Journal des débats (Hansard) of the Committee on Public Finance

(Onze heures trente-quatre minutes)

Le Président (M. Simard) : Alors, chers collègues, bienvenue à toutes et à tous. Je constate que nous avons quorum. Conséquemment, la commission…

Le Président (M. Simard) : …des finances publiques peut reprendre ses travaux. Et, au moment d'ajourner nos travaux, le 10 avril dernier, nous en étions rendus à l'étude de l'article 10.7. Article, sur lequel et pour lequel notre collègue de Maurice-Richard avait déposé un amendement. Donc, au moment de suspendre nos travaux, la parole appartenait à notre collègue. Nous en sommes toujours, bien sûr, sur l'étude de cet amendement. Mais avant, mais avant, je dois demander à mon secrétaire si nous avons aujourd'hui des remplacements.

Le Secrétaire : Oui, M. le Président, M. Beauchemin (Marguerite-Bourgeoys) est remplacé par Mme Setlakwe (Mont-Royal—Outremont); M. Morin (Acadie) par Mme Caron (La Pinière); et Mme Zaga Mendez (Verdun) par M. Bouazzi (Maurice-Richard).

Le Président (M. Simard) : C'est merveilleux! Donc, chers collègues, il vous reste 14 minutes, 25 secondes dans le cadre de votre intervention.

M. Bouazzi : Merci, M. le Président. Donc, juste pour nous rafraîchir un peu la mémoire, parce que ça fait quand même plus d'une semaine que nous avons retrouvé, d'abord, nos familles, mais aussi nos chers constituants dans nos circonscriptions respectives. Donc, l'amendement qui ici vise à dire que les données doivent être évidemment conservées de manière sécuritaire, c'est ce qui est inscrit, mais gardées sur le territoire du Québec. Ici, on vise évidemment à garder des données sous la législation québécoise, entre autres choses, dans donc… géographiquement stockées dans des serveurs physiques à l'intérieur de notre territoire. Et nous serions… Nous avons déjà dit que nous étions ouverts, même si on ne voyait pas trop l'intérêt de faire en sorte que les données soient stockées sur le territoire du Canada au complet. Mais, avant de faire des concessions, j'aurais voulu entendre mes collègues sur cet amendement.

Le Président (M. Simard) : Je vous remercie. Alors, M. le ministre, souhaitez-vous, à ce stade-ci, intervenir, ou vous souhaitez laisser la parole à votre… à l'opposition officielle?

M. Bélanger : Êtes-vous prêt, ou je peux intervenir, mais ça va quand même très bref.

Le Président (M. Simard) : Oui. Très bien.

M. Bélanger : Vous m'avez fait travailler quand même au cours des derniers jours, parce que je comprends votre point. Puis on sait ce qui se passe du côté Sud, donc en termes de respect, de respect des lois, parce que, bon, il y a le cloud Act, qui est le Patriot Act et puis d'une certaine façon, vous avez raison, qu'il y a un risque, que… de ne pas être au courant que ces données-là puissent être utilisées. La problématique que j'ai, c'est de restreindre trop ou de préciser trop au niveau du… au niveau de l'article.

Je vais vous donner un exemple. Je jugerais que systématiquement des données de niveau trois, qui sont un niveau de sécurité quand même un peu plus haut que ce qui existe actuellement, de ce qu'on… on a des données de niveau un et de niveau deux, serait dans un endroit souverain au Québec. Mais est-ce que je devrais le préciser au niveau du projet de loi? Je ne crois pas, parce que si on arrive à un moment donné à changer la… changer les règles ou les niveaux de sécurité, on perd… on perd beaucoup de flexibilité. Ça fait que j'aime… Je comprends votre point. Il faut être plus proactif. Puis peut-être le principe de précaution est un élément important, mais je veux garder en même temps la facilité au niveau… Je ne veux pas avoir à réouvrir ce projet de loi là, mettons, dans un an, parce que j'ai été tellement précis au niveau… au niveau d'un article en particulier, ça fait que ça m'enlève de la flexibilité. Je ne sais pas si… Me Bacon, si vous avez des éléments à rajouter à ce niveau-là ou c'est… parce que je peux passer la parole aussi à la collègue de…

Le Président (M. Simard) : Alors bien sûr, j'aurai besoin du consentement afin que maître Bacon puisse intervenir. Il y a consentement. Maître, avant de vous laisser parler, je comprends que vous souhaitiez peut-être intervenir, cher collègue de Maurice-Richard.

M. Bouazzi : J'avais un questionnement, mais… de suivi par rapport à ce que M. le ministre allait dire, écoutons Me Bacon, d'abord.

Le Président (M. Simard) : Très bien. Alors, Me Bacon, pour les fins de nos travaux, parce que c'est la première fois que vous avez à prendre la parole cette semaine, pourriez-vous, s'il vous plaît, vous présenter.

Mme Bacon (Nathalie) : M. le Président, Nathalie Bacon, à la direction des affaires juridiques pour le ministère de la Cybersécurité et du numérique. Ce que le ministre a dit dans le micro concernant la flexibilité qui est souhaitée, puis c'est un petit peu à chaque fois notre enjeu, lorsqu'on rédige un projet de loi, là, de lui donner ce qu'on appelle une texture ouverte…

Mme Bacon (Nathalie) : ...et de lui donner aussi les outils pour qu'il puisse intervenir de façon adéquate. En fait, le ministre, il fait référence à la... notamment, là, je vous dis, entre autres, un outil déjà existant à la Loi sur la gouvernance et la gestion des ressources informationnelles, la LGGRI. Alors, l'article 21 qui lui permet de prendre notamment un arrêté ministériel pour déterminer des orientations. Donc, le ministre pourrait formuler des orientations pour dire : Les données d'une certaine sensibilité doivent être, exemple, dans des serveurs situés au Québec ou dans un nuage privé gouvernemental et prévoir... et dépendamment de l'évolution de la technologie, mais on pourrait changer ces orientations. Donc, c'est cette flexibilité-là à laquelle il fait référence notamment.

• (11 h 40) •

Le Président (M. Simard) : Très bien. Oui, M. le ministre.

M. Bélanger : Je pourrais rajouter un autre point assez... L'enjeu de stocker les données, si les données, par exemple — là, je ne veux pas rentrer dans le technique — mais si elles ne sont pas fragmentées ou si elles ne sont pas encryptées, il y a un enjeu d'accessibilité parce qu'on peut accéder à une donnée qui est intégrale, donc avoir l'information. Mais ça évolue quand même assez rapidement puis il y a des... Vous comprenez que les GAFAM actuellement sont dans une situation où elles ne veulent pas perdre un marché, elles ne veulent pas perdre un marché. Il y a un enjeu de risque. Le gouvernement américain peut... puis l'exemple que je pourrais prendre c'est, s'il y a une enquête, puis vous avez votre cellulaire, puis les... au niveau de l'enquête, il y a accès à l'information, à vos conversations, vous n'avez pas nécessairement le pouvoir de dire ou vous ne le savez peut-être même pas qu'il va y avoir une intrusion à ce niveau-là. Mais.... mais les GAFAM sont en réflexion aussi. D'un certain côté, ils ne veulent peut-être pas perdre un marché pour certaines données. On sait que les données très sensibles, on ne prendra pas de risque, puis elles vont être dans le cloud souverain, mais les autres types de données qui sont actuellement entreposés, il y a peut être des avenues qui vont devoir être explorées dans le respect des ententes qu'on a, que ce soit la LCOP ou d'autres, qu'on va devoir évaluer si c'est l'encryptage, par exemple, ou si c'est la fragmentation des données qui pourrait nous garantir que ces données- là ne seraient pas accessibles parce qu'on aurait accès, à ce moment-là à des données fragmentées qui seraient... qui seraient inutiles, là, pour... pour qui les utiliserait.

Le Président (M. Simard) : Très bien. Mme la députée de 3MRO.

Mme Setlakwe : Oui. Merci, M. le Président. Mais merci au ministre et à Me Bacon pour les explications. Il y en a eu ce matin, puis il y en a eu aussi lors de la dernière session avant qu'on se soit quittés.

Je... on comprend donc les... l'encadrement juridique. Vous en aviez parlé la dernière fois, là, la LCOP, la loi sur l'accès, le contexte des accords. Vous parlez aussi ce matin de laisser donc une flexibilité., que ça prend une texture ouverte, tout ça, et je pense qu'on le comprend bien.

Moi, je retournerais vers le ministre en disant : On comprend la nécessité d'avoir cette flexibilité. Mais vous, votre plan, vous, votre vision, vous, vos... les démarches, les... le plan d'action sur lequel vous travaillez justement pour avoir un nuage gouvernemental, c'est bien l'expression qu'il faut utiliser, là, pour... Ce qui est le plus sécuritaire, c'est quoi, c'est un nuage gouvernemental?

M. Bélanger : C'est un nuage gouvernemental avec une infrastructure physique qui est au Québec et il existe actuellement. On a des infrastructures qui sont situées au Québec, qui nous permettent de stocker des données qui sont sensibles, et on a des données de niveau 2 qui sont stockées dans le nuage gouvernemental, et c'est notre intention de l'utiliser.

Mais la situation géopolitique change rapidement et on doit garder une certaine flexibilité. Je ne dis pas par là qu'on va reculer puis on va revenir un peu à ce qui se faisait avant, dans un an, si, aux États-Unis, ça change. Mais il faut quand même avoir cette agilité-là pour pouvoir ne pas avoir à justement, à chaque moment donné qu'on veut faire un ajustement, de rouvrir un projet de loi. Donc, avoir l'agilité, puis je pense que c'est important. Et on a toujours la stratégie, une stratégie souveraine qui va être mise en place, qui va nous donner les... les lignes directrices justement sur comment... comment agir.

Le Président (M. Simard) : Alors, M. le député de Maurice-Richard, souhaitiez-vous revenir sur... sur l'amendement?

M. Bouazzi : Vous, vous avez parlé des catégories 1, 2 et 3, peut-être pour nous, nous nous décrire à quoi on se réfère exactement. C'est quoi...

M. Bouazzi : ...les différentes... les différences entre ces trois catégories.

M. Bélanger : Mais au niveau de catégorie 1, c'est des informations, là, je ne les ai pas avec moi, on pourra... mais c'est des informations qui sont assez simples, qui est un peu le... le nom de l'individu, son numéro de permis de conduire, certaines informations de base qui nous permettent un accès, justement, à un portefeuille de services au niveau service gouvernemental. Il y a un niveau 2. Le niveau 2, c'est on a une information au niveau... au niveau impôt qui est, là, j'oublie le terme, là, qui... le...

Une voix : …

M. Bélanger : ...fiscal. Oui.

Une voix : ...

M. Bélanger : Oui, renseignement fiscal, ça, c'est le niveau 2. Et le niveau 3. Bien, le niveau 3, je n'ai pas les détails, mais c'est un niveau de sécurité supplémentaire. Puis la journée où on arrive avec des informations biométriques, parce que c'est quand même des éléments, on va avoir des consultations publiques à ce niveau-là, si jamais nous avions des informations biométriques, si jamais il y avait des informations au niveau de la santé, donc qui ouvriraient la porte à un profilage potentiel, ça fait que, ça, c'est des données d'un niveau de sécurité supérieur. Mais ces données-là, on veut en garantir... on veut interdire, justement, l'accès ou empêcher l'accès parce que c'est des données d'un niveau... et puis ça dépasse le 3, il y a des... Je n'ai pas le tableau, je pourrais vous revenir là-dessus, puis c'est quand même une catégorie qui est reconnue au niveau international. Donc, ce n'est pas juste le Québec qui utilise ces catégories-là. Mais nous, on a jugé, puis j'ai eu des discussions avec mon équipe, c'est automatique, le niveau trois, c'est quelque chose qui va être entreposé au Québec dans le nuage gouvernemental. Mais, maintenant, est-ce que le niveau 2, st ce qu'on peut désirer le faire aussi? Probablement, mais je veux me garder la flexibilité de... à ce niveau-là.

Le Président (M. Simard) : Merci, M. le ministre. Alors, Mme la députée de La Pinière.

Mme Caron : Merci, M. le Président. Alors, bonjour, tout le monde. Au sujet de l'amendement, je comprends qu'on veut ajouter «conservation sécuritaire sur le territoire du Québec», mais d'après moi ça ne vient pas régler la préoccupation du Cloud Act américain, parce que ce que le Cloud Act dit, c'est qu'il l'obligerait... c'est-à-dire qu'il permet, cette loi-là permet au gouvernement fédéral américain d'obliger les entreprises de TI à fournir les données que le gouvernement américain demande, qui sont situées... qui sont stockées sur des serveurs peu importe où, mais les entreprises... on oblige les entreprises dont le siège social est aux États-Unis de fournir ces données-là si elles sont demandées par le gouvernement par subpoena, par exemple, ou mandat. Donc, même si on vient ajouter «conservation sécuritaire sur le territoire du Québec», parce qu'on veut que les données soient stockées sur le territoire du Québec ou même au Canada, mais sans préciser qu'on veut que ce soit stocké par une entreprise dont le siège social est au Québec ou au Canada, on ne se protège davantage avec cet amendement-là.

Le Président (M. Simard) : M. le ministre.

M. Bélanger : Mais on parle du cloud gouvernemental, il n'y a pas d'entreprises américaines à ce niveau-là, donc il n'y a aucun accès possible si... les données qu'on entrepose dans notre cloud souverain gouvernemental, les Américains n'ont aucune possibilité d'accéder ces données-là. La problématique est plus au niveau des entreprises américaines qui peuvent avoir un siège social au Québec, mais comme elles sont entreprises américaines, oui, il y a possibilité d'accéder à ces données-là, c'est pour ça que je parlais de... plus tôt de possibilité de les encrypté ou de les déplacer.

Donc c'est certain qu'à l'heure actuelle, autant Québec que Canada, on est après évaluer les données qui sont entreposées dans des clouds comme AWS, ou Azur, ou d'autres. Premièrement, est-ce que ce sont des données qui sont sensibles? Si c'est le cas, quelle est l'action qu'on doit faire? Est-ce qu'on doit a priori les mettre dans le cloud gouvernemental ou il y a une possibilité de fragmenter, d'encrypter? Donc, on est dans ce processus, dans ce processus-là, mais il y a des aspects contractuels à considérer, donc...

Le Président (M. Simard) : Bien. Chère collègue.

Mme Caron : Alors, est ce qu'on comprend que tous les renseignements dont il est question à l'article 10.7 sont dans le nuage gouvernemental?

M. Bélanger : Non, pas actuellement, ils ne sont pas...

Mme Caron : Ils ne sont pas dedans. Alors, la question, est-ce que la question ne demeure pas? S'il y a des données, des renseignements personnels qui sont... qui ne sont pas...

Mme Caron : ...qui ne sont pas dans le nuage gouvernemental, mais qui sont stockés dans un autre nuage qui appartient, finalement, à une... qui est fournie par Amazon ou autre, à ce moment-là, la préoccupation demeure? Parce que je n'ai pas compris tout à fait pourquoi il n'y avait plus de préoccupation tout d'un coup, là. J'ai peut-être mal saisi quelque chose.

• (11 h 50) •

M. Bélanger : Je n'ai pas dit qu'il n'y avait pas de préoccupation. Mais je vais vous donner un exemple. Vous utilisez des e-mails, vous utilisez des textos. C'est une application qui utilise Microsoft. Techniquement, les Américains pourraient accéder à tous vos e-mails, toute l'information, toutes vos données. Quand vous passez la frontière, votre téléphone... On est dans... C'est une situation qui a évolué rapidement. Ça fait que nous sommes... Nous avons pris acte et puis nous sommes à évaluer, justement, qu'est-ce qu'on fait avec toutes ces données-là. Est-ce que, du jour au lendemain, on désire... on désire être souverain partout? Est-ce qu'on exclut Microsoft des... Pas sûr. Il y a une considération de gestion de changement ou de risque. Ce qui est important, par contre, s'il y a des données qu'on développe, qu'on utilise qui sont au niveau de la santé, qui sont au niveau biométrique, ces données -là qui... Actuellement, on n'est pas rendu en biométrie, là, mais, quand on va arriver à ce niveau-là, bien, c'est certain, je vous confirme que ça va être ici. Ça ne sera pas dans un cloud américain, ça va être ici, au niveau du cloud gouvernemental.

Mme Caron : Puis, actuellement, les données, les renseignements sur la santé, par exemple, sont déjà dans le cloud gouvernemental québécois ou pas encore?

M. Bélanger : Bien, au niveau de la santé, il y a quand même des projets qui sont... des projets qui sont en cours, il y a des projets qui ne sont pas encore démarrés. Je vous dirais qu'il n'y a... il n'y a pas de données, actuellement, qui sont dans des clouds américains. Si vous prenez... Il y a des projets, par exemple, qui pointent à l'horizon. Et est-ce qu'il y a des enjeux au niveau de données qui seraient stockées chez une entreprise américaine dans un cloud? Possiblement. Ça fait qu'on est après, justement, à évaluer cet enjeu-là. Qu'est-ce qu'on fait avec? Il y a une question... il y a des questions contractuelles. Ça fait que je ne veux pas... je ne veux pas trop avancer dans cette situation-là, mais c'est certain qu'on va considérer entreposer ces données-là dans le cloud gouvernemental.

Le Président (M. Simard) : Très bien. Cher collègue de Maurice-Richard.

