pour lesquelles, non, je ne ferai pas un rapport public. S'il y a une cyberattaque, je ne vais pas révéler des vulnérabilités. Donc, je le dis, je répète : L'amendement ne veut rien dire.

Le Président (M. Rivest) : Merci. Est-ce qu'il y a d'autres interventions?

Mme Setlakwe : J'ajouterais simplement, bien, deux choses, que, clairement, là, ma collègue est allée au-delà du libellé et elle s'est même... elle a même parlé de la recommandation cinq, et on n'a... je ne pense pas qu'elle a reçu une réponse, M. le Président. Le ministre ne souhaite pas ajouter quelque chose à...

M. Caire : ...M. le Président.

Mme Setlakwe : Pour ce qui est de... dire je pense notamment à la recommandation cinq et à ce que la Vérificatrice générale est venue nous dire et à ce qu'elle a dit aussi sur les ondes du 98,5 la semaine dernière. Elle a parlé, bien sûr, de SSAQclic, mais elle a aussi fait allusion à ses inquiétudes par rapport au projet de loi no 82. Encore une fois, on est au-delà du libellé. On tend la main pour trouver un libellé adéquat avec vous et vos équipes, pour pouvoir répondre à la recommandation de la Vérificatrice générale.  Puis, souvent, vous nous rappelez que la loi no 25 existe. C'est vrai, elle existe, mais la loi no 25, elle existait au moment que la Vérificatrice générale a formulé ses recommandations. Donc, je ne sais pas si vous souhaitez qu'on ait la discussion maintenant ou plus tard, dans le cadre d'un autre amendement, mais il faudrait qu'on ait cette discussion-là, à savoir comment on peut bonifier le projet de loi à la lumière des recommandations de la Vérificatrice générale.

M. Caire : Je veux juste savoir, toujours, je pense que ça va être utile de le préciser, vous parlez de ce que la Vérificatrice générale nous a dit en consultations particulières?

Mme Setlakwe : Entre autres.

M. Caire : Bien, c'est très différent, M. le Président, parce que...

Mme Setlakwe : Ah! on peut y aller... on peut y aller en étapes, si vous voulez, on peut... Je pense que je sens une ouverture, on peut parler de ce qu'elle a dit en consultations particulières.

M. Caire : Moi, ce que je dis... ce que je dis aux collègues, c'est qu'au fil du temps il y a plusieurs mesures de contrôle qui ont été mises en place. Et puis je n'ai jamais été fermé à l'idée de voir, est-ce qu'il y a des bonifications qu'on peut mettre. Moi, je l'ai dit, je le répète à la collègue : Moi, je pense que les mesures de contrôle qui sont en place sont des bonnes mesures. Maintenant, dans l'application, on comprendra qu'il peut arriver des événements qui ont été soulignés par le rapport de la Vérificatrice générale de la semaine dernière, qui relevaient du facteur humain, qui ne relevaient pas...

M. Caire : ...des mécanismes de contrôle, c'est le facteur humain qui change... qui change la donne. Mais, dans un contexte normal, ce que j'ai dit à mes collègues, c'est que, des mesures de contrôle, il y en a quand même pas mal, alors... Et là la collègue : Oui, mais en cas de manquement ou de défaillance. Moi, je dis : Cet amendement-là, il ne veut rien dire parce que des manquements... mais des manquements à quoi ou des défaillances par rapport à quoi? Est-ce que, par exemple... là, je vais donner un exemple, est-ce que le comportement de la SAAQ, ma collègue considère que c'est un manquement?

Mme Setlakwe : Les questions, c'est à vous qu'on les pose. On vous demande si, à la lumière des recommandations et des inquiétudes de la Vérificatrice générale, vous pensez qu'il y a lieu de bonifier les mesures de contrôle en place.