M. Bouazzi : Bien, je ne sais pas si vous voulez continuer. Moi, je pense que le point est très, très valide, le... L'amendement qu'il y a ici ne règle pas la question du CLOUD Act, effectivement. D'ailleurs, c'est pour ça qu'on a un autre amendement qu'on va déposer, qui est déjà dans le pipeline, là, depuis... depuis déjà deux semaines, qu'on va déposer juste après celui-là, qui ne parle plus du territoire, mais qui ne parle que de la question de la législation, pour s'assurer que les données des Québécoises et Québécois ne soient assujetties à aucune législation étrangère, ce qui paraît assez évident.

M. le... Ce que je ne comprends pas, honnêtement, dans ce que... Si on reste sur la question du territoire, ce que je ne comprends pas dans ce que vous dites, M. le ministre, en tout respect, c'est les données en tant que tel, qu'il soit dans un... Appelons-le cloud souverain, comme ça, c'est clair pour tout le monde parce que... Dans le jargon, on dit cloud privé pour parler de son propre cloud, mais, du coup, il n'est pas privé, il appartient au public. Appelons le cloud que nous allons avoir dans les murs des institutions de l'État un cloud souverain, bon. Donc, que ce soient des données que vous allez stocker dans le cloud souverain ou des données que vous allez stocker chez Amazon et AWS, chez Amazon et AWS, ils pourront tout à fait être stockés au Québec. Les deux ont des instances à Montréal et à Québec, la distance dépasse les 60 kilomètres. S'il y en a un qui prend feu, l'autre prend le relais, etc., on est correct. Je ne comprends pas pourquoi ça serait si grave pour vous de... si contraignant d'accepter quelque chose qui, en fait, est très, très, très peu contraignant, là. Le prochain amendement l'est beaucoup plus. Ça, je veux bien ouvrir la conversation juste après là-dessus, mais, sur celui-là, il est très peu contraignant. Tout ce qu'on dit, c'est qu'on dit : Bien, les données, on ne les stocke pas ni à New York, ni à Tombouctou, ni nulle part ailleurs qu'au Québec. Bien oui, c'est des données des Québécoises et Québécois, et puis catégorie un, deux ou trois, ce n'est pas grave, là, c'est une question de souveraineté nationale, on les garde sur notre territoire. Je veux dire, ce n'est pas parce qu'il y a une dématérialisation... Dans les faits, cette dématérialisation est... C'est terriblement matériel. Quelque part, un serveur a été donné. Et jamais on n'aurait accepté qu'il y ait des gros dossiers, des données personnelles, des... en papier, là, avec des classeurs...

M. Bouazzi : ...avec pour chaque, je ne sais pas, moi, c'est des données de citoyennes et citoyens qui ont en stock quelque part au Massachusetts. Bien, je veux dire, c'est juste inacceptable. Je ne comprends pas pourquoi, tout d'un coup, parce que c'est simple, on accepterait quelque chose qui est en fait vraiment inacceptable, c'est-à-dire que les données soient stockées à l'extérieur de notre propre territoire. Surtout que même techniquement il y ait... Je ne le vois pas, là. Et je comprends, à date, tu sais, il y avait la question d'est-ce que les Accords de libre-échange Mexique, États-Unis, Canada nous permettent d'exiger que les données restent sur notre territoire. Moi, je suis persuadé que oui. Et là je n'ai toujours pas reçu la preuve de l'inverse, là. Dans mes souvenirs, ce qu'on n'a pas le droit de faire, c'est de mettre des conditions qui excluent de facto les compagnies américaines, etc. Mais comme elles ont toutes des gros centres de données à Montréal et à Québec et puis, bon, si on élargit au Canada, à Toronto, je ne crois pas qu'il y ait même Ottawa dans mes souvenirs, mais je ne sais plus. Je ne vois pas. Je ne vois pas pourquoi c'est si grave que ça d'accepter quelque chose qui n'est pas contraignant, en fait, et qui est très peu... Enfin, c'est contraignant, mais ça vous laisse toute la flexibilité derrière.

Le Président (M. Simard) : Merci. M. le ministre.

M. Bélanger : Bien, moi, j'y vois une contrainte. Un, c'est de considérer que le seul moyen de sécuriser des données et de les stocker dans un endroit au Québec, un cloud souverain, est la seule solution. Je ne suis pas prêt à m'avancer là-dessus parce qu'il y a le quantique, il y a tout ce qui est au niveau de fragmenter, il y a l'encryptage. Il y a des façons de faire au niveau de sécuriser des données qu'on doit évaluer. Ceci étant dit, on a plusieurs contrats qui sont déjà signés avec des GAFAM. Est-ce que demain, si je prends l'engagement de dire j'annule ou je cancelle tous ces contrats-là parce que la seule solution est d'entreposer les données, tous niveaux de sécurité confondus parce que, là, on veut... on ne veut pas, dans le projet de loi, rentrer dans le détail, mais au niveau des données, ça va être stocké au Québec. Il peut y avoir des enjeux au niveau du Québec où, si c'est stocké dans un endroit en particulier, il y a peut-être des enjeux de sécurité. Je ne veux pas faire une corrélation avec les devises ou avec les... avec les... que ça soit les lingots d'or ou autre chose, est-ce qu'on est ce qu'on doit a priori, de façon à assurer une sécurité, d'avoir uniquement un endroit physique au Québec? Je ne suis pas prêt à m'avancer là-dessus parce qu'il y a des façons de sécuriser. Il y a une donnée. Je reviens au niveau de l'encryptage et de fragmenter ces données-là qui peuvent... qui peuvent assurer une sécurité. D'accéder au niveau de ce qui est stocké dans un endroit, si c'est fragmenté, c'est encrypté, ne vous donne pas la facilité d'utiliser ces données-là si vous n'avez pas la clé... la clé d'encryptage. Donc, aujourd'hui, je ne suis pas en mesure de vous... de garantir automatiquement qu'on doit absolument passer par une centralisation des données dans un cloud souverain. Ce que je peux... Par contre, ma pensée, c'est qu'on a une stratégie souveraine au niveau de la protection des données et des données de niveau 3 et peut-être 2, peut-être que ça va évoluer dans le temps, vont être au Québec, entreposées au Québec. Est-ce qu'un jour il va y avoir un miroir ailleurs parce qu'on va avoir eu une entente avec un autre pays, que ce soit en Europe, parce qu'on veut un entreposage miroir pour sécuriser si jamais, je ne sais pas, il y a une tempête solaire, ou bien un feu ou quelque chose comme ça, c'est que c'est des éléments qui sont évolutifs. Puis d'être trop précis, je pense que ça ferme la porte, justement, d'être trop précis. Et on considère une situation. Ça ne fait pas longtemps qu'elle existe cette situation-là. Ça fait quelques mois. Et on a déjà une stratégie au niveau souverain. On travaille déjà avec le Canada, qui ont la même stratégie et les mêmes préoccupations, qui ont signé eux aussi des ententes avec les GAFAM. On fait la même chose avec des Européens qui, eux aussi, travaillent à une stratégie souveraine. Donc, c'est quelque chose qui est évolutif, puis c'est quelque chose qui exige une flexibilité au niveau des articles de projet de loi.

Le Président (M. Simard) : ...Mme la députée de Mont-Royal—Outremont.

Mme Setlakwe : Merci. J'écoute les échanges, puis encore une fois, je pense qu'on comprend l'importance d'une flexibilité. Mais la question demeure. Dans l'état actuel des choses, les données, en ce moment...

Mme Setlakwe : ...nos données selon les catégories. Il me semble qu'il y avait un arrêté ministériel relativement récent, là, qui faisait une nouvelle classification. Je ne pense pas qu'on a la réponse, lequel pourcentage ou quelle... Selon les différentes catégories, quelle proportion de nos données ne sont... sont dans le nuage gouvernemental privé, souverain, et quelle proportion ne l'est pas?

• (12 heures) •

M. Bélanger : Bien, je vais vous... puis je vais quand même vous répondre. Je peux vous donner quatre niveaux, là. Le niveau 1, c'est du non-sensible, c'est du... c'est du A, donc, niveau 1. Sensible, c'est le niveau B, c'est du niveau 2, puis c'est des B. Puis le niveau C, c'est hautement sensible, c'est 3, c'est ce que je vous disais tantôt, qu'on va avoir dans le... dans le cloud souverain. Puis 4, c'est secret, non-P6TI. Bien, en tout cas, je ne sais pas c'est quoi que ça veut dire, mais c'est... donc c'est des données à très haut niveau, niveau 4.

Est-ce qu'actuellement nous avons des données, que ce soit au niveau de santé, ou ailleurs, qui sont dans des... dans des clouds qui sont des clouds non souverains, qui sont des... La réponse est oui. Il y a eu des ententes qui ont été signées. On est à préévaluer toutes ces ententes-là. Il y a l'aspect légal, il y a l'aspect du... de la LCOP, puis il y a des... il y a des règles à suivre. Donc, je ne veux pas rentrer dans le débat aujourd'hui, là. Parce qu'il y en a qui vont dire : Bon bien, on n'a pas la preuve, peut-être qu'il y a déjà des données qui ont fui, tout ça. Mais ça évolue rapidement, puis on est... on est après travailler, justement, sur ces solutions-là. Puis la bonne nouvelle, c'est qu'on en a un cloud souverain. On n'est pas à évaluer à mettre un cloud souverain avec des infrastructures. Je vous confirme qu'on a un cloud souverain, qui est capable d'héberger des données et qui en héberge déjà.

Le Président (M. Simard) : Chère collègue.

Mme Setlakwe : Et si on se... merci... si on se... on se ramène à... au projet qui est sous étude, là, identité numérique, est-ce que les données qui sont... Les données personnelles, il va y en avoir, donc ce sera pas uniquement catégorie 1. J'essaie de voir, là. Selon le projet qu'on souhaite déployer, que le gouvernement souhaite déployer, ce registre... ce registre national, cette identité numérique nationale va comprendre des données pas seulement de la catégorie 1. C'est ce que je comprends, ou je me trompe?

M. Bélanger : Ne vous trompez pas. Il va y en avoir de catégorie 3, et je vous confirme que les catégories 3 vont être stockées au Québec dans un cloud souverain, donc non accessible pour des sociétés... via, mettons, par exemple, le Patriot Act, avec un... avec un pouvoir d'accéder les données. Pour les données... pour les niveaux 3, est-ce qu'on va prendre la décision d'y mettre les niveaux 2 et les niveaux 1? Peut-être, peut-être, si on évalue le risque, si on évalue comment on peut résilier les contrats, quel est le risque, quels sont les avantages et inconvénients.

Je vous dirais aujourd'hui que d'annuler des contrats qui hébergent des données de niveau 1, est-ce que c'est une... est-ce que c'est judicieux? Pas sûr, parce que c'est des données... Quelle est l'utilité qu'on peut... qu'on peut faire de données non sensibles? Donc, il faut... et il faut faire discerner, là, quelles sont les données qui sont sensibles, et lesquelles ne le sont pas. Il y a une... il y a aussi une éducation à avoir, parce que vous pouvez avoir un organisme qui a signé un contrat avec un cloud américain puis qui a jugé que ces données sont non sensibles. Moi, je veux avoir la possibilité de faire une contre-vérification de ces données-là. Et puis, si lui les jugeait non sensibles, peut être que je les juge sensibles. Donc, le p.l. n° 82, le projet de loi me donne cette possibilité là d'envoyer des avis, de faire des audits.

Mais là on... Je ne veux pas qu'on spécule là, mais c'est quand même... c'est en mouvement, là. On est sur le projet de loi n° 82, qui donne des pouvoirs. Ça fait que, si on peut aller de l'avant avec le projet de loi n° 82, le faire évoluer puis garder une certaine flexibilité, je vous confirme qu'avec la stratégie souveraine il va y avoir des actions qui vont être prises, puis le portrait actuel va être différent du portrait dans quelques mois.

Le Président (M. Simard) : Très bien. M. le député de Maurice-Richard, souhaitiez-vous ajouter quelque chose à ce stade-ci?

M. Bouazzi : Bien, peut-être une question : Est-ce qu'aujourd'hui... parce que vous parlez beaucoup des données qui ne sont pas juste les données de... du... de l'identité numérique des Québécois... est-ce qu'actuellement le gouvernement stocke des données gouvernementales à l'extérieur du Canada?

M. Bélanger : Moi, je vous dirais que les données de niveau 1, certainement, là. Les données de niveau 1, c'est des informations qui sont non sensibles. Je vous confirme qu'elles sont probablement stockées... Bien, pour moi, hors du Canada...

M. Bélanger : ...entreprise américaine qui stocke ces données-là près de Montréal, moi, je le considère, dans la situation géopolitique actuelle, hors du Canada parce que justement, au niveau du Patriot Act et du Cloud Act, il y a une possibilité d'accès à cette information-là. Ça fait que la localisation physique, si c'est une entreprise américaine qui a une place d'affaires ici, pour moi, c'est considéré à risque. Maintenant, si c'est une donnée non sensible, il y a une évaluation de risque. C'est une donnée non sensible, tu peux l'accéder, mais je veux dire, qu'est-ce que tu... qu'est-ce qui peut être fait avec une donnée non sensible en termes de risque? On est là-dessus, on est après évaluer. Est-ce que, dans six mois, est-ce qu'on va... toutes les données, que ça soit niveau 1, 2, 3, vont être dans le cloud gouvernemental? Peut-être. Sauf qu'aujourd'hui, je ne peux pas vous le garantir puis je veux être capable d'avoir cette flexibilité- là, justement. Si on m'arrive puis on dit : C'est 2 milliards pour... pour canceller tes contrats qui hébergent des données de niveau 1, et puis ça va être «nice... nice to have», je ne veux pas utiliser cet anglicisme-là, mais que ça serait intéressant que ce soit d'un cloud gouvernemental, il y a une question, il y a une question qui va se poser.

M. Bouazzi : Je comprends que, pour vous, ça ne fait pas la... de différence, mais... mais je réitère ma question. Aujourd'hui, on a des contrats avec, en gros de ce que je comprends, avec Azure de Microsoft  et AWS d'Amazon. Donc, dans la transformation infonuagique du gouvernement à date, là, est-ce que vous savez s'il y a, parmi les instances qui ont été démarrées sur ces plateformes infonuagiques, des instances qui ont été démarrées à l'extérieur du pays?

M. Bélanger : Je ne peux pas vous le confirmer, mais je ne serais pas surpris parce qu'au... c'est quand même... il y a un réseau mondial de... de... et Amazon pourrait avoir un cloud miroir ou un stockage miroir de ce qui est stocké ici, en Scandinavie. C'est possible.

M. Bouazzi : Tout à fait possible, monsieur le ministre, qu'Amazon stocke des données un peu partout dans le monde. Mais moi, je ne vous demande pas s'il peut le faire, je vous demande : Est-ce qu'il le fait tout simplement? Est-ce que vous exigez aujourd'hui... Je suis très, très étonné que vous ne sachiez pas, en tant que ministre si nos données sont stockées à l'extérieur ou pas du pays. C'est une donnée qui n'est pas secrète quand on a des contrats avec Amazon et Microsoft. À moins que vous ne l'ayez jamais spécifié ou votre prédécesseur, là, pour le coup, je vous... ce n'est vraiment pas vous. Mais... mais qu'il n'y ait jamais eu aucune demande qui va en ce sens, parce que c'est des contraintes habituelles. À moins que le gouvernement du Québec n'ait jamais pensé utile de dire qu'on voudrait que les données restent à l'intérieur du pays, on est censés savoir si les données des Québécoises et Québécois sont stockées aujourd'hui à l'extérieur du pays ou pas.

M. Bélanger : On va vérifier. Mais moi, je ne connais pas la chaîne d'approvisionnement de la gestion des données d'AWS ou d'Azure qui ont des centres de données un peu partout à travers le monde, avec un réseau de fibres qui connectent au niveau de ces données-là. Ce que je peux vous confirmer, c'est que si vous utilisez la reconnaissance faciale sur votre... sur votre téléphone, bien, vos données biométriques sont probablement un petit peu partout dans le monde parce qu'Apple a des centres de données un peu partout.

C'est de connaître les secrets des entreprises, les GAFAM ou autres, quel est leur... Je ne connais pas les emplacements de notre infrastructure de cloud souverain au Québec. Je peux peut-être savoir dans quelle ville elles sont, mais je ne sais pas où. Ça fait qu'il y a un enjeu, il y a un enjeu de sécurité, et c'est que de connaître où nos données peuvent être. Mais si c'est des données non sensibles, quel est le niveau de risque? Si ça devient des données sensibles, mais pour être certain qu'il n'y a pas de risque, je vous confirme que les niveaux 3, par exemple, vont être dans notre cloud souverain que je ne connais pas les emplacements.

M. Bouazzi : Donc, les données pourraient être en Russie ou en Chine, par exemple, parce qu'Amazon a des serveurs là-bas.

M. Bélanger : Ah! bien, moi, je vous dirais... Là, je reviens aux données non... aux données non sensibles.

M. Bouazzi : Ça ne vous gênerait pas que nos données pas sensibles soient en Chine ou en Corée du Nord. Est- ce que ça vous gênerait ou pas?

M. Bélanger : Mais laissez-moi répondre parce que je pourrais vous dire : Est-ce que ça vous... est-ce que ça vous mettait mal à l'aise d'utiliser TiKToK, sachant que l'entrepôt de TiKToK était en Chine.

M. Bouazzi : On n'utilise pas TiKToK.

M. Bélanger : Bon, vous n'utilisez pas TiKToK.

M. Bouazzi : Oui.

M. Bélanger : Mais d'autres exemples, d'autres applications, Instagram, et il y a des... il y a plusieurs applications, et actuellement, ces informations-là, que ce soit biométriques ou autres sont... sont un peu partout.

Ça fait trois mois qu'il y a des enjeux géopolitiques. On est à développer une approche souveraine au niveau de l'identité numérique et de...