• (17 h 50) •

M. Caire : Bien, je réponds. La collègue me demande de voter pour ou contre son amendement. Je lui dis : Ça ne veut rien dire. Je lui pose une question très simple : Est-ce que, selon elle, ce qui a été rapporté par la Vérificatrice générale la semaine passée, ça relève du manquement?

Mme Setlakwe : La Vérificatrice générale a clairement une inquiétude par rapport à des manquements, à des failles, à des défaillances dans les mécanismes de contrôle. On peut les relire, ses... On peut les relire, ses recommandations. Je pense que je vous tends encore une fois la main, M. le ministre, de voir comment on peut ensemble... Puis on peut y aller par étape. On peut revoir le document qu'elle nous a soumis. On peut revoir ce qu'elle nous a dit en consultations particulières. On peut revoir les recommandations et voir comment, pour le futur, pour les projets futurs, on peut s'assurer que l'encadrement est adéquat. C'est ce qu'on propose. On est... on est... Honnêtement, on n'est plus sur l'amendement. Si vous voulez, là, on peut... peut-être que ça va... ça va peut-être favoriser la discussion. Est-ce que vous vous êtes... vous souhaitez... ou vous souhaitez répondre à ce que je viens de mentionner?

M. Caire : Oui, j'ai posé une question puis je n'ai toujours pas de réponse. Est-ce que... Ce que rapporte la Vérificatrice générale dans son rapport de la semaine dernière, déposé jeudi à l'Assemblée nationale, est-ce que ma collègue considère que c'est un... que c'est des manquements, qu'il y a des manquements là-dedans? Ma question est supersimple, alors, tu sais... Vous voulez ajouter la notion de manquement dans un amendement dans une loi. Moi, je vous pose une question toute simple, toute facile à répondre. Vous pouvez me dire oui, vous pouvez me dire non. Est-ce que vous considérez que, la semaine dernière, la Vérificatrice générale a fait état de manquements? C'est simple. Peut être, M. le Président, qu'on peut bénéficier de...

Mme Setlakwe : Non, c'est juste que je suis un peu étonnée par la question. Ce qu'on soumet, puis ça a été dit et redit, ce sont des amendements qui visent à bonifier la reddition de comptes, et ce qu'on souhaite avoir, parce que ça a été... ça a été dit et redit, d'avoir des dispositions claires et explicites pour assurer une transparence. Donc, s'il y a des manquements ou des défaillances, on prévoit que le ministre est tenu de déposer un rapport d'incident. On a proposé d'autres amendements visant à assurer qu'il y ait une reddition de comptes. On a parlé des rapports annuels de gestion. On a parlé de différents... différents moyens d'arriver à une reddition de comptes adéquate.

Le Président (M. Rivest) : À ce stade-ci, excusez-moi, je crois qu'il y a le député de Beauce qui aimerait intervenir ou peut-être après vous, M. le ministre.

M. Caire : Bien, avec la permission, avec la permission de mon collègue, je veux juste... une courte intervention parce que...

Le Président (M. Rivest) : Allons-y.

M. Caire : Je ne comprends pas pourquoi, mais visiblement ma collègue est très, très, très mal à l'aise par rapport à la question que je lui pose puis je ne sais pas pourquoi. Ça la rend mal à l'aise, puis, de toute évidence, elle tente de ne pas répondre à la question. Bien, je ne comprends pas pourquoi. Ma question est simple. On aurait pu éluder ça par un simple oui, un simple non, puis là...

Mme Setlakwe : Il n'y a aucun malaise ici, M. le Président. Je ne sais pas à quoi réfère le ministre, je n'ai pas de malaise. Encore une fois, je lui tends la main. On peut le faire, on peut suspendre, on peut... on peut discuter, on peut discuter d'un amendement qui... dont le libellé va satisfaire les légistes, on peut... Et je n'ai aucun malaise. Je veux que ce soit clair, il n'y a aucun malaise.

M. Caire : ...à mes collègues et à moi de voter pour un amendement qui fait état d'en cas de manquement, elle fait référence au rapport de la Vérificatrice générale, ce que j'ai fait moi aussi, en lui demandant : Mais est-ce qu'elle considère que le rapport de la Vérificatrice générale de la semaine passée fait état...

M. Caire : ...manquement. Alors, vous pouvez me dire oui, vous pouvez me dire non, mais la question est simple, là. Je ne comprends pas pourquoi je ne suis pas capable d'avoir un oui ou un non. Puis là on nous demande de voter pour ça. Si vous n'êtes même pas capable de me répondre sur la portée de votre amendement, pourquoi on voterait pour?

Mme Setlakwe : Alors, je vais reformuler ma question. En cas de manquement ou de défaillance, des incidents de confidentialité, notamment, ou en cas de, je veux dire, c'est un terme qui est large, un manquement ou des défaillances majeures, on prévoit que le ministre doit déposer un rapport d'incident. Est-ce que ce... Est-ce que ce rapport d'incident qui est requis par la législation actuelle, vous le jugez suffisant?

M. Caire : M. le Président, je n'ai toujours pas de réponse à ma question. Je ne comprends pas que la collègue n'est pas capable de me dire oui ou non.

Mme Setlakwe : Bien, moi non plus, je n'ai pas de réponse. C'est drôle, dans une... Moi, quand je parle, j'ai l'impression que c'est le ministre qui doit répondre aux questions.

M. Caire : Bien, c'est la collègue qui dépose un amendement, M. le Président, là. Quand on dépose un amendement, encore faut-il être capable de le défendre puis de l'expliquer. Est-ce que, oui ou non, la notion de manquement fait référence au rapport qui a été déposé par la vérificatrice générale la semaine dernière? C'est super simple comme question. Je ne comprends pas le... le slalom, là. Je ne le comprends pas.

Le Président (M. Rivest) : Mme la députée, allez-y. Il est possible qu'il n'y ait plus d'intervention aussi. Puis est-ce que vous souhaitez poursuivre?

Mme Setlakwe : Il n'y a aucun slalom.

M. Caire : Alors, oui ou non?

Le Président (M. Rivest) : Écoutez, s'il n'y a pas d'autre intervention, on peut passer à la mise aux voix. Est-ce qu'il y a d'autres interventions?

Mme Setlakwe : Il n'y a pas d'autre intervention, M. le Président?

Le Président (M. Rivest) : Alors, on va passer à la mise aux voix.

M. Caire : Par appel nominal, M. le Président.

Le Président (M. Rivest) : Par appel nominal, M. le secrétaire.

Le Secrétaire : Pour, contre, abstention. Mme Setlakwe (Mont-Royal—Outremont)?

Mme Setlakwe : Pour.

Le Secrétaire : Mme Caron (La Pinière)?

Mme Caron : Pour.

Le Secrétaire : M. Caire (La Peltrie)?

M. Caire : Contre.

Le Secrétaire : M. Bélanger (Orford)?

M. Bélanger : Contre.

Le Secrétaire : M. Provençal (Beauce-Nord)?

M. Provençal : Contre.

Le Secrétaire : Mme Lachance (Bellechasse)?

Mme Lachance : Contre.

Le Secrétaire : M. Thouin (Rousseau)?

M. Thouin : Contre.

Le Président (M. Rivest) : Alors, l'amendement est rejeté. Est-ce que vous avez un autre amendement? Est-ce qu'on poursuit à 10.8?

Mme Setlakwe : Il n'y a pas d'autre amendement dans Le Greffier. Est-ce qu'on peut suspendre 30 secondes, M. le Président?

Le Président (M. Rivest) : Nous pouvons suspendre. Merci.

(Suspension de la séance à 17 h 57)

(Reprise à 18 h 22)

Le Président (M. Rivest) : Alors, nous poursuivons les travaux. Nous en sommes... après une discussion hors ondes, nous avons convenu de pouvoir poursuivre la discussion sur 10.7. Donc, je vous invite, Mme la députée de Mont-Royal—Outremont...