M. Bélanger : …gestion des données. On a un cloud souverain au Québec et des infrastructures. Le Québec est probablement l'une des provinces qui est la plus avancée à ce niveau-là et on stocke déjà des données dans ce cloud souverain là. On est après réévaluer tous les contrats que nous avons au niveau de l'entreposage dans les cloud et probablement que demain, il va y avoir des actions qui vont être… qui vont être prises autant au niveau du Québec que du reste du Canada. On travaille en collaboration avec nos homologues au Canada sur justement une approche souveraine au niveau du data, au niveau canadien, pas uniquement… pas uniquement Québec.

• (12 h 10) •

M. Bouazzi : Je tiens aussi à rectifier une information. Les données biométriques sur nos téléphones respectifs ne sont dans aucun serveur et ils ne sont présents que dans les devices qu'on a ici. C'est pour ça d'ailleurs qu'on doit resauver notre visage quelques… si on a un nouvel iPad ou autre chose. Entre autres parce qu'Apple ne voulait absolument pas enregistrer les données biométriques pour ne pas avoir à gérer une sécurité qui ne serait pas gérable. Donc, non, nos données… En tout cas, moi, j'espère que mes données biométriques ne sont sur aucun serveur, ceux que j'utilise ne le sont pas et je ne voudrais pas que le gouvernement du Québec, s'il me les demande, s'amuse à les mettre sur des serveurs assujettis à des législations étrangères. Je vous avouerais que j'ai… je ne sais pas où sont mes collègues, mais moi, j'ai hâte de passer à l'autre amendement, en fait, oui.

Le Président (M. Simard) : Très bien. Je vérifie. Ma collègue de La Pinière avait souhaité intervenir également sur votre amendement, Madame.

Mme Caron : Oui. Merci. Alors, en fait, c'est une demande de précision que j'aurais, parce que, tout à l'heure, pour les niveaux de sécurité des données, on a dit : Bon, on comprend que le P1, c'est des données non sensibles. On a donné l'exemple, par exemple, de courriels. P3, Ça… c'est… ça commence à être sensible, P4, c'est secret, P2, c'est entre le P1 et le P2, mais entre le P1 et le P3… Mais ce que j'aimerais savoir, c'est des… peut-être quelques exemples de types de données qui entrent dans le P2. Vous… M. le ministre a mentionné, je crois, tantôt, des données de… les données fiscales qui seraient dans le P2 et que là, on est en train de regarder qu'est-ce que… si peut-être P2 pourrait aller dans le cloud gouvernemental. Alors, juste une précision pour comprendre un petit peu la façon dont les données sont catégorisées.

M. Bélanger : Bien, je vais vous donner peut-être l'exemple. Je pourrai vous revenir avec plus de détails, mais au niveau du service d'authentification gouvernementale, le SAG, il y a deux niveaux. Il y a un niveau un puis il y a un niveau deux et puis dans le niveau deux, L'information additionnelle, c'est l'avis de cotisation. Ça fait que si vous n'avez pas l'avis de cotisation, Exemple, quelqu'un qui vient d'arriver au Québec n'a peut-être pas d'avis de cotisation, il va être… il va être d'un niveau un, puis dans le niveau un, C'est le nom, il y a peut-être le nom de la mère, une information au niveau du permis de conduire, puis de la carte d'assurance maladie. C'est la seule information qu'il y a. Et puis est-ce que c'est des données sensibles ou non sensibles? C'est des données qui sont non sensibles, d'un niveau de sensibilité très bas. Lorsqu'on a des données sensibles, vous allez avoir de l'information, peut -être que ça peut être au niveau biométrique, ça peut être… Je ne le sais pas, des informations qui sont qui sont plus sensibles que le niveau un ou le niveau deux.

Mme Caron : Et dans les avis de cotisation par exemple, est-ce qu'on retrouve le numéro d'assurance sociale, qui peut… qui est quand même une donnée assez… assez sensible, Parce que si quelqu'un a accès au nom, au nom de la mère, au numéro d'assurance sociale. Il y a des… il y a des risques quand même de vol d'identité.

M. Bélanger : Là, je ne veux pas rentrer trop dans le détail, mais c'est un peu comme une clé, au niveau du SAG, vous avez une clé, vous avez trois informations. Cette clé-là vous permet d'accéder à une base de données, ça fait que ça peut être au niveau… au niveau d'un ministère en particulier qui lui, dans cette base de données là, peut avoir un numéro d'assurance sociale et d'autres informations. Donc là, on parle de diverses bases de données. Est-ce que l'information que vous avez, la clé va vous donner accès aux autres bases de données? La réponse, je vous dirais, ça dépend. Est-ce que l'autre base de données, là, il y a une question, là, d'utiliser cette clé-là pour accéder d'autres bases de données qui elles seraient dans un cloud américain? On…

M. Bélanger : ...est après évaluer cette situation-là. On est après évaluer ces informations-là. Moi, je vous dirais qu'au cours des peut-être les 20 dernières années, il y a peut-être eu un laxisme au niveau justement de travailler avec des sociétés qui peuvent accéder, accéder l'information. On est rapide à, il y a le citoyen en premier, à accepter. Vous utilisez un véhicule, vous utilisez un véhicule qui est... qui a certainement une caméra intégrée au niveau du véhicule avec une géolocalisation. Ça peut être la Tesla ou ça peut être un autre véhicule, Nissan. Je vous confirme que les données qui sont utilisées, probablement quand vous avez acheté le véhicule, vous avez dit O.K. Ces données-là sont peut-être entreposées ailleurs. C'est des données que, moi, je considère sensibles. Mais nous, au niveau de l'État, on est... on est en avance, on catégorise le niveau de sensibilité. On a un cloud gouvernemental qui est sécuritaire et on est dans le processus d'évaluer tous les contrats en place, soit justement, au niveau de stockage de ces données-là qui sont sensibles. Est-ce qu'on va... Je reviens, est ce qu'on va tout stocker, incluant les données qui sont non sensibles, parce qu'il y aurait un risque que ça serait utilisé, ces données-là, pour être capable de créer un lien avec une autre base de données qui est dans un organisme public? Peut-être. Peut-être, mais c'est des choses qu'on est après... qu'on est après évaluer. Moi, je ne suis pas nécessairement pour, puis on en avait parlé, je pense, un peu plus tôt, pour avoir plusieurs bases de données un peu partout, parce qu'on prête flanc. Il y a des... Il y a des enjeux de cybersécurité. À ce moment-là, si on a plusieurs bases de données, il y a des enjeux aussi à peut-être avoir toutes les données à un seul endroit. Ça, c'est des... C'est des choses qu'on va considérer au cours des... au cours des prochains mois. Et je veux un outil qui est le projet de loi n° 82 qui me donne cette flexibilité-là, justement, d'être capable de mettre les bons... les bons paramètres.

Le Président (M. Simard) : Merci. Mme la députée de Mont-Royal—Outremont.

Mme Caron : ...

Le Président (M. Simard) : Ah! Désolé, chère collègue.

Mme Caron : Bien, merci pour ces précisions-là. Sauf que ça ne me dit pas nécessairement.. Ça ne répond pas nécessairement à la question. Ce que je cherche à savoir, c'est... Bon, P1, on comprend que ce n'est pas des données sensibles, c'est du... Ça peut être des courriels et tout ça. Est-ce que P2 c'est les renseignements fiscaux ou renseignements à Revenu Québec, et quoi d'autre? P3, là, on commence à parler de sécurité. Je veux... Ce que je veux savoir, c'est qu'est-ce que vous considérez comme du P3 par rapport à du P2, notamment parce que vous avez mentionné tout à l'heure que le projet de loi, une fois adopté, vous donnera la possibilité d'aller voir, hein, des organismes publics qui ne pensent peut-être pas, qui ne considèrent peut-être pas que certains renseignements sont des renseignements sensibles, alors que le gouvernement considère que ce sont des renseignements sensibles. Alors, comment, comment cette... Je ne veux pas dire cette intrusion. Comment cette vérification-là ou cette surveillance-là va se faire, des organismes publics? J'imagine qu'ils vont avoir une... des critères qui vont leur permettre de définir que, bien, ou de vérifier que, bien, O.K., ça, là, on ne le considérait pas sensible, mais en fait c'est sensible. Donc, on devrait s'aligner sur ce que le gouvernement détermine comme étant sensible. Alors, comment... J'imagine que cette liste-là, ce type de définition ou d'explication de ce qui rend une donnée sensible doit exister. C'est là-dessus que je... que j'aimerais avoir une précision.

M. Bélanger : Si vous me permettez, Me Drolet, juste en arrière de moi, est certainement plus qualifié ou pourrait venir bonifier ce que j'ai... ce que j'ai expliqué au niveau des... au niveau des données sensibles. Peut-être que ça peut répondre à certaines, certaines de vos questions.

Le Président (M. Simard) : Donc, est-ce qu'il y aurait consentement afin que Me Drolet puisse intervenir? Très bien. Me Drolet, bien que vous soyez une habituée de nos travaux, auriez-vous d'abord, s'il vous plaît, l'amabilité de vous présenter?

Mme Drolet (Émilie) : Oui. Merci beaucoup. Donc, Émilie Drolet, je suis avocate pour les affaires juridiques du MCN. Donc, pour rappel, on parle de l'arrêté ministériel 2024-05 du 12 décembre 2024. C'est un sujet qui a été abordé, là, dans la présente étude un petit peu plus tôt, en février d'ailleurs. Donc, le modèle de classification des données numériques gouvernementales va permettre cette évaluation là des données. Ça fait que, pour donner des exemples, c'est toujours en qualifiant au niveau du préjudice qui peut survenir s'il y a une perte de disponibilité, d'intégrité ou de confidentialité. Donc, quand on parle de renseignements personnels, c'est surtout au niveau du bris de confidentialité qu'on va venir déterminer on est à quel niveau. Pour donner un exemple du... Le niveau a, c'est des renseignements personnels qui...

Mme Drolet (Émilie) : ...sont généralement à caractère public, là, ce n'est pas des renseignements nécessairement qu'on veut protéger, qu'on veut cacher. À partir du niveau profil, tout à l'heure, on a parlé du profil b, le niveau de modéré, ça peut être des renseignements personnels plus de base, puis plus on va vers le niveau c, plus on est dans des renseignements personnels. Tout à l'heure, le ministre parlait des renseignements fiscaux, ça peut être aussi des données de santé pour lesquelles on a un niveau de sensibilité plus élevé. Donc, dans tous les cas, il y a un guide au travers de cet arrêté ministériel là, mais il y a toujours une évaluation en fonction du contexte, en fonction du préjudice. Donc, je parlais tout à l'heure des niveaux de santé... des données de santé, nécessairement, de par le contexte, ça peut aller plus vers un profil c, tandis que pour des renseignements personnels qu'on n'a pas nécessairement de préoccupation, qui sont qui sont plus de base, bien, ça pourrait être au minimum du protégé b. Mais selon le contexte, là, ça pourrait quand même être évalué un petit peu plus élevé.

• (12 h 20) •

Le Président (M. Simard) : Merci beaucoup, chère maître. Alors, est-ce que cela répond à votre question?

Mme Caron : Oui, merci. Merci beaucoup.

Le Président (M. Simard) : Merci. Mme la députée de Mont-Royal—Outremont.

Mme Setlakwe : Merci. L'échange et les informations qui sont fournies par le ministre suscitent des questions. On comprend très bien qu'il y a une évaluation qui est en cours, qu'il faut se demander si... quelles sont les conséquences de résilier des contrats qui ont été signés puis qui sont en vigueur, etc. On comprend ça. Là, vous avez dit : On regarde tout ça, on est en évaluation. La bonne nouvelle, c'est que le nuage existe, l'infrastructure existe. On comprend que les données entrent dans différentes catégories, on étudie le contexte, etc. Mais moi, ma question, c'est... bien, j'ai plusieurs questions, quel est l'échéancier pour cette évaluation? Est-ce que vous vous êtes fixé des dates butoirs, des échéances que vous souhaitez respecter? Et est-ce que vous avez les fonds pour le faire? Est-ce que ça implique des ressources? Est-ce que ça implique... Qu'est-ce que ça implique comme équipe en termes de travail? Et vous avez aussi mentionné que vous avez besoin du projet de loi pour avancer, pour faire cette évaluation-là. Il me semble que vous avez mentionné quelque chose comme ça. Puis on a parlé, en y reviendra, là, d'amendements à venir, mais est-ce que donc, en ce moment, vous n'avez pas les pouvoirs pour mener à bien cette analyse-là? Je pense que ça nécessite des précisions.

Le Président (M. Simard) : Alors, M. le ministre.

M. Bélanger : Actuellement, il y a certains pouvoirs. Je peux faire des audits, je peux faire une évaluation, mais il y a plusieurs organismes, il y a des organismes publics, il y a des organismes gouvernementaux. Chaque organisme peut avoir son équipe au niveau technologies de l'information, peut être en mesure de signer des ententes. Donc, il y a deux choses qui se font, les nouveaux projets. Les nouveaux projets, on est capables d'être proactifs, on est capables d'évaluer au niveau du projet s'il y a tel type de données qui vont être utilisées et où devraient-elles être stockées. Ça, ça se fait quand même assez bien. Puis ça, ça peut se faire à court terme aujourd'hui. Tout ce qui a été signé, tout ce qui a des... où il y a des ententes qui ont été établies, on est en révision au niveau de ces ententes-là, mais on n'est pas le seul. Québec ne va pas agir seul, Québec collabore avec le reste du Canada qui, justement, fait cette réflexion-là. On a des discussions aussi avec avec l'Europe justement sur quel... Parce que, si chacun va de son côté puis essaie de réinventer la roue, il y a un enjeu, un enjeu d'efficacité.

Donc, vous me parlez d'échéancier. Bien, l'échéancier, on est, oui, peut-être en mode réaction parce que pas certain qu'on est aussi agiles que ce qui se passe au sud du Québec, là, à chaque jour, ça peut changer, mais je peux vous dire qu'on est quand même assez rapides au niveau des... au niveau de la mise en place... de la mise en place de solutions. Déjà là, j'y reviens, on a un cloud qui n'existe, ce n'est pas tous les... ce n'est pas toutes les provinces qui l'ont, et puis on a une stratégie souveraine qu'on est en train... qu'on ait en train élaboré.

Maintenant, sur les moyens, c'est certain que le p.l., le projet de loi n° 82, va me permettre d'être encore plus proactif, mais il y a d'autres lois, la LGGRI, il y a d'autres éléments qui sont déjà en place, qui nous permettent justement d'être aussi proactifs...

M. Bélanger : ...mais il a fallu réagir rapidement, là. À partir de janvier, là, dans certains cas, on remet en question beaucoup de... beaucoup d'informations, beaucoup d'outils qui sont utilisés. Il y a des facteurs de gestion du changement qui doivent être... qui doivent être considérés. On ne peut pas décider du jour au lendemain d'arrêter de fonctionner de la façon comment on le fait depuis des décennies.

Le Président (M. Simard) : Merci. Mme la députée.

Mme Setlakwe : Merci. Pouvez-vous nous dire, donc, où exactement dans le projet de loi n° 82 qu'il y a des dispositions qui va vous... vont vous permettre d'être encore plus proactif?

Des voix : ...

M. Bélanger : Je peux passer la parole à...

Le Président (M. Simard) : ...

Mme Bacon (Nathalie) : Oui, M. le Président. Il y a... Il y a plusieurs articles, là. Pour n'en nommer qu'un, pour fin d'exemple, on vous réfère à un article qui s'en vient, l'article 12, où que le ministre va pouvoir donner son avis sur un actif informationnel ou un service en ressources informationnelles. Et, quand il donne son avis, c'est à... c'est aux autres organismes publics, donc à la communauté gouvernementale, et ça, ça lui donne un levier additionnel pour pouvoir intervenir, parce que chaque organisme public est responsable de ses ressources informationnelles, incluant ses projets en ressources informationnelles.

Mme Setlakwe : Merci. Et aussi question plus générale mais qui était d'actualité récemment : Est-ce que votre projet d'identité numérique est suspendu? Est-ce que... Là, on est en train d'étudier un projet de loi. Là, on comprend qu'au PQI il y a... les sommes ne s'y retrouvent plus. Est-ce que vous avez une réponse en lien avec cette information qui est... qui a fait l'objet des médias récemment?

Le Président (M. Simard) : ...sur l'amendement, à ce stade-ci?

Mme Setlakwe : Non.

Le Président (M. Simard) : Très bien. Alors, j'aimerais bien qu'on puisse revenir sur l'amendement.

M. Bélanger : Mais je peux quand même répondre rapidement, parce que ça va éviter peut-être, à la période des questions, d'avoir cette question-là, mais en tout cas... Dans le fond, il y a le programme de Service québécois d'identité numérique. Et puis l'article qui est sorti, c'était justement sur l'identité numérique citoyenne, qui est un des blocs, et je vais simplifier la chose, mais on l'a suspendue parce qu'il y a la question de consultation citoyenne sur la biométrie. Ça fait qu'on ne l'annule pas. Le projet... Le projet... Et puis je pense que c'est une bonne... une bonne chose à faire, justement, cette consultation-là citoyenne. Et, par la suite, il va être remis à l'agenda. Mais il y a plusieurs blocs, là, il y a... Ce n'est pas... Ça, c'est le bloc... je crois que c'est le bloc quatre ou...

Une voix : ...

M. Bélanger : ...le bloc trois sur six.

Le Président (M. Simard) : ...s'il vous plaît, M. le ministre.Donc, merci pour ces précisions, mais, ceci étant dit, je nous ramène, s'il vous plaît, à la portée de notre amendement. Y aurait-il d'autres commentaires sur cet amendement?

Mme Setlakwe : Non, c'est sûr que ce n'était pas techniquement sur l'amendement, mais je pense que c'est important qu'on comprenne bien où on s'en va avec l'identité numérique dans son ensemble, avec les différents blocs, etc.

M. Bélanger : C'est l'objectif du projet de loi n° 82, justement, de mettre les bases pour l'identité... l'identité numérique.

Le Président (M. Simard) : Très bien. Alors, nous poursuivons, chère collègue.

Mme Setlakwe : Merci. Donc, ce qui est suspendu, c'est... Parce qu'il y avait... le prochain livrable, c'était, bien, fin mars, mais fin mars, c'est déjà derrière nous. On avait compris que l'échéance de fin mars était repoussée à la fin de l'année pour livrer le portefeuille. Est-ce que c'est ça qui est suspendu ou c'est un autre bloc?

M. Bélanger : C'est identité numérique citoyenne. Projet deux, fin mars, il y a une partie du projet qui est faite, et puis il y a la consultation citoyenne au niveau de la biométrie qui va être... qui va être exécutée, qui va être faite. Et, par la suite, on va redémarrer le projet, au niveau de la biométrie, là.

Mme Setlakwe : C'est au niveau de la biométrie que c'est suspendu, la consultation.

M. Bélanger : Bien, parce que...

Mme Setlakwe : On dirait que ce n'est pas clair pour moi, ce qui... Je m'excuse. Peut-être que les autres ont compris. Moi...

M. Bélanger : Mais, avant d'aller de l'avant avec... question de biométrie, on veut faire une consultation citoyenne justement pour cet élément-là. Ça fait que c'est pour ça qu'on a suspendu ce bloc-là au niveau du... au niveau de l'identité numérique. Mais le... au niveau de la... du Service québécois d'identité numérique, le programme, le SQIN, qui... lui, il n'est pas suspendu. C'est un des blocs qui est suspendu, justement, pour adresser l'enjeu de biométrie.

Mme Setlakwe : Merci.

Le Président (M. Simard) : Trèsbien. S'il n'y a pas d'autre commentaire, nous allons procéder à la mise aux voix sur cet amendement. Est-ce que l'amendement est adopté?

M. Bouazzi : Par vote nominal, s'il vous plaît.

Le Président (M. Simard) : Par appel nominal. M. le secrétaire, je vous en prie.

Le Secrétaire : Pour, contre, abstention. M. Bouazzi (Maurice-Richard)?

M. Bouazzi : Oh! Pour.

Le Secrétaire : M. Bélanger (Orford)?

M. Bélanger : Contre.

Le Secrétaire : Mme Abou-Khalil (Fabre)?

Mme Abou-Khalil : Contre.

Le Secrétaire : Mme Mallette (Huntingdon)?

Mme Mallette : Contre.

Le Secrétaire : M. Thouin (Rousseau)?

M. Thouin : Contre.

Le Secrétaire : M. Poulin (Beauce-Sud)?

M. Poulin : Contre.

Le Secrétaire : Mme Setlakwe (Mont-Royal—Outremont)?

Mme Setlakwe : Abstention...

Le Secrétaire : Mme Caron (La Pinière)?

Mme Caron : Abstention.

Le Secrétaire : M. Simard (Montmorency)?

Le Président (M. Simard) : Abstention. Cet amendement est donc rejeté.

Conséquemment, compte tenu de l'heure, nous allons suspendre nos travaux et nous nous retrouvons en après-midi après les affaires courantes. À plus tard.

(Suspension de la séance à 12 h 30)

(Reprise à 15 h 39)

Le Président (M. Simard) : Bien. Chers collègues, je constate que nous avons quorum, nous pouvons donc poursuivre nos travaux.

Notre commission est réunie afin de procéder à l'étude du projet de loi n° 82 portant sur l'identité numérique.

Au moment de suspendre cet avant-midi, nous en étions rendus à l'étude de l'article 10.7 introduit par l'article 6, et notre collègue de Maurice-Richard nous annonçait son intention de déposer un amendement que nous avons du reste sur Greffier depuis quand même plusieurs jours, qui se retrouvent actuellement sur nos écrans. Alors, cher collègue, auriez-vous l'amabilité, s'il vous plaît...

Le Président (M. Simard) : …de nous en faire lecture.

• (15 h 40) •

M. Bouazzi : Avec plaisir. Un amendement qu'elle a depuis un bout, comme on dit chez nous, un amendement important, chers collègues, je pense très important par les temps qui courent. Donc, il va comme suit, donc : À l'article 10.7 de la Loi sur le ministère de la cybersécurité et du numérique, introduit par l'article six du projet de loi : Insérer, au paragraphe un, au deuxième alinéa, après les mots «conservation sécuritaire», les mots «sur des infrastructures qui ne sont pas assujetties à des juridictions étrangères».

Et là, celui-ci, M. le Président, me semble tout simplement de notre responsabilité en tant que législateurs de ne… de l'incorporer à ce projet de loi ça fait que peut-être… Je voudrais que tout le monde soit à la même page. Je vais commencer par quelques questions à M. le ministre. Est-ce qu'il y a des infrastructures sur le territoire québécois qui sont assujetties à des lois étrangères?

M. Bélanger : Tout à fait.

M. Bouazzi : Et parmi ces lois-là, évidemment, il y a le Cloud Act américain.

M. Bélanger : Patriot Act, Cloud Act.

M. Bouazzi : Entre autres, le Cloud Act permet à un gouvernement américain, sous certaines conditions, d'avoir accès aux données privées d'individus, y compris donc sur des serveurs au Québec, et d'y avoir accès sans informer ni l'individu ni vous en tant que gouvernement ou le gouvernement fédéral. C'est bien ça?

M. Bélanger : Qu'est-ce que vous entendez par les données? Quel niveau de sensibilité des données? Des données personnelles, sensibles, non sensibles?

M. Bouazzi : Bien, le Cloud Act permet tout ça à ma connaissance, à moins que vous ayez des informations qui vont à l'inverse.

M. Bélanger : Non, mais je voulais savoir, là, de… qu'est-ce qui vous préoccupe en termes de… tu sais, c'est les données… les données sensibles?

M. Bouazzi : Bien, moi, n'importe quel gouvernement étranger qui pourrait avoir accès à des données privées des Québécois, qu'elles soient niveau un, deux, trois, quatre, ou 0,5, sans en informer ni les individus ni le gouvernement, pour moi, est tout à fait inadmissible. Maintenant, on rentrera dans les détails, à ce stade-ci, on est tous d'accord. Je voudrais juste qu'on soit tous d'accord que si ceci n'est pas adopté, un gouvernement américain pourrait avoir accès aux données personnelles des Québécois, qui sont donc hébergées chez Amazon ou Microsoft, sans que ni l'individu ne soit informé, ni vous en tant que gouvernement, ni même le gouvernement fédéral, évidemment, nous sommes bien d'accord, nous avons la même interprétation de la situation.

M. Bélanger : Bien, actuellement, on est dans un processus d'inventaire au niveau des... au niveau des données, prises d'inventaire au niveau des données. Tel type de données se situent où. Il y a différents registres. Je peux vous donner un exemple parce que vous citez… ce n'est pas une bonne chose d'avoir accès aux données citoyennes pour d'autres juridictions. Moi, je vous dirais que, si je suis un entrepreneur puis que je fais des affaires à l'extérieur du Canada, au niveau mondial, bien, je pense que d'autres juridictions doivent connaître ou doivent avoir certaines informations. Donc, il faut... il faut être prudent lorsqu'on… lorsqu'on tranche, puis lorsqu'on dit : On veut s'exclure de toute… de toute juridiction pour toutes les données. Il y a quand même une prise de conscience. Quels types de données on veut entreposer? On veut les entreposer où? Il y a un inventaire qui se fait.

Est-ce que... est-ce que je pourrais affirmer qu'actuellement, avec la situation aux États-Unis, toutes les données sont correctement entreposées ou stockées? La réponse est non. C'est pour ça qu'on fait un inventaire et, par la suite, on va avoir un plan. Le projet de loi n° 82 va nous permettre justement d'agir à ce niveau-là. On va avoir une stratégie souveraine en termes de gestion des données et on va pouvoir agir en conséquence selon le niveau de sensibilité des données.

M. Bouazzi : Est-ce que l'identité numérique québécoise existe déjà?

M. Bélanger : Vous avez le... Il y a différents… dans le programme d'identité, puis là on déborde peut-être un peu, puis je ne veux pas aller trop à fond là-dessus parce que, justement, dans le projet de loi, le but du projet de loi, c'est d'être capable…

M. Bélanger : ...justement d'avancer au niveau de l'identité numérique québécoise. Mais il y a un programme, il y a plusieurs blocs. Actuellement, on a un service d'authentification gouvernementale qui est utilisé, il est utilisé en santé, est utilisé à plusieurs, plusieurs endroits. Et il y a des données qui sont utilisées pour permettre aux citoyens d'accéder à une porte. Avant, le citoyen devait passer par différentes portes. Et là, la bonne nouvelle, c'est qu'il va pouvoir accéder à une porte via le service d'authentification gouvernemental. Ça fait que pour votre question, est-ce que l'identité numérique, le projet d'identité numérique, est ce qu'il est en cours? Oui, il y a plusieurs blocs, plusieurs blocs, et le premier bloc est déjà en opération. On a des millions de transactions qui se font.

M. Bouazzi : Donc, mon point, c'est que l'identité numérique nationale sous la responsabilité du ministre, est-ce qu'elle existe déjà, oui ou non? Moi, j'étais dans la compréhension que non, mais si elle existe déjà, c'est oui, mais... Parce que j'ai du mal, M. le ministre, à comprendre. Je comprends qu'il y a plein de données qui sont problématiques partout ailleurs, là, mais on n'est pas obligé d'en rajouter. Ça, c'est du nouveau, c'est du nouveau. Et donc, pour le nouveau, il n'y a aucune bonne raison de faire quoi que ce soit d'autre que de le protéger. Donc, comme c'est du nouveau, je veux bien qu'on parle d'autres affaires ailleurs, là, mais c'est du nouveau. Est-ce que pour le nouveau, vous avez prévu de mettre les données personnelles des Québécoises et Québécois sur des... de l'infrastructure nuagique qui appartient aux Américains?

M. Bélanger : Je vais peut-être reprendre votre question. Votre question, c'est : Est ce qu'on a l'intention de mettre des données personnelles des citoyens du Québec sur des clouds américains? C'est un peu ça, votre question?

M. Bouazzi : Bien là, je parle vraiment de ce qui est... On a un projet de loi sur l'identité numérique, restons sur l'identité numérique. Moi, je veux bien parler de santé, ça va me faire plaisir, honnêtement, M. le ministre, j'avais prévu d'en parler avec vous pendant les crédits, on peut en parler pendant le projet de loi, mais là on parle d'identité numérique, c'est la seule question qui nous anime. Aujourd'hui, il y a des nouvelles données, un nouveau système, un nouveau concept qui est l'identité numérique nationale des Québécoises et des Québécois, est-ce que vous avez prévu, oui ou non, de l'envoyer chez Amazon ou chez Microsoft?

M. Bélanger : Non, on n'a pas de stratégie de l'envoyer chez Amazon ou Microsoft. On a mis en place le premier jalon d'identité numérique par le SAG, service d'authentification gouvernemental. Il y a d'autres étapes. Le projet de loi n° 82 va nous permettre de continuer et d'aller de l'avant avec une identité numérique citoyenne.

M. Bouazzi : Donc, je prends ça pour un non. Ce n'est pas... pour l'instant, ce n'est pas prévu.

M. Bélanger : Mais je pense que ce ne serait pas... considérant la situation actuelle, ce ne serait pas judicieux d'envoyer nos données personnelles, surtout si elles sont sensibles à un endroit où elles pourraient être utilisées à mauvais escient ou avec des objectifs qui sont non constructifs.

M. Bouazzi : Donc, on est d'accord. Est-ce que le président des États-Unis a, à plusieurs reprises, expliqué son intention de vouloir annexer le Canada?

M. Bélanger : Je pense qu'on dévie un peu, là. C'est des... À chaque jour, il y a des nouvelles qui sont différentes. Une journée, c'est le Groenland puis après ça c'est le Canada. Moi, je ne m'attarde pas à ces fables-là, je pense que... Nous on regarde, on fait l'inventaire des données, on voit qu'il y a un risque au niveau des données sensibles, on ne veut pas que les données sensibles soient utilisées à mauvais escient, et puis on va prendre acte, et on a une stratégie de souveraineté au niveau des données sensibles, et ces données-là qui sont sensibles, qui pourraient être à risque, vont être hébergées dans le cloud québécois et souverain.

M. Bouazzi : Est ce que le nom et le prénom sont des données sensibles?

M. Bélanger : Si le nom est... Là, je pense qu'on est spécifiques. Je ne sais pas c'est... quel est votre objectif. Moi, je dirais que le nom et le prénom ne sont pas nécessairement des données sensibles. Vous pouvez prendre un bottin téléphonique, vous faites une commande de... sur... avec UPS, ces données-là, vous fournissez les données d'informations qui sont votre nom, et prénom, et adresse. Je veux comprendre votre objectif. Si vous parlez au niveau du premier volet, qui est...

M. Bélanger : ...service d'authentification gouvernemental, il y a des informations qui sont fournies. Il y a des informations qui sont fournies, qui sont nom, prénom, peut-être d'autres informations qui ne sont pas jugées à risque ou qui requièrent une haute sécurité.

• (15 h 50) •

M. Bouazzi : Bien, moi, moi, mon questionnement, il est clair, M. le ministre. On a un pays dont les dérives fascisantes sont évidentes pour tout le monde. On a un président qui ne respecte même plus les décisions qui viennent de la Cour suprême qui sont prises à l'unanimité, qui déporte des gens sans autre accusation dans des camps de concentration ou dans des pays du Sud, et qui par ailleurs est doté d'une loi qui lui permettrait d'accéder aux données des individus à l'extérieur même de son... de son territoire, sur des serveurs de compagnies, sous prétexte que ces compagnies-là sont américaines. Le même président nous promet qu'il veut rendre du Canada le 51ᵉ État. Il veut aussi envahir le Groenland, etc. On est quand même dans quelque chose de totalement inusité de nous, notre... notre notre vécu. On a un voisin qui renoue avec des choses qu'on n'avait pas vues depuis la Deuxième Guerre mondiale, avec vraiment un côté impérialiste assumé et... et belliqueux. Et nous on est en train de se poser la question, vous et moi, et avec mes chers collègues si, oui ou non il serait judicieux de se dire que les données personnelles des Québécois devraient rester sur des serveurs qui appartiennent au gouvernement québécois où on est prêts à ouvrir la porte, à les mettre sur des serveurs où ce même gouvernement-là que je viens de décrire, qui a lâché des suprémacistes dans la nature qui ont essayé de faire un coup d'État. Je veux dire, on a comme perdu. Bien, vous imaginez ce que la prochaine génération va penser de nous? Ils vont dire : Vous avez mis ça dans le cloud. On va peut-être dire, oui, mais avant on n'était pas au courant.

En... en 2020, on en a mis un peu chez Amazon, on n'était pas au courant. Mais en 2025, M. le ministre, mais ça va être quoi, notre excuse? Ah! oui, vous n'avez pas parlé du 51ᵉ État? Ah! si, si, si. Vous n'avez pas arrêté de respecter les décisions de justice? Ah! si, si, si. Vous n'avez pas compris les conséquences du Cloud Act? Ah! oui, oui, oui, on a compris. Mais vous avez quand même décidé d'accepter de ne pas verrouiller pour que les données des Québécoises et des Québécois soient protégées, souveraines d'un gouvernement étranger, impérialiste et clairement fascisant. Ah! non, non, non, on voulait se laisser de la flexibilité. C'est sûr qu'on ne peut pas faire ça, M. le ministre.

M. Bélanger : Mais là, vous me prêtez des intentions, mais pas à peu près. Non, non, mais laissez-moi, laissez-moi aller de l'avant. Là, je vous dis qu'on est en train de faire un inventaire. Tantôt, cet avant-midi, vous avez mentionné que vous vous sentiez en sécurité avec... avec votre iPhone. Quand vous dites qu'un président américain qui peut accéder les données, mais le président américain est capable d'accéder les données chez iPhone, hein? Il peut... il peut... chez Apple. Le président est capable d'accéder au niveau de Microsoft. Est-ce que vous pensez que Microsoft que vous utilisez chaque jour n'a pas plus de données sensibles à votre propos que le système d'authentification gouvernemental qui utilise un nom de famille et un prénom?

Ce que je vous dis, c'est que nous sommes après faire l'inventaire. Suite à l'inventaire, on va identifier où les données se situent. Si des données sensibles à prime abord des données sensibles se situent dans un cloud où le gouvernement américain peut avoir accès, notre intention va être de les rediriger vers un cloud québécois souverain à moins qu'il n'y ait évidence qu'il y ait des outils d'encryptage ou de fragmentation des données qui... qui empêcheraient tout accès à l'intégralité de ces données-là.

C'est qu'il y a un processus. Pour le moment, on est en processus d'inventaire. Ça fait trois mois. Il y a eu des ententes qui ont été signées, des ententes ont été signées par des ministères, des organismes qui ont leur propre gouvernance ou leur propre registre en termes de données, parce que, là, ce n'est pas toutes les données, l'Éducation a des registres de données, la Santé a des registres de données.