Mme Setlakwe : Merci, M. le Président. Bon, écoutez, on avait... on était à échanger de façon constructive, à savoir comment peut-être en arriver à un libellé qui, rattaché à 10.7, permettrait de prévoir une reddition de comptes en lien avec le registre de l'identité numérique nationale. On échangeait sur qu'est-ce qu'on entend par un manquement, disons, et comment rattacher un manquement à la portion qu'on appelle la porte d'entrée, c'est-à-dire le registre et ce que le registre permet de faire, c'est-à-dire d'émettre des authentifications qui, ultimement, permettent d'avoir des services, des prestations de services gouvernementales.

Évidemment, quand on parle de manquements, il faut en circonscrire la portée et peut être qu'on peut prévoir qu'en cas de manquement en lien avec le registre, par exemple la notion de conservation sécuritaire ou des incidents de sécurité, bien, à ce moment-là... ça force une déclaration de la part du ministre, une reddition de comptes de la part du ministre.

Le Président (M. Rivest) : M. le ministre.

M. Caire : Oui, M. le Président, puis je comprends peut-être un peu mieux l'intention de ma collègue, mais je continue à dire qu'il faut aussi tenir compte... pour ne pas être redondant, là, je comprends la notion de manquement... bien, je comprends la notion... je comprends que la collègue est d'accord qu'il faut circonscrire la notion de manquement parce que, par exemple, si on parle d'un manquement qui conduit à une fuite de renseignements personnels, bien, il y a déjà une reddition de comptes qui est prévue pour ça. Donc, ce que je... puis je le dis puis on l'a dit à micro fermé, puis je le redis...

M. Caire : ...à micro ouvert, je ne suis pas hostile à l'idée d'encadrer... d'encadrer la tenue du registre, d'encadrer l'utilisation du registre, si les collègues voient des bonifications. La seule chose que je dis, c'est qu'il ne faut pas demander une reddition de comptes là où il y en a déjà une. Alors, s'il y a une reddition de comptes là où il n'y en a pas est toujours... Puis je vais... encore là, je vais préciser, toujours dans la portée du projet de loi n° 82. C'est pour ça que, quand on parle des rapports... des rapports de gestion, bien, ça, c'est en dehors de la portée du p.l. 82.

Donc, est-ce qu'il y a des éléments de reddition de comptes qui pourraient être ajoutés? Moi, je suis tout à fait ouvert à discuter avec mes collègues là-dessus. Mais je le dis parce que, bon, on l'a dit à micro fermé. Je le redis à micro ouvert. Il y a déjà un régime particulier pour la source de données officielle du MCN, les articles 12.17 et 12.18, qui a été mentionné. Moi, je suis ouvert, là, si les collègues pensent qu'il manque des éléments à ce rapport-là, on pourra le modifier, on pourra en ajouter, là. Ce n'est pas... Ça, ça reste dans la portée de 82 puis ça reste dans le champ de responsabilité de mon ministère à l'intérieur d'une loi moi sur laquelle j'ai... j'ai le contrôle, donc, ça, là-dessus.

Bon, maintenant, quand on parle de manquement, si on décide d'ajouter ça au rapport, bien, encore là, il faut... il faut quand même réfléchir à de quoi on parle. Parce que, comme je le dis, il y a déjà des... il y a déjà des éléments qui sont prévus à la loi 25. Il y a des éléments qui relèvent de la CAI, donc il ne faudrait pas non plus nuire au travail de la CAI. Il y a des éléments où la CAI a un droit d'enquête par exemple, bon, bien, il ne faudrait pas nuire à une enquête parce que la loi nous oblige à... Alors, juste... puis je le dis, je le répète, là, moi, je suis ouvert à discuter. Mais il faut qu'on comprenne les conséquences, les impacts, les effets de ce qu'on... de ce qu'on va souhaiter mettre dans la reddition de comptes. Mais, dans cette mesure-là, M. le Président, moi, je suis... je suis ouvert aux suggestions. Et je le dis à la collègue, on va réfléchir de notre côté à des possibilités. Puis éventuellement, la collègue dit : Je tends la main au ministre, alors j'accepte cette main tendue là. Puis voyons comment on peut améliorer la situation, si possible.