Là, vous vous prêter des intentions comme quoi mon désir est de faire affaire avec des Américains au niveau d'entreposage des données, lorsqu'on est après faire l'inventaire et lorsqu'on va décider lesquelles données devraient être entreposées a priori chez nous. Par la suite, il y a des contrats et des ententes qui sont faites avec des Américains, je vous ai dit ce matin qu'on allait évaluer chacune des ententes, voir quels sont les risques, voir quels sont les coûts. Et je vous dirais que la priorité pour l'entreposage des données, c'est dans un cloud souverain au Québec. C'est notre...

M. Bélanger : ...priorité. Par contre, s'il y a des données qui sont non sensibles, qui sont jugées non sensibles et qu'on est tous d'accord sur le niveau de risque, que le niveau de risque est nul, parce que ça peut être un nom ou un nom... un prénom ou un nom de famille, bien, à ce moment-là, on va probablement évaluer quelle est la situation qui est la... qui est la plus juste, en ce moment, si on doit résilier un contrat ou pas, qu'est-ce qu'on doit faire.

Là, vous confondez, vous parlez de toutes les sortes de données, et puis vous me prêtez des intentions comme quoi je veux faire affaire avec des entreprises américaines, sans égard... puis vous parlez de... vous parlez de 51e État, etc. Ça fait que je pense qu'on dévie un peu du sujet. Et puis l'objectif du projet de loi n° 82, c'est, justement, d'aller de l'avant avec une identité numérique, et ça fait partie, justement, du travail qu'on doit faire au niveau du projet de loi n° 82. Mais si on passe les six prochains mois à débattre au niveau de l'identité numérique, bien, on n'y arrivera pas.

M. Bouazzi : Alors, M. le ministre, je ne vous prête absolument aucune intention. Moi, ce que je remarque, de manière limpide, c'est que vous voulez garder la porte ouverte à envoyer les données personnelles des Québécois sur des infrastructures américaines assujetties au Cloud Act. Ce n'est pas une intention, c'est juste une réalité, elle est devant nous. Voter pour ça, ça ferme la porte. Pas voter pour ça, ça laisse la porte ouverte. C'est facile. Je pense qu'on est d'accord que vous, vous gardez la porte ouverte.

M. Bélanger : Non, non, non, pas du tout. Actuellement, il y a des données qui sont entreposées, et on est après faire l'inventaire, et on va prendre acte, et on va avoir un plan, un plan d'action, avec une stratégie souveraineté au niveau des données. Mais là je ne peux pas changer l'état actuel... l'état actuel de la situation. On a des ententes avec Amazon, on a des ententes avec Microsoft, avec d'autres. Donc, on fait l'inventaire et, par la suite, on va prendre des actions pour être capables d'entreposer ces données-là à un endroit selon leur niveau de sensibilité.

M. Bouazzi : Bon, d'abord... alors, deuxièmement, je n'ai jamais dit que j'étais en sécurité avec mon Apple. J'ai juste dit que les données biométriques étaient stockées juste sur les devices, et pas sur les serveurs d'Apple. Effectivement, vous avez bien raison de dire... Et d'ailleurs il y a eu des exemples, dans l'histoire, que le gouvernement américain peut accéder à l'infonuagique d'Apple.

Le... Je veux juste être sûr de comprendre. Donc, on a dit... Parce que la question, c'est : Où est-ce qu'on met la ligne là? Est ce qu'une liste... Donc, de noms et prénoms, on a dit : C'est bon. Est-ce que l'adresse est sensible ou pas sensible? Est-ce qu'un gouvernement étranger puisse savoir où habitent les Québécoises et Québécois sans nous prévenir? Est-ce que c'est acceptable ou pas?

M. Bélanger : On a un expert au niveau de, justement, sensibilité de données, et tout ça. Si vous me permettez le... de... autoriser...

M. Bouazzi : Avec grand plaisir.

M. Bélanger : ...pour qu'il puisse répondre.

Le Président (M. Simard) : Très bien. Alors, il y a consentement pour ce faire? Merci. Donc je ne sais trop qui souhaite intervenir à ce stade-ci. Monsieur, laissez le temps à la caméra de pouvoir vous rejoindre. Et auriez-vous d'abord l'amabilité de vous présenter?

M. Girard (Marc) : Bien sûr. Marc Girard. Je suis conseiller en sécurité de l'information au ministère de la Cybersécurité.

Le Président (M. Simard) : Nous vous écoutons, monsieur.

M. Girard (Marc) : Est-ce que vous pouvez répéter votre question?

M. Bouazzi : Bien, j'étais... Parce que la question, c'est : Qu'est-ce qui est sensible, qu'est-ce qui n'est pas sensible? Donc, on a dit : Le nom et le prénom, est-ce que c'est sensible? L'adresse, est-ce que c'est... Quand est-ce qu'on commence à rentrer dans du sensible?

M. Girard (Marc) : Bon, selon nous, le nom puis le prénom, ce sont des informations qui ne sont pas sensibles, mais quand on y ajoute des attributs, comme l'adresse, et une date de naissance, ou une adresse courriel, là, ça devient des renseignements personnels qu'on doit protéger. On a des renseignements personnels qui sont plus sensibles que d'autres. Ça fait que des renseignements de santé, par exemple, ce sont des informations ou des renseignements personnels qui sont plus sensibles qu'une adresse ou une adresse courriel, ou une adresse physique.

Ça fait qu'on... selon le modèle de classification — je pense que vous en avez entendu parler — on fait une distinction. Mais dans les deux cas, du moment qu'il y a des renseignements personnels, on doit les protéger, ces informations-là, sauf que... Dépendamment du niveau de sensibilité, on va ajouter des mesures de sécurité supplémentaires pour s'assurer de respecter ce niveau de sensibilité là. Ça fait que c'est... cette distinction-là, on la fait dans nos évaluations.

M. Bouazzi : C'est ce qui se retrouve dans la loi n° 25 aussi.

M. Girard (Marc) : Oui.

• (16 heures) •

M. Bouazzi : Donc, si on se dit qu'à partir du moment où on a le nom, le prénom, une adresse et une date de naissance on est dans quelque chose qu'il faut protéger. Est-ce que ça... Juste ces quatre là, là. On n'est pas...

M. Bouazzi : ...on n'est pas dans une énorme base de données. Est-ce que ça, on est ouvert ou pas à garder un gouvernement américain qui a accès à ces informations-là des Québécoises et Québécois? Parce que, si vous voulez, M. le ministre, on peut changer le «wording». Vous avez peut-être des migrations à faire, etc. changer le «wording», excusez l'anglicisme, pour dire qu'on vise à, on se donne du temps, quelque chose, là, mais on ne peut pas se dire on est ouvert à ça, là,  parce que c'est ça que ça dit. Si on ne le bloque pas, on est ouverts à ça, là. On ne peut pas être ouverts à ça.

M. Bélanger : Je n'ai jamais dit qu'on était ouverts à ça. Ce que j'ai dit, c'est qu'on fait l'inventaire. La réponse sur les niveaux de données, lorsque le... M. Girard a qualifié que c'étaient des données sensibles, non, on n'est pas ouverts à donner, à fournir ces données-là ou à ce qu'elles soient stockées dans un cloud qui est américain. Donc, on veut que ces données-là sensibles soient stockées chez nous.

Est-ce qu'il y a de ce type de données là, qui, actuellement sont stockées dans un cloud ou via le Patriot Act ou le Cloud Act, le gouvernement américain pourrait avoir accès? La réponse est oui. On était après faire la prise d'inventaire et, par la suite, il va y avoir un plan d'action. Ça fait que, dans certains cas, il y a des contrats qui ont été signés, dans d'autres cas, bien, il y a des contrats à venir. Les nouveaux contrats vont être beaucoup plus faciles à faire que les contrats qui sont... qui sont existants et qui doivent être revus. Ça fait qu'on est dans le processus d'inventaire.

M. Bouazzi : Là, je lis : Est-ce que le registre de l'identité numérique nationale est déjà dans un contrat existant? Est-ce qu'il existe? On vient de dire qu'il n'existe pas, que c'était du nouveau. Je veux bien, pour le reste, il va y avoir de la job, là, parce qu'effectivement c'est très grave, là.

Le Président (M. Simard) : Alors, consentement afin que Mme Martel puisse s'adresser à nous? Mme Martel, pourriez-vous d'abord vous présenter, s'il vous plaît?

Mme Martel (Mylène) : Oui. Bonjour, M. le Président. Mylène Martel, sous-ministre adjointe au Dirigeant principal de l'information et à la gouvernance. Alors, il n'existe pas sous cette appellation-là. Il existe sous l'appellation du Registre de l'autorité de l'identité gouvernementale, le RAIG. Ce que l'on veut instaurer par la proposition du projet de loi maintenant, c'est le Registre de l'identité numérique citoyenne. Donc, le RAIG est, en fait, une copie des données qui sont détenues actuellement par la RAMQ, la Régie de l'assurance maladie du Québec.

Alors, il existe sous une autre appellation, et on veut réellement, dans un futur projet... Ce dont parle M. le ministre, c'est de venir recueillir, nous, le ministère de la Cybersécurité, les données de l'identité pour les préserver et les stocker dans un registre nommé comme tel, sous la responsabilité du ministre.

M. Bouazzi : Donc, si on adopte l'amendement, ça n'oblige pas à une migration de données demain matin, étant donné que c'est un nouveau concept qu'on met en place?

Mme Martel (Mylène) : En fait, il y a les données de l'identité, actuellement, d'authentification, que j'expliquais tout à l'heure, le registre de... le RAIG. Il existe, là, le registre, il existe, il est déjà stocké. Donc, il faut faire une migration de ces données-là vers une infrastructure souveraine. Et, à votre question, M. le député, s'il est de notre intention d'héberger ces données de l'identité sur des infrastructures américaines ou étrangères, le RIN, là, le Registre de l'identité numérique, à cette question, la réponse, c'est non.

M. Bouazzi : Est-ce qu'actuellement ces données-là sont hébergées sur un infonuagique américain?

Mme Martel (Mylène) : Actuellement, j'ai... j'ai le devoir de vous dire qu'ils ne sont pas hébergés sur des données des infrastructures... les données ne sont pas hébergées sur les infrastructures du MCN. Évidemment, depuis trois... depuis trois mois, le contexte géopolitique a changé, et on est en train de planifier cette migration-là vers les infrastructures du MCN.

Donc, à votre question, clairement, ces données-là, qui sont une copie, sont hébergées sous des infrastructures, je vais dire, non souveraines, toutefois hébergées au Québec, hébergées au Québec. Alors, selon le... évidemment, on a une certaine zone de vulnérabilité, on en est bien conscient. Mais s'il devait y avoir une intervention légale, bien, évidemment on en serait informé... On estime qu'on en serait informé, on estime qu'on en serait informé.

M. Bouazzi : C'est tout le problème. Donc, je résume, c'est très clair. Actuellement, il y a quelque chose, l'ancêtre, disons, du...

Mme Martel (Mylène) : L'ancêtre.

M. Bouazzi : ...future identité numérique nationale, hébergé quelque part sur un infonuagique américain, tout le monde est conscient que ce n'est pas bon. Il y a déjà une migration qui est déjà dans la planification parce qu'on veut en sortir. Par ailleurs, on va créer cette identité numérique, ça fait que, de toute façon, c'est une bonne occasion de migrer parce qu'il va y avoir des nouvelles affaires. Et donc, encore une fois, M. le ministre, je ne comprends pas pourquoi est-ce qu'on n'aurait pas un «statement» clair...

M. Bouazzi : ...aujourd'hui, tous ensemble, en tant que législateurs, pour dire : Les données personnelles des Québécois, pour l'identité numérique nationale, sur des infrastructures assujetties à des juridictions étrangères, c'est non, c'est non. C'est ça, c'est ça, la souveraineté du Québec. C'est ça, la sécurité nationale du Québec. C'est ça qui fait en sorte qu'on est responsable comme législateurs. C'est non, et ça n'engage même pas des nouvelles dépenses parce que c'est du nouveau, en fait.

M. Bélanger : Parce que c'est trop précis, parce que je m'engage à ce que tous les contrats soient résiliés. Et aussi je conclus que le seul moyen d'être capable de sécuriser des données, c'est de les stocker chez nous, dans un cloud souverain, sans évaluer diverses technologies qui vont sûrement être proposées par les GAFAM, et que nous devrons considérer parce qu'il y a quand même des lois et des ententes qui ont été faites. Ça fait que si de nouvelles technologies, que ce soit par encryptage ou que ce soit par fragmentation, ou qu'on utilise éventuellement, un jour, le quantique, permettraient d'assurer au niveau de la sécurité ou du non-accès de l'intégralité de la donnée, à ce moment, c'est des choses, on ne peut pas se fermer la porte.

Mais si vous me demandez aujourd'hui, si advenant qu'il n'y avait aucun contrat, aucune entente de signée, quelle serait l'action qu'on ferait? Bien, ce serait tout dirigé vers le cloud gouvernemental. Mais là il y a quand même beaucoup d'ententes qui ont été faites. Dans certains cas, c'est des organismes, des ministères, des... c'est des registres différents. Je ne peux pas, dans un claquement, arriver, spécifier, dans le projet de loi, que tout va être vers le cloud souverain gouvernemental, parce qu'il y a beaucoup trop d'éléments légaux à considérer. Ça fait que je ne peux pas m'avancer, je veux me garder la flexibilité de pouvoir évaluer divers scénarios. Mais le scénario prioritaire que je préconise, c'est un cloud souverain gouvernemental.

M. Bouazzi : Mais je ne vous parle pas de tout, je vous parle de l'identité numérique nationale. Est ce qu'il y a un contrat actuellement qui touche à l'identité numérique nationale?

M. Bélanger : On n'est pas rendus encore à l'identité numérique nationale. Le projet de loi n° 82 va nous permettre de réaliser l'identité numérique nationale. Donc, c'est un processus. J'assume que si on réussit à évoluer puis à avancer dans le projet de loi n° 82, mais on va pouvoir probablement avancer plus rapidement au niveau de l'identité numérique nationale. On va pouvoir aussi avoir des consultations particulières pour, justement, la biométrie. On va pouvoir avancer. Si on reste encore à évaluer divers scénarios puis à essayer de préciser, dans des articles, les différents... différentes situations, je pense qu'on n'y arrivera. On va beaucoup trop se limiter. Il faut être capable de se garder une flexibilité justement au niveau de l'exécution. Mais je comprends très bien votre préoccupation et la réponse, et qu'on veut justement, au niveau des données sensibles, être capables de les héberger chez nous, dans un cloud souverain.

M. Bouazzi : Mais je ne veux pas qu'il y ait de malentendu, moi, je suis pour que toutes les données des Québécois ne soient pas dans des clouds étrangers, point barre, là. Il n'y a pas de données sensibles. Là, on est rendu au troisième point. Quatrième point, de données, on est déjà dans comme un peu trop de données, puis il faudrait les cacher, c'est évident. Nom, prénom, date de naissance, je veux dire, c'est nos propres lois québécoises qui obligent aujourd'hui le privé à se dire : Oh là là! Je vais les cacher, je vais les cacher dès que j'ai une adresse. Même un courriel personnel plus une date de naissance, c'est trop d'informations. Et là le gouvernement du Québec va dire : Bien là, moi, j'ai dit : Je vais me laisser les portes ouvertes. Il n'y a pas de portes ouvertes. Toutes les données personnelles des Québécoises et des Québécois devraient être sur des infrastructures souveraines.

Maintenant, il n'y a, et je veux juste être clair pour tout le monde, à moins que vous me contredisez, M. le ministre, aucun contrat à résilier si on décide que les données de l'identité numérique nationale se retrouvemt sur des infrastructures souveraines, aucun. Évidemment, parce que ça n'existe pas. Si vous me dites que vous avez déjà signé les contrats...

Le Président (M. Simard) : Très bien. Alors, à ce stade-ci, on va suspendre momentanément nos travaux.

(Suspension de la séance à 16 h 09)

(Reprise à 16 h 15)

Le Président (M. Simard) : Bien, chers collègues, nous pouvons poursuivre nos échanges. Et à ce stade-ci, je souhaite peut-être, à la demande du ministre, soit dit en passant, céder la parole à Me Bacon pour pouvoir peut-être répondre à l'intervention de notre collègue de Maurice-Richard.

Mme Bacon (Nathalie) : Merci, M. le Président. Alors, pour le député de Maurice Richard, j'aimerais apporter quelques éléments de réponse. Alors, d'abord, pour l'identité numérique nationale, on pourrait dire qu'elle est déjà... elle a déjà débuté avec le décret numéro 870 2022 ou que le MTM est déclaré source officielle pour les fins du service s'identification gouvernementale. Et si vous allez au projet de loi, on a déjà passé à travers cette section-là. Là, on en est rendus à 10.7 de l'article 6 de la loi sur le ministère. Vous allez à 10.5, où qu'on dit que le ministre fournit aux organismes publics les services relatifs à l'identité numérique nationale. Dans ses services relatifs à l'identité numérique nationale, il y a le SAG. Et dans l'article 10.7, comme la sous-ministre adjointe, Mme Martel vient de le préciser, il y a le registre de l'identité numérique qui, lui, va être créé au jour 1 de l'entrée en vigueur du p.l. no° 82 et qui vient remplacer le registre de l'attribut... des attributs d'identité, le RAIG. Alors, le RAIG, que vous avez l'article 40 du projet de loi qui prévoit la bascule du registre actuel, qui est la copie du registre de la RAMQ pour les données, les noms, prénoms, etc., alors, on va basculer le RAIG dans ce qu'on appelle le, excusez les lettres, là, le RIN, hein? Alors, tout ça fait en sorte qu'on est dans une situation transitoire, vous avez même des dispositions transitoires au projet de loi. Donc, c'est qu'évidemment, dans la situation actuelle, il y a des contrats en cours qu'on ne ne peut pas se permettre, à cause d'un changement politique subite début janvier avec le côté sud de, bien de... Il y a toute la question qui se pose, là, des contrats en cours, notamment avec l'infonuagique.

Alors, l'amendement que vous suggérez, qui est d'introduire sur l'expression le solde des infrastructures qui ne sont pas assujetties à des juridictions étrangères, pour nous, c'est la même chose que l'amendement précédent que vous avez présenté. Donc, c'est de faire indirectement ce que tantôt qui n'était pas possible, puis on voulait dire territoire du Québec, là. Ça fait que, là, vous dites la même chose, mais d'un autre angle. Alors, nous, on vous propose que la contreproposition que le ministre vous a faite lorsqu'il a déposé, suite à la pause, l'amendement, qui est l'article 15.2, là, pour... qui a été déposé, là, qui est dans... sur le Greffier d'ailleurs, alors, où qu'on dit que le ministre peut développer un ensemble de moyens pour renforcer... assurer la souveraineté numérique. Et dans votre questionnement, ce qu'il est exact de penser, c'est que vous avez dans la souveraineté numérique deux volets, la souveraineté des données, d'une part, et ensuite la souveraineté technologique. Alors, le ministre, lorsqu'il parle du nuage gouvernemental du cloud privé gouvernemental, alors, c'est justement la souveraineté technologique qui va nous donner la souveraineté numérique avec la période transitoire.

Le Président (M. Simard) : Très bien. Peut-être une dernière intervention, après quoi je laisserai la parole à notre collègue de La Pinière. M. le député de Maurice-Richard.

M. Bouazzi : Bien, je vais laisser les collègues prendre la parole.

Le Président (M. Simard) : Oui. Bien, merci pour votre collaboration. Alors, chère collègue, à vous la parole.

Mme Caron : Oui. Merci, M. le Président. Alors, j'ai besoin qu'on me renouvelle la mémoire. Est-ce qu'on avait déjà adopté un amendement à ce... à cet article-là, 10.7?

Le Président (M. Simard) : Non.

Mme Caron : Parce que là, on a la section qui est en caractères gras au paragraphe 1°, mais à l'alinéa qui suit le paragraphe 5°, il me semble que ce qui est écrit dans cet amendement n'est pas la même chose que ce qui est écrit dans le projet de loi. Parce que, dans le projet de loi, on lit : «Le ministre ne peut utiliser ces données à des fins de profilage des personnes», tandis que dans l'amendement, on dit, même si ce n'est pas en gras, c'est écrit : «Aucun ministère ou organisme public ou privé ne peut utiliser ces données à des fins de profilage des personnes». Alors, s'il n'y a pas eu d'amendements à l'article 10.7, ça veut dire que l'alinéa tel qu'il est dans cet amendement n'est pas valide pour l'instant en tout cas.

Le Président (M. Simard) : C'est-à-dire que c'est sans incidence dans la mesure où on étudie un projet de loi qui est devant nous, le libellé 5°. Alors, pour l'instant, en fait, c'est que c'est le compte rendu de ce que ça pourrait être, mais... au final. Mais pour l'instant, là, nous, on porte notre attention...

Le Président (M. Simard) : …sur l'alinéa un sur des infrastructures qui ne sont pas assujetties à des juridictions étrangères. Donc, je suis d'accord avec vous, là, sur la modalité que vous évoquez, mais c'est sans incidence juridique. Mais merci de nous en informer, mais…

• (16 h 20) •

Mme Caron : C'est sans incidence juridique, sauf si on adopte l'amendement tel qu'amendé… qu'on adopte l'article tel qu'amendé. Non?

Le Président (M. Simard) : Non. Non, non, ça ne changerait pas… ça ne changerait pas ce qui est imprimé à l'article 10.7, alinéa 5.

Mme Caron : O.K. Parfait. Merci. Merci pour la précision.

Le Président (M. Simard) : Merci de cette demande de précision. Oui, chère collègue.

Mme Setlakwe : Oui. Merci, M. le Président. J'apprécie les échanges, j'apprécie les compléments d'information qui nous sont fournis, autant de la sous-ministre qu'au niveau de la juriste et du ministre, mais ce que je retiens, c'est qu'on a un cloud souverain gouvernemental. Il existe déjà. J'aimerais savoir quelle est sa capacité, quel est… Quel est le plan d'action pour le bonifier, pour y stocker plus de données? Je comprends que c'est l'objectif. On s'en va vers quoi? Est-ce qu'on a… Est-ce qu'on a besoin d'investissements additionnels? Est-ce que ça, ce sont des questions qui se posent ou c'est simplement de… en ce moment d'analyser l'inventaire actuel des contrats qu'on a avec des sociétés étrangères et les données sensibles ou moins sensibles qui sont hébergées auprès de ces entreprises-là?

M. Bélanger : Je ne peux pas vous répondre de façon précise, mais on a quand même déjà investi. Il existe… lorsque… on est en train de faire la prise d'inventaire, suite à la prise d'inventaire, on va pouvoir évaluer l'ampleur des… et la quantité de données. Puis ce n'est pas quelque chose qui est fixe parce qu'on transforme l'État. Il y a plusieurs projets de transformation, il y a plusieurs données qui vont être… qui vont être créées, qui éventuellement peuvent être utilisées par des outils d'intelligence artificielle pour peut-être arriver à certaines applications pour être plus efficient. Donc, c'est quelque chose qui va évoluer. En ce moment, je n'ai pas la réponse.

Par contre, ce que je sais, c'est qu'il y a quand même des sommes importantes qui sont investies avec les GAFAM au niveau du stockage de ces données-là. C'est des montants qui sont significatifs. Et si par… je ne sais pas, je ne veux pas utiliser le terme mutualisation des données, mais peut-être moins d'infrastructures, moins d'ententes, bien, à ce moment-là, peut-être qu'il peut y avoir des économies, ou en tout cas des sommes qui pourraient être recirculées. Mais là je ne veux pas spéculer que, si on arrête un contrat à un endroit qu'on va pouvoir récupérer ces sommes-là. il va y avoir des enjeux, là, de… des enjeux légaux, là, à suivre.

Donc, je pourrais peut-être vous revenir éventuellement. Je ne pense pas que c'est quelque chose qui bloque le fait d'avancer avec le projet de loi, parce que quand… en 15, c'est en 5.3, 5.3 au niveau des infrastructures. Je me dote des pouvoirs pour être capable de justement déployer les infrastructures en conséquence. Là, je vais utiliser un autre parallèle, là, mais j'ai été en charge d'un autre projet que ça faisait 20 ans qu'on attendait pour justement de la connectivité des régions. J'ai défini que les besoins étaient à 1,1 milliard. J'ai eu 1,1 milliard de budget. Par la suite, j'ai négocié avec Ottawa qui nous ont... qui ont participé. Donc, j'ai pu… on a pu le réaliser à 700 millions au lieu de 1,1 milliard.

Il y a certainement un processus qui va faire qu'on va vouloir peut-être collaborer avec Ottawa au niveau des infrastructures. Il y a peut-être des projets communs qui vont être faits au niveau d'une infrastructure. Est-ce que l'infrastructure souveraine québécoise est la solution ou si on travaille… parce qu'on travaille déjà avec la Colombie-Britannique, qui a quand même certaines avancées au niveau de l'identification numérique. Il y a peut-être un travail de collaboration qui peut se faire. Puis, à ce moment-là, bien, les investissements, au lieu que ce soit le Québec seul, peut-être que c'est acceptable de considérer une souveraineté canadienne au niveau des données versus une souveraineté uniquement québécoise.

Mme Setlakwe : Merci. On a… On a entendu que... Vous avez admis en tout cas, par le biais de votre sous-ministre, c'était très clair, il existe une vulnérabilité actuellement. Nous sommes dans une situation où nous sommes vulnérables par rapport à certaines données sensibles actuellement. C'est ce que j'ai entendu, vous le confirmez?

M. Bélanger : Bien, c'est pour ça qu'il y a eu deux amendements, deux amendements qui ont été faits, mais en tout cas le… c'est 5.2? Je me trompe avec le 15.2, c'est 5.2. À 5.2, au niveau de la souveraineté, c'est quelque chose qui est arrivé entre janvier et aujourd'hui. On a...

M. Bélanger : ...on n'a pas eu cet article-là au niveau de la souveraineté des données. Personne ne parlait de souveraineté des données il y a de ça une année. C'était... Même qu'Amazon avait des entrepôts, puis, je veux dire, on utilisait Amazon. Et puis, au niveau de la marchandise, au niveau des données, c'étaient les leaders, c'était ce qui était, probablement, le moins coûteux, les ententes contractuelles. Aujourd'hui, on fait affaire avec Microsoft. Mais je vous dirais qu'il y a des pays dans le monde qui évaluent de ne plus faire affaire avec Microsoft. Est-ce que c'est le cas chez nous actuellement? Non. Là, on est au niveau... on est on au niveau des données, mais il y a des questions qui se posent, il y a des questions dites qui se posent. Puis il faut être capable d'être agile. Et puis je pense que le projet de loi n° 82 nous permet d'être agile. Est-ce qu'on doit, dans le projet de loi n° 82, détailler toutes les possibilités? Je ne pense pas. Je pense qu'il faut se garder une flexibilité puis être capable en... par la suite, là, d'être capable de s'ajuster, au besoin.

Mme Setlakwe : J'en suis consciente, mais on a quand même une situation, actuellement, où on n'a pas encore complété l'exercice. Vous êtes en processus d'inventaire, c'est ce que vous nous expliquez. Il y a des contrats avec des sociétés américaines et autres, étrangères. Nos données, incluant des données sensibles, sont stockées auprès de ces entreprises-là, peut-être chez nous, mais, en tout cas, ils sont... on a des contrats avec ces entreprises-là pour les fins de stockage. Est-ce que... Ma question, c'est : Est-ce qu'avec l'adoption du projet de loi et les étapes qui vont suivre vers ce registre d'identité numérique nationale... est-ce qu'on va... on ne s'expose pas, justement, à accroître notre vulnérabilité? Étant donné... C'était une question importante. Parce qu'on reconnaît qu'il y a des changements qui s'imposent, on reconnaît qu'actuellement, avec ce qui se passe avec nos voisins, ce n'est pas idéal, on... il y a un plan d'action pour étudier tout ça et voir qu'est-ce qu'on peut faire pour améliorer la situation, mais c'est important qu'on se pose la question comme parlementaires. Est-ce qu'on devrait prendre un pas de recul et mettre ça sur pause ou vous êtes à l'aise qu'on va de l'avant puis on n'augmente pas notre vulnérabilité?

M. Bélanger : Moi, je veux l'éliminer, la vulnérabilité. Et, par contre, il y a des ententes qui ont été signées. Il y a des ententes qui ont été signées en 2024, il y a des... Et puis il y en a, un millier de projets, mais ils ne sont pas... ils ne sont pas tous en exécution, là. Il y en a peut-être 200 quelques projets en exécution. On est à évaluer ces projets-là, s'il y a des facteurs, s'il y a des facteurs de risque. Et, pour les ententes qui ont déjà été établies, on va devoir reconsidérer ces ententes-là pour assurer une sécurité au niveau des données.

Maintenant, pour les nouveaux projets, au niveau de l'élaboration des contrats, moi, je peux vous garantir que ma position, ça va être d'être blindé au niveau des données puis s'assurer que ces données-là, au cas... parce qu'on voit la volatilité au niveau... au sud du Québec, ça fait que je vais probablement vouloir être plus blanc que blanc. Et est-ce qu'on avait une nécessité d'avoir... Puis mon prédécesseur, je pense, qu'il a quand même été visionnaire parce que je n'ai pas eu à créer un cloud souverain au Québec. C'est quelque chose qui existe déjà. Est-ce qu'on aurait dû, sachant ce qu'il allait se passer au sud du Québec, signer avec Amazon? Peut-être pas, mais on ne le savait pas, hein? Bien, il n'y a pas grand monde, il n'y a pas grand monde qui le savait.

Et là je vous dis qu'on est quand même assez agile parce que ça fait trois mois, là. On n'attend pas des années. Puis on a un projet de loi qui va me permettre cette flexibilité-là, avec une stratégie de souveraineté au niveau des données et du numérique.

Mme Setlakwe : Je vous entends et je vous remercie pour vos réponses. Là où j'ai encore certaines réserves, c'est quand j'entends que tout ça est subi, là... c'est arrivé subitement. Bon, évidemment, on le sait, il y a eu les élections américaines et le changement d'attitude de nos alliés envers nous... bien, pas le peuple américain, mais le président, on va le dire comme ça. Mais il me semble que la question de... la question de l'hébergement de nos données auprès de... de garder une mainmise sur nos données sensibles puis la question de la souveraineté, ça ne date quand même pas de l'élection américaine. Ça ne date pas du mois de novembre qu'on se pose ces questions-là au MCN, rassurez-moi, là.

M. Bélanger : Et puis on est beaucoup plus vulnérable aujourd'hui qu'on va l'être demain, et on l'était encore plus, vulnérable, il y a six mois qu'on l'est aujourd'hui. Qu'il y a eu une amélioration, parce qu'il y a... L'accès à ces données-là, il y a plusieurs organismes qui utilisaient, qui entreposaient des données. Et là nous autres, on veut fermer la porte à ça avec un accès unique. Ça commence par le service d'authentification gouvernementale. Par la suite, ces clés-là d'accès...

M. Bélanger : ...ces clés-là, d'accès à l'information, elles vont être contrôlées. Il y a six mois, il y a un an, vous aviez des bases de données éparpillées un peu partout, puis il pouvait y avoir des... certaines attaques et accéder à des informations qui sont sensibles. Ça fait que je vous dirais qu'aujourd'hui on s'est amélioré. Est-ce que c'est vers où on veut être dans un an? Pas du tout. Ça va évoluer. Ça va évoluer, justement, rapidement. On va se donner les moyens d'être capables d'assurer une protection au niveau des données. Est-ce qu'on doit tout stopper? Bien, il y a des transformations numériques qui doivent être... qui doivent être en place. Il y a des vieilles technologies. Dans certains cas, ça fait 30, 40 ans, et il y a des risques au niveau des services aux citoyens. Et on doit évaluer entre stopper un projet risqué au niveau des services ou continuer, avancer ce projet-là, mais tout en ayant en tête la sécurité des données.

• (16 h 30) •

Ça fait que c'est un équilibre, c'est du cas par cas. Je vous dirais que c'est facile, demain, si j'ai un nouveau projet... un nouveau projet, je pense qu'on va commencer par la rédaction du contrat puis on va s'assurer qu'au niveau du contrat, au niveau de la gestion des données, ça va être un aspect qui va être blindé.

Mme Setlakwe : Merci. Je peux... Je vous suis dans votre logique, là, de dire : Il vaut mieux ne pas avoir un dédoublement d'informations puis de données, puis de s'assurer d'avoir... de réduire, ainsi réduire le potentiel de fuite, de cyberattaque, mais là on parle de stockage. Puis le veux juste revenir sur la question de... On ne parlait pas de souveraineté, avant les élections américaines, on ne parlait pas de souveraineté de nos données, de cloud souverain. Il me semble que ça fait un bout que des experts, quand même, soulèvent ou lèvent le drapeau puis parlent du Cloud Act, et tout, et de cette emprise potentielle de juridiction étrangère sur nos données. Je comprends que c'est exacerbé, mais on ne peut pas dire que c'est arrivé comme ça, là, du jour au lendemain, avec l'arrivée du président Trump.

M. Bélanger : Non, mais, au niveau des données, c'est quand même assez récent, au niveau du cloud, c'est quelque chose qui est quand même assez récent. Et est-ce que les promesses des GAFAM au niveau de sécuriser ces données-là étaient suffisantes pour prendre les décisions? Est-ce que c'étaient les bonnes décisions? Moi, je ne veux pas juger là-dessus, mais ce que je peux juger, c'est que moi, j'étais responsable de comment les données circulent, il y a trois ans, et puis on a décidé de faire le projet puis de déployer notre propre fibre optique. Je vous dirais qu'aujourd'hui on a beau entreposer nos données, mais, si nos données circulent à l'échelle mondiale et qu'elles passent par un pipeline de données qui s'en va aux États-Unis, peut être qu'il y a un enjeu de sécurité même si ces données-là sont encryptées. Je ne veux pas arriver dans le détail, mais, au niveau des infrastructures... Parce qu'on a les infrastructures de données pour les stocker, mais moi, je vous dirais aussi qu'on a des infrastructures de circulation de ces données-là. Et, à l'heure actuelle, la circulation entre l'Europe et les États-Unis passe directement vers les États-Unis. On n'a pas de lien. Donc, ça, c'est un autre élément, puis on l'avait dans 5.3, justement, cet aspect-là, au niveau des infrastructures.

Ça fait que ça déborde d'où on stocke ces données-là. On va probablement vouloir qu'elles circulent si on a des ententes avec l'Europe, et qu'elles circulent de l'Europe vers le Québec, vers le Canada, sans passer par les États-Uni, même si on a un cloud, même si on a un cloud souverain. Ça, ça va être un autre élément où on va vouloir s'assurer que les données ne transitent pas par les États-Unis.

Le Président (M. Simard) : D'autres interventions sur cet amendement? Sans quoi nous allons procéder à la mise aux voix. Ah! M. le député de Maurice Richard, vous souhaitez un appel nominal ou bien...

M. Bouazzi : Non, pas du tout, pas du tout. Je veux continuer ma conversation avec...

Le Président (M. Simard) : Il vous reste une dizaine de minutes.