Le Président (M. Rivest) : Est-ce qu'il y a d'autres interventions?

Mme Setlakwe : Très bien. Merci. J'apprécie la discussion. C'est peut-être de voir s'il y a lieu d'ajouter des dispositions ou de prévoir des obligations de reddition de comptes. Par exemple, je regarde, puis je suis à 12.17 de la LGGRI, qu'est-ce qui arrive si... Puis on le dit depuis longtemps, là, que l'idée, c'est de centraliser les données puis de s'assurer qu'on n'ait pas à traiter avec une multitude de registres, qu'il y en ait un seul, puis qu'une fois qu'on a mis à jour nos informations, on n'a pas à répéter. Le gouvernement est censé savoir, disons, si on a déménagé, s'il y a un changement dans notre statut, etc. Mais, un des principes fondamentaux de l'identité numérique nationale, c'est que... c'est que le concept de nécessité puis de s'assurer qu'on ne divulgue ou que les organismes qui ont besoin d'accéder à nos renseignements l'utilisent seulement, ce qu'ils ont... ce qui est nécessaire d'être utilisé pour les fins de la prestation de service. Donc, on tente de chercher s'il y a des manquements à cette obligation-là dans les... dans l'accès à des renseignements, donc aller plus loin que ce qui est nécessaire, utiliser les renseignements pour des fins autres que ce qui est... que ce qui est prévu. Si une personne veut... On a parlé beaucoup ici du fait qu'une personne doit garder le contrôle sur ses données, en faire des changements, retirer son consentement, rectifier des informations, savoir qui y a eu accès, tout ça. Mais, s'il y a des manquements, des défaillances, parce qu'on veut que la population ait confiance, et donc de savoir qu'il y a des... qu'il y a... qu'il y a un processus, qu'il y a un encadrement serré et que, dès qu'on déroge à ces principes importants qui sont mis de l'avant puis pour lesquels la population va avoir.. si la population est rassurée, elle va avoir envie de participer, bien, on se demande est-ce qu'il y a lieu d'être plus spécifique...

Mme Setlakwe : ...sur les manquements puis qu'il y ait une obligation de reddition de comptes. Déjà, ça pourrait rassurer de savoir : O.K., si on va... on va plus loin que ce qui a été entendu, bien, déjà, on a... on a une obligation de faire un rapport.

M. Caire : Oui. C'est là où je disais : Soyons quand même prudents, parce que, par exemple, s'il y avait un accès non autorisé, s'il y avait communication... transmission non autorisée d'un renseignement personnel, c'est une infraction à la loi 25, et ça, ça tombe sous la juridiction de la Commission d'accès à l'information. Ensuite, s'il y a un... si cette situation-là se produit et qu'il y a un risque de préjudice grave qui est causé par ça, il y a une obligation d'en aviser la Commission d'accès à l'information... je n'ai pas le libellé exact, Mme la députée, là, mais je pense que c'est «dans les plus brefs délais» ou quelque chose du genre. Donc, c'est pour ça que je vous dis... Ça, c'est déjà couvert. Donc, si on parle de manquements autres qui ne sont pas couverts par la loi 25, c'est là où moi, je suis tout à fait...

• (18 h 30) •

Mme Setlakwe :  ...implique quand même une...

Le Président (M. Rivest) : ...je vais être obligé de vous arrêter, compte tenu aussi du temps qui a été dépassé pour l'étude du... de l'amendement et aussi compte tenu de l'heure. Je vous remercie de votre collaboration.

Et nous ajournons les travaux sine die. Merci à chacun d'entre vous.

(Fin de la séance à 18 h 31)