M. Bouazzi : Une dizaine de minutes. Ce ne sera peut-être pas assez, devant l'enjeu, je vous avouerai, M. le ministre. Très sérieusement, j'entends les... j'entends les arguments, et, à date, le seul que je comprends franchement et que je trouve recevable, c'est de dire : Bien là, nous, on a déjà des données sur une affaire qui s'appelle autre chose. Le jour J plus un où cette loi est adoptée, l'affaire qui s'appelle autre chose s'appellera désormais Identité numérique nationale, et donc, de facto, se trouve sur un cloud étranger, donnez-moi le temps de pouvoir migrer. Non, ce n'est même pas ça? Je vois un non. Si... Je pense qu'on veut m'éclairer. Oui.

Le Président (M. Simard) : Alors, M. le ministre, à vous la parole.

M. Bélanger : Je voudrais... Il y a un autre point parce que... on mentionne un autre point : le Cloud Act, qui a commencé en 2022, est encore en négociation. Je vous donne un...

M. Bélanger : ...un scénario, un scénario, un scénario de mi-mandat, un scénario de mi-mandat aux États-Unis, il y a un changement, puis les circonstances géopolitiques sont plus favorables. Et il y a négociation au niveau du CLOUD Act qui assure une certaine souveraineté des données qui seraient, mettons, hébergées dans un autre... dans un autre pays pour ce pays-là. Est-ce que c'est des éléments qui seraient suffisants à considérer? Peut-être, peut-être pas, mais je veux me garder cette flexibilité-là. Sauf qu'entre-temps je vous confirme que tous les nouveaux projets, où il y a des données qui sont sensibles, vont être hébergés au Québec, dans un cloud souverain. Les ententes qui ont déjà eu lieu vont être reconsidérées une après l'autre. Chaque entente va être considérée à la pièce et on va évaluer le risque. Et là, par la suite, bien, on verra quels sont les investissements en conséquence, pour être capable de modifier au niveau des ententes qui ont eu lieu.

M. Bouazzi : Vous m'avez perdu, M. le ministre. Quel Cloud Act est en train d'être négocié en ce moment? De quoi on parle?

M. Bélanger : Me Bacon, allez-y.

Le Président (M. Simard) : Alors, Me Bacon.

Mme Bacon (Nathalie) : Alors, ce qui est en train d'être négocié par le Canada, depuis 2022, là, c'est l'application du CLOUD Act, donc, une entente accessoire. Donc, juridiquement, actuellement, on n'a pas eu l'information à savoir où c'était rendu, mais... Et tous les pays du monde, là, c'est depuis les préoccupations de souveraineté numérique. L'emprise des GAFAM, c'est depuis les années 2000, on est 2025. Le problème qu'il y a, c'est les changements... pas juridiques, mais d'échiquier politique. Alors, c'est ça, les enjeux qui sont... qui ont changé depuis janvier 2025, et que là, la souveraineté numérique est plus que jamais devenue à l'ordre du jour. Alors, vous êtes aux premières loges. Et si vous faites une recherche dans Légis Québec, sur les lois du Québec, vous ne trouverez pas les mots «souveraineté» dans notre corpus législatif.

Donc, avec ce que le ministre vous propose comme amendement avec le nouvel article 15.2, qui va être le 19.2 de la LGGRI, vous, les parlementaires, allez innover en matière... Alors, vous êtes des innovateurs par rapport aux courants mondiaux qui existent actuellement et sur des sujets qui sont préoccupants pour tous.

M. Bouazzi : Je veux juste qu'elle soit claire pour tout le monde, le CLOUD Act a été adopté en 2018, avec ou sans le Canada, pour les Américains, ça ne change pas grand-chose.

Mme Bacon (Nathalie) : Ça ne change pas grand-chose. C'est juste des pourparlers pour savoir comment, comment s'imbriquer avec le CLOUD Act puis de protéger nos données malgré le CLOUD Act.

M. Bouazzi : Puis le CLOUD Act permet aussi au Canada de demander des données, j'imagine que ça fait partie aussi de ça. Donc, je... Ce que vous avez dit, M. le ministre, je vous avouerai, en fin de compte, ne me rassure pas, mais vraiment pas, c'est-à-dire l'idée de se dire : O.K. On a un gars d'extrême droite, agressif et impérialiste au sud de nos frontières, donc, bien, pour l'instant... mais voyons voir ce qui va se passer après. Moi, je pense qu'en fait notre souveraineté numérique était hyperimportante en 2001, en 2010, en 2015, et nous étions toutes et tous inconscients. Ceci étant dit, il y a vraiment beaucoup de spécialistes, des spécialistes de sécurité, je suis sûr que votre collègue de la sécurité en connaît qui - depuis vraiment très longtemps, il y en a toujours eu - qui prêchaient dans le désert pour dire : Ça ne va pas, là. On ne peut pas mettre nos données personnelles.

Donc, il y a eu quelques chocs dans l'industrie. Rappelons-nous Desjardins, quand il y a 4, 5 millions de données personnelles des Québécoises et Québécois qui ont été volés, bien, dans toute l'industrie où, en gros, la sécurité était basée sur : Je vais signer. Ne vous inquiétez pas, tous mes employés ont signé des «non-disclosure agreements». Ils ne vont pas partir en courant, avec les données, parce que c'est la loi et puis ils se sont engagés à le faire. Du jour au lendemain, tout d'un coup, on s'est retrouvé à bloquer tous les ports USB, à monitorer ce qui est envoyé par courriel, etc., parce qu'on s'est dit : Mais, en fait, O.K., effectivement, ça coûte une fortune, ça coûte vraiment très, très, très cher.

Puis une fois qu'on l'a mis en place, au mieux, si ça marche bien, ça embête tous les utilisateurs parce qu'ils ne peuvent plus... un fichier quand ils sont en conversation sur LinkedIn avec un client, ils peuvent plus... etc., tout ça. Bon. Donc, au mieux, c'est embêtant, la sécurité. Mais on s'est dit, après Desjardins, on s'est dit : O.K. On a été inconscients, tous. C'est arrivé à Desjardins, ça aurait pu arriver...

M. Bouazzi : ...à n'importe qui d'autre. Et donc on a arrêté d'avoir des... toutes sortes de portes ouvertes dans... Bien, entre autres, je ne sais pas moi, avoir accès à un Dropbox à partir des ordinateurs. Je suis sûr qu'il y a des gens qui reconnaissent ce dont je parle.

• (16 h 40) •

Bon. Il y a un nouveau «wake-up call» aujourd'hui. Aujourd'hui, on a une nouvelle réalité, c'est qu'on a été inconscients pendant 25 ans, à se dire : Mais oui, c'est vrai, c'est plus pratique, je n'ai plus besoin d'admin, ça me... c'est dans... Ça m'embête d'avoir à embaucher des admins, des spécialistes de sécurité, des admins de serveurs, des gens qui savent configurer tout ça. Je préfère le faire dans le cloud. Bon, première mauvaise promesse, là, c'est qu'en fin de compte le cloud ça coûte une fortune et qu'on a besoin de plein d'admins, mais pas les mêmes. Mais fermons cette parenthèse-là parce qu'elle ne nous intéresse pas aujourd'hui. La deuxième, c'est de se dire : Ah! Bien non. En fait, c'était une sacrée bêtise, mais une atroce bêtise devant un gouvernement qui ne respecte rien. Et il a déjà, et nous, on l'a dit en 2018, quand il a passé le Cloud Act, on a dit : On va vivre dans le déni. Et la justice, etc., on a vécu dans le déni. Il y avait déjà plein de gens qui nous disaient : Non, là, le Cloud Act, ça ne permet pas, l'Union européenne vous en parlait, ça fait donc bien longtemps qu'ils se disent, il va falloir qu'on se dote de nos propres infrastructures publiques et et étatiques parce qu'on ne peut pas le faire. Bon. Mais tout le monde a quand même regardé ailleurs parce que c'est pratique, et puis les spécialistes d'Amazon, l'AWS ou d'Azure de Microsoft, bien, il y en a dans le marché, et plus facilement que d'autres, etc.

Aujourd'hui, on est au lendemain de cette nouvelle chose, là. Et comme il y a eu avant et après Desjardins, il y a avant et après Trump qui nous dit qu'il va nous envahir, plus le Cloud Act, plus tous ces «dudes» de GAFAM, là, qui se retrouvent à l'inauguration de ce fasciste, plus le gars de Twitter qui fait des saluts nazis et qui intervient dans les élections allemandes pour faire élire des néonazis qui font des saluts nazis sur leurs publicités. C'est ça, notre nouvelle réalité. Ce n'est plus du jeu, là. Et là, tout d'un coup, on se fait O.K. O.K. Prenons acte de cette nouvelle situation. Prenons-la au sérieux. Et nous, comme législateurs, prenons au sérieux la sécurité des données de nos citoyennes et citoyens. Prenons au sérieux la souveraineté du Québec. Le vrai nationalisme, là, c'est celui-là, là. C'est maintenant, là. C'est maintenant qu'on peut le prouver, là. Il n'est pas question que, tous ensemble, alors qu'on définit quelque chose de nouveau qu'est l'identité numérique nationale, bien, que les données de cette affaire-là se retrouvent sur des serveurs qui appartiennent aux Américains, point barre. C'est facile, c'est clair, c'est un message qui est en phase avec le moment historique que nous vivons.

M. Bélanger : Bien, vous me prêtez vraiment des mots et des intentions, de dire que j'attends de voir qu'est ce qui va se passer. On est sur un projet de loi, projet de loi n° 82, où justement, entre janvier et aujourd'hui, on a des amendements au niveau de la souveraineté. On a un projet de loi qui va nous permettre d'agir rapidement. Ça fait 20 ans. Ça fait 20 ans. Je reviendrais encore au fameux projet de connectivité, là. Pendant 20 ans, c'étaient des promesses. Bien, on l'a réalisé en 18 mois. Bien, mon intention, c'est justement de réaliser la souveraineté au niveau de la gestion des données, de la circulation des données, au niveau des infrastructures, en dotant le Québec d'infrastructures modernes et efficaces en termes de gestion souveraine des données. Est-ce que je peux faire ça en claquant des doigts? Non. Je dois avoir un projet de loi n° 82 qui puisse être adopté et en opération. Par la suite, il va y avoir d'autres étapes, d'autres modifications qui vont devoir être faites en cas par cas. C'est important d'avancer. Si vous me dites que je vais attendre, non, je n'attends pas. Attendre puis on mettrait sur pause le projet de loi puis on attendrait de voir qu'est-ce qu'il va se passer au cours des 18... des 18 prochains mois. Moi, je trouve qu'ensemble, on est quand même, on est quand même pas mal actifs. Sauf que si on passe une semaine sur un article, bien, on va arriver au mois de juin, puis le projet de loi ne sera pas adopté, puis là on n'aura pas avancé au niveau de, justement, d'être capables d'exécuter une stratégie souveraine en termes de gestion des données et des infrastructures.

M. Bouazzi : M. le ministre, les enjeux sont tellement importants que je pense qu'on prendra le temps de parler des données personnelles des Québécois dans un moment où, rappelons-le, on a quand même un président qui espère faire de nous le 51 ᵉ État, là. Ce n'est pas petit, les enjeux, là. Donc, effectivement, si on prend une demi-heure de plus pour bien comprendre les enjeux, je pense que c'est tout à fait raisonnable. Je ne vous prête aucune intention. Si on adopte cet amendement-là, ça va faire en sorte que c'est impossible pour un gouvernement, le vôtre ou le suivant, de mettre...

M. Bouazzi : ...les données personnelles de l'identité numérique nationale, pas du reste, là, de l'identité numérique nationale, sur des serveurs assujettis aux législations américaines. Ça, c'est un fait.

Alors, je vous pose la question, c'est de dire : Si on ne l'adopte pas, est-ce que vous auriez le droit de mettre les données personnelles des Québécois de l'identité numérique nationale sur des serveurs d'Amazon ou de Microsoft assujettis au Cloud Act?

Le Président (M. Simard) : Merci. M. le ministre.

M. Bélanger : ...prendre une pause.

Le Président (M. Simard) : Alors, nous allons momentanément faire une pause.

(Suspension de la séance à 16 h 45)

(Reprise à 16 h 53 )

Le Président (M. Simard) : Parfait. Alors, chers collègues, nos pauses sont toujours, enfin, très souvent fort productives. M. le ministre, vous auriez une suggestion, à ce stade-ci, à nous faire qui pourrait en partie répondre aux interrogations du collègue de 3mri.

M. Bélanger : Moi, je propose qu'on se dirige vers la proposition de l'ajout à l'article 19.2 de la LGGRI et en insérant, après l'article 15.1 du projet de loi, tel qu'amendé, le suivant : 15.2...

Le Président (M. Simard) : M. le ministre, peut-être, avant de lire l'amendement, mais on va y arriver, peut-être que ça nous prendrait d'abord un consentement.

M. Bélanger : De l'avoir au...

M. Bouazzi : Que je vous demande de suspendre le mien d'abord.

Le Président (M. Simard) : Oui, oui.

M. Bélanger : Oui.

Le Président (M. Simard) : Ou quelqu'un d'autre peut le faire.

M. Bouazzi : Ah! quelqu'un d'autre peut le faire. O.K. C'est vrai. 

Le Président (M. Simard) : On n'est jamais aussi bien servi que par soi-même.

M. Bouazzi : C'est bon.

Le Président (M. Simard) : Alors, je comprends de ce que vous me dites que vous souhaitez qu'on suspende l'étude de votre article.

M. Bouazzi : S'il vous plaît, j'en meurs d'envie.

Le Président (M. Simard) : Il m'arrive de lire dans vos pensées, chers collègues. Très bien. Alors, y a-t-il consentement à cet effet afin que nous suspendions à la fois à l'étude de l'amendement, mais bien aussi de l'article dans lequel il s'inscrit? Il y a consentement pour les deux. Je vous remercie. Alors, il y a consentement pour qu'on se redirige vers l'article mentionné par le ministre. On parle bien de l'article 15.2? M. le ministre, on parle bien de l'article 15.2? Et vous aviez un amendement qui était, de mémoire, déjà déposé au Greffier, qu'on a devant nous à l'instant.

M. Bélanger : Exact.

Le Président (M. Simard) : Qui a été déposé au moins il y a une dizaine de jours. Donc, M. le ministre, pourriez-vous nous en faire d'abord lecture, s'il vous plaît?

M. Bélanger : Insérer, après l'article 15.1 du projet de loi tel qu'amendé, le suivant :

15.2. Cette loi est modifiée par l'insertion, après l'article 19.1, du suivant :

«19.2. Le ministre peut développer des moyens visant à renforcer la souveraineté numérique en matière de gouvernance et de gestion des ressources informationnelles, notamment en ce qui a trait aux données numériques gouvernementales qui comprennent des renseignements personnels...

M. Bélanger : …au sens du troisième alinéa de l'article 59 de la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, chapitre a-2.1. Il est proposé de modifier la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des organismes… et des entreprises du gouvernement, chapitre G-1.03, afin de confier au ministre la responsabilité de développer un ensemble de moyens visant à renforcer la souveraineté numérique en matière de gouvernance et de gestion des ressources informationnelles, notamment en ce qui a trait aux données numériques gouvernementales qui comprennent des renseignements personnels sensibles.

Le Président (M. Simard) : Très bien. À ce stade-ci, je vous mentionne que nous allons devoir faire une correction de forme puisqu'évidemment l'article 15.1 n'est pas encore adopté. Nous allons tout simplement dire «après l'article 15». Alors, poursuivons. M. le député de Maurice-Richard, souhaitiez-vous intervenir à ce stade-ci?

M. Bouazzi : Bien, peut-être que d'abord le ministre voudrait…

Le Président (M. Simard) : parce qu'il a déjà mentionné ses commentaires. Mme la députée de Mont-Royal—Outremont, souhaitiez-vous nous partager un commentaire sur cet amendement?

Mme Setlakwe : Sur le 19.2? Oui, oui.

Le Président (M. Simard) : 15.2.

Mme Setlakwe : Oui, oui, 15.2, désolée, qui introduit un 19.2.

Le Président (M. Simard) : Absolument, oui.

Mme Setlakwe : Bien, je pense que c'est un pas dans la bonne direction, clairement. Je questionne toujours l'utilisation du verbe pouvoir. Donc, «le ministre peut développer des moyens visant à renforcer la souveraineté numérique en matière de gouvernance et de gestion, etc.» Puis on a eu la discussion la semaine dernière, à micro ouvert, fermé, c'est… je pense que c'était à micro fermé, mais je veux juste me faire rassurer que c'est… ici, le ministre s'impose une obligation de le faire, alors que moi je vois «peut» et non pas de «doit». Il me semble qu'on aurait pu dire : Le ministre développe des moyens ou doit développer des moyens, pour qu'il y ait une obligation de le faire, je... Est-ce que c'est une obligation ou est-ce qu'il faut l'interpréter de cette façon-là?

Des voix : …

Le Président (M. Simard) : Oui. Alors, Maître Bacon.

Mme Bacon (Nathalie) : M. le Président, effectivement, nous avions eu, à micro fermé, une conversation assez rapide, là, sur le mot «peut», «peut développer» ou développe, qui veut dire… ou doit développer et je… à c'est le type de discussion que nous avons eue lors de l'élaboration du projet de loi. Alors, il y avait les… ceux qui préféraient développe, ceux qui préféraient doit développer et ceux qui préféraient peut développer. Et la position juridique qui a été retenue, c'est que, dans l'énonciation d'un article de loi, au niveau d'une responsabilité ministérielle, on ne peut pas contraindre le ministre, on lui confie une responsabilité, mais on ne le contraint pas, on ne lui sort pas un bâton parce qu'il y a ce qu'on appelle, vous le savez, la discrétion ministérielle, et avec la discrétion ministérielle, d'agir pour l'intérêt public, vous avez ce qui est associé avec la responsabilité qui nous est confiée, donc, comme ministre, la responsabilité ministérielle, c'est-à-dire qu'on doit répondre de nos actes et/ou de nos omissions devant les parlementaires à l'Assemblée nationale. Alors, c'est pour ça que c'est… la bonne position juridique, c'est de dire «peut développer» à cet article-là.

Mme Setlakwe : Merci. Merci beaucoup de cette précision. Il… ce serait différent parce que j'en avais vu quand même dans d'autres projets de loi l'utilisation du mot doit, mais ce serait différent si on ne parlait pas d'un ministre, on parlait, disons, du gouvernement ou de…

Mme Bacon (Nathalie) : C'est difficile de tracer une ligne, là. Puis même nous, à chaque fois, il faut y réfléchir, là, mais ça dépend du contexte. Alors, ici, dans le contexte du 19.2, c'est un ensemble… tu sais, c'est le développement d'un ensemble de moyens pour la souveraineté numérique, qui va concerner autant les organismes publics que les Québécois, là. Alors, il y a comme… on s'adresse au Québec en entier. Alors, c'est pour ça qu'on doit utiliser le mot «peut développer».

Mme Setlakwe : Merci. Là, l'avocate en moi veut aller un peu plus loin puis on a sorti la loi d'interprétation à l'article 51, où on… où il est inscrit, «chaque fois qu'il est prescrit qu'une chose sera faite ou doit être faite, l'obligation de l'accomplir est absolue, mais s'il est dit qu'une chose pourra ou peut être faite, il est facultatif de l'accomplir ou non». C'est l'article 51. Vous maintenez quand même votre interprétation?

• (17 heures) •

Mme Bacon (Nathalie) : Oui, puisqu'on est dans un contexte de… d'énonciation d'une responsabilité ministérielle. Vous savez, la loi sur l'interprétation n'est pas une loi très jeune et elle reprend des principes, des principes…

Mme Bacon (Nathalie) : ...qu'on appelle souvent des principes non écrits du droit. Alors, oui, cette disposition-là est bonne mais dans un certain contexte, là, au niveau du chapitre I-16, là, la loi d'interprétation. Mais, dans le contexte d'un... qu'on rédige des responsabilités, dans le contexte 2025, je vais le dire comme ça, quand on rédige les responsabilités ministérielles, c'est la façon, là. Je vous dirais que, dans une première version, on avait «développe». On n'avait pas «peut développer», on avait «développe» dans une première version.

Mme Setlakwe : Merci. Merci. Donc, ça aura été clarifié au micro. Le ministre... Je peux... pose la question au ministre. Vous allez développer des moyens visant à renforcer la souveraineté numérique, c'est votre intention?

M. Bélanger : Tout à fait. Sinon, je n'aurais pas proposé des amendements.

Mme Setlakwe : Merci.

Le Président (M. Simard) : ...d'autres commentaires sur cet amendement? Sans quoi nous allons procéder... Oui, M. le député de Maurice-Richard. Là, ce coup-là, je n'ai pas lu dans vos pensées.

M. Bouazzi : Oui. Bien... Donc là, rentrons dans la conversation, parce qu'à date ça... pas clair pour moi. Quand on parle de... Excusez-moi, je ne sais pas si on peut imprimer pour moi. J'ai comme oublié mes lunettes et j'ai...

Le Président (M. Simard) : Alors, on va suspendre momentanément.

M. Bouazzi : ...oui, et j'ai vieilli.

(Suspension de la séance à 17 h 01)

(Reprise à 17 h 03)

Le Président (M. Simard) : Bien. Alors, nous sommes toujours sur l'étude de l'amendement déposé par le ministre à l'article 15.2, et, au moment de suspendre, la parole appartenait au député de Maurice-Richard.

M. Bouazzi : Donc là, on dit qu'on parle des renseignements personnels sensibles au sens du troisième alinéa de l'article 59. Est-ce que vous pouvez donc nous donner des exemples de données qui ne sont pas... qui sont sensibles ou qui ne sont pas sensibles, à votre choix, M. le ministre?

M. Bélanger : Je ne suis pas sûr de saisir votre question. Vous voulez des exemples de données qui sont sensibles et de données qui ne sont pas sensibles?

M. Bouazzi : Là, vous vous donnez une responsabilité, je comprends que vous allez, d'ailleurs, la prendre et que vous la souhaitez vous-même, étant donné que c'est votre amendement, qui est : «développer des moyens renforçant la souveraineté numérique en matière de gouvernance, de gestion des ressources informationnelles, notamment en ce qui a trait aux données numériques gouvernementales».

Donc là... Bien, d'abord, je vous poserais peut-être la question la première. Là, on dépasse le cadre de la simple identité numérique, on est bien d'accord.

M. Bélanger : ...

M. Bouazzi : Donc, on parle d'à peu près n'importe quelle donnée qui appartient au gouvernement. Est-ce que ça... Est-ce que ça inclut, par exemple, les données des... de la... du... juste, comment il s'appelle, le répertoire de la santé, là, j'ai oublié son nom technique...

M. Bélanger : Mais je pourrais vous donner des exemples de données, la classification des données, parce que je l'ai... je l'ai quand même devant moi, là... Il y a une classification A, B, C. Ça fait que les données qui sont non sensibles... des données de niveau A qui sont adresse postale ou coordonnées d'une personne, noms et date de naissance d'une personne. Ça, c'est un niveau de préjudice A. Un niveau de préjudice B, bien là, il y a quand même beaucoup plus de... beaucoup plus d'informations, mais ça va dans les cartes d'identité délivrées par une province ou un territoire, des données biométriques...

M. Bélanger : ...par exemple. Et ça, c'est dans le b, et, dans le c, bien là, c'est des données qui concernent des enquêtes policières, des données reliées à la violence conjugale, etc. Donc, ça, c'est la classification. Et, à ce moment-là, les données de type c, les données de type b devraient être dans un cloud gouvernemental, et les données de type a, bien, je me garde la possibilité de les mettre aussi dans le cloud gouvernemental si on juge qu'il y a un risque suffisant, et de protéger... de protéger ces données.

M. Bouazzi : O.K., donc, il ne reste plus que les a, techniquement, qui pourraient se retrouver moins protégées que les autres?

M. Bélanger : Au niveau des a? Au niveau des a, je vais revenir sur les a, l'adresse postale ou coordonnées d'une personne et puis... qui est pris d'une façon isolée, c'est le nom et date de naissance d'une personne. Ça fait qu'à ce moment-là, on pourrait peut-être dire, je ne sais pas, des a de niveau... a.1 et a.2, par exemple, on peut catégoriser au niveau... Puis ça, ça va évoluer, là. Certainement que la classification... peut-être, à un moment donné, il va y avoir des données de type d, ou par... niveau a ou niveau b, il va y avoir plusieurs niveaux et plusieurs catégories, tu sais, quelque chose qui évolue.

Puis je veux garder une certaine flexibilité à ce niveau-là, mais, par exemple, ça ne se limite pas au niveau des données, ça peut-tu se limiter au niveau des logiciels qu'on utilise? Est-ce qu'on veut utiliser du logiciel libre qui va nous appartenir, au lieu de travailler avec des applications qui sont américaines? Parce qu'à ce moment-là, si on utilise une application américaine, ça peut donner probablement de l'accès, justement, à des données parce que cette application-là utilise des données. Ça fait que ça, c'est des exemples, mais que... je ne peux pas arriver, au niveau de la précision, sur l'article du projet de loi puis commencer à identifier toutes ces informations-là. C'est pour ça qu'on utilise le «notamment» à l'article 19.2.

M. Bouazzi : Parce qu'il y a la classe... Évidemment, il y a des données qui sont tout simplement publiques, là, on s'entend, donc, tout ce qui se retrouve sur un site Web, bien, qu'il soit sur un cloud américain ou autre, évidemment, il n'y a comme pas de problème. Là, on parle spécifiquement des données des Québécoises et des Québécois. Moi, je ne vois pas... en fait, je trouve que ça apporte franchement beaucoup de complexité, honnêtement, M. le ministre, pour quelque chose qui est, au mieux, négatif, franchement. C'est-à-dire que je ne vois pas, en fait, la moindre raison pourquoi est-ce que les données des Québécoises et Québécois se retrouveraient ailleurs que sur un cloud privé a, b, c. Ça ne changerait pas grand-chose. Il y a plein de données qui ne sont pas les données des Québécoises et Québécois, là, mais, au moins, ceux-là... je ne pense pas qu'il y a comme une combinaison qui ferait que ce serait correct que les données privées d'identification ou privées, tout simplement, bon, de date de naissance... Vous savez comme moi que la date de naissance, c'est une donnée très, très privée et que, même dans les processus actuels, on doit faire la preuve, pas juste qu'on la stocke mais la preuve qu'on en a besoin quand on l'utilise. C'est du lourd, déjà... tu sais, ça fait comme beaucoup de complexité... Ça, il faut continuer à le prouver, d'ailleurs, mais du côté du cloud gouvernemental, là, je veux dire. Ça fait que... ça fait que...

Alors, l'autre question, c'est : Imaginons que vous faites une classification, et puis on arrive à se dire, je ne sais pas, par exemple, le système SAP de... SAAQclic, est-ce qu'il est... est-ce qu'il est hébergé sur un cloud? Honnêtement, je n'ai aucune idée, là, sur le cloud de SAP, sur le cloud de Microsoft... WS. On a-tu... sur quel...

M. Bélanger : Je ne pourrais pas vous répondre de façon précise. De toute façon, le dossier... ce dossier-là, là, qui... où il y en a une enquête publique, là, je pense que je vais éviter ce niveau de détail là, mais assumons que, pour le moment, il y a beaucoup de données qui sont sur des clouds américains, donc qu'on doit considérer.

• (17 h 10) •

Puis vous parlez de la SAAQ, je peux vous donner l'exemple qu'on a des actions à prendre au début parce que, par exemple, les bases de données qui existent actuellement, est-ce qu'elles sont saines...

M. Bélanger : ...la réponse est non. Je sais pertinemment que la base de données des photos dans la base de données de la SAQ, elle doit être épurée parce qu'il y a plusieurs photos qui ne datent pas, elles ne sont pas à jour, etc. Donc, il y a un travail à faire au niveau de ces données-là, et, par la suite, on va vouloir les entreposer d'une façon sécuritaire. Donc, on... je reviens encore sur le processus où on est après faire une prise d'inventaire, on a une évaluation par projet, et, par la suite, je vais avoir les pouvoirs pour définir quelle est la façon la plus sécuritaire d'entreposer ces données-là lorsqu'elles seront des données qui vont être intègres. Il y a énormément de bases de données à l'heure actuelle et il y a un certain niveau de risque, mais, à chaque jour, ce niveau de risque là diminue parce qu'on est après faire une transformation numérique et une épuration au niveau des données.

Le Président (M. Simard) : D'autres remarques? Sans quoi nous allons procéder... Oui, bien sûr.

Mme Setlakwe : ...élaborer un plan ciblé, M. le ministre, sur les moyens. On a choisi, là, d'utiliser, dans le libellé, que vous allez développer des moyens visant à renforcer la souveraineté numérique. Qu'est-ce qu'on entend par moyens? Sur quoi vous planchez déjà?

M. Bélanger : C'est disposer d'infrastructures qui sont sécuritaires. Ça peut être des infrastructures de connectivité. Peut-être que l'État devrait disposer d'infrastructures de connectivité, que ce soit de la fibre optique, que ce soit au niveau des communications où les données transitent et que l'État dispose de centres de données qui sont... qui appartiennent uniquement à l'État, qui n'ont pas... qui n'utilisent pas des... en anglais, j'utilise «hardware», mais des progiciels et des logiciels qui prêteraient flanc à la possibilité de... au Cloud Act. Parce qu'on peut décider d'entreposer des données dans un dans un cloud souverain gouvernemental, mais si vous utilisez des équipements qui sont américains, la portée du Cloud Act permet un risque, à ce moment-là, d'accéder au niveau des données. Donc, ce qu'on regarde, c'est d'être capables de garantir la sécurité au niveau de ces données-là avec un nuage souverain gouvernemental qui existe.

Mme Setlakwe : Vous avez parlé précédemment de discussions avec des alliés, avec des juridictions avec lesquelles on entretient des liens favorables. Est-ce que ça inclut aussi des discussions avec d'autres juridictions?

M. Bélanger : Tout à fait, avec la France, entre autres, on a des discussions. Je ne veux pas rentrer dans les détails, parce qu'il y a quand même des discussions qui sont confidentielles, mais il y a plusieurs pays qui s'interrogent puis qui ne veulent pas être à la merci justement des... de... on peut le qualifier de... mais, en tout cas, je ne veux pas aller dans les qualificatifs, mais qui prêterait flanc à un risque au niveau de l'utilisation de données sensibles.

Donc, le Québec n'est pas le seul. On regarde au niveau des meilleures pratiques. Un bon exemple est quand même l'Estonie qui était un pays qui était vulnérable et qui est parti de zéro en mettant en place une transformation numérique et une identité numérique qui est vraiment efficace. Il y a d'autres provinces qui sont sur ces projets-là. C'est qu'on écoute puis on regarde qu'est-ce qui peut être fait, qu'elles sont les meilleures pratiques avant d'agir seul au Québec puis de ne peut-être pas utiliser les meilleures solutions qui pourraient être utilisées.

Mme Setlakwe : Merci. Est ce que 19,2, ça va être 19.2 de la LGGRI, vous octroie des nouveaux pouvoirs que vous n'avez pas aujourd'hui?

M. Bélanger : Oui.

Mme Setlakwe : Mais on s'entend, il y existe déjà un cloud gouvernemental puis c'est un élément qui assure en partie notre souveraineté numérique.

M. Bélanger : Je pense que l'intention initiale du cloud gouvernemental, on le savait déjà, donc ça a été... je mettrais «visionnaire», qu'il y a auraient des données qui seraient sensibles, mais peut-être que le niveau de sensibilité de ces données-là qu'on allait mettre dans le cloud n'était peut-être pas suffisant, pas assez inclusif, il y a peut-être des données qui sont... qu'on jugeait qui étaient moins sensibles ou peut-être, il y a six mois, que c'étaient des données qui étaient justement moins sensibles. Peut-être qu'aujourd'hui, elles deviennent sensibles...

M. Bélanger : ...sensibles, et on va les catégoriser. Il faut revenir à... de la façon comment divers organismes, ministères, etc., fonctionnent. Il y a une certaine décentralisation et il y a un processus au niveau de l'évaluation du niveau de sensibilité des données. Moi, je vais être capable d'envoyer des avis, je vais être capable de former ou de partager au niveau de la classification pour s'assurer que la classification qui a été faite... Là, je ne tire pas des conclusions, là, mais, si vous voulez entreposer des données qui sont de niveau sensible, le coût est plus élevé que d'entreposer des données qui ne sont pas sensibles. Ça fait que ça, est-ce que, dans le passé, il y a eu des données qui sont... qui, aujourd'hui, sont sensibles et qui étaient considérées non sensibles? C'est pour ça qu'on fait l'inventaire actuellement. Il y a un inventaire qui se fait. Et peut-être que, dans certains cas, il va falloir recatégoriser certaines données de non-sensibles à sensibles.

Mme Setlakwe : Merci. Donc, encore une fois, le pouvoir n'existe pas. Ici, ce n'est pas une question de le rendre explicite. Aujourd'hui, parce que la loi n'est pas adoptée, vous n'avez pas le pouvoir de renforcer la souveraineté numérique.

M. Bélanger : Aujourd'hui, j'ai un pouvoir de... je vous dirais, je vais le simplifier, mais j'ai un pouvoir d'avis, j'ai un pouvoir d'audit, et ça se limite... ça se limite à ça. Je n'ai pas nécessairement un pouvoir d'intervention. Mais il faut comprendre aussi que la volonté est qu'il y ait une collaboration. On ne veut pas que le ministère du Numérique soit un dictateur qui dicte aux organismes la façon de faire. C'est qu'il y a une collaboration et il y a une communication qui doit s'établir et une entente entre les deux, entre les deux ministre, exemple, que ce soit Santé et Numérique au niveau de... qui est énoncé dans la loi, oui, au niveau de la responsabilité, oui.

Le Président (M. Simard) : Bien. D'autres commentaires?

Mme Setlakwe : Merci. Oui, j'en aurais une autre, question. Est ce que c'est une... Est-ce que c'est un chantier qui est mené en collaboration, par exemple, avec le Conseil du trésor?

M. Bélanger : Oui, c'est progressif, il va y avoir d'autres étapes. Au niveau du Conseil du trésor, il y a certaines actions à prendre. Mais ça fait que ça fait trois mois, là. On travaille... Tous les ministères, on travaille ensemble à ce niveau-là. L'aspect souveraineté, le «non-souveraineté», dans le projet de loi, n'existait pas il y a six semaines. Il n'existait pas, hein? Six semaines, Il n'existait pas.

Mme Setlakwe : Un dangereux précédent à certains égards.

M. Bélanger : Mais c'est un intéressant précédent.

Mme Setlakwe : Sur la souveraineté numérique, oui.

M. Bélanger : Souvraineté des données qu'on parle. Oui, souveraineté des données.

Mme Setlakwe : Bien sûr. Merci.

Le Président (M. Simard) : Merci à vous. D'autres commentaires? Sans quoi nous allons procéder à la mise aux voix de l'amendement déposé par le ministre. L'amendement 15.2 est-il adopté?

Des voix : Adopté.

Le Président (M. Simard) : Adopté. Conséquemment, nous allons, avec votre consentement, bien sûr, revenir à l'étude de l'article 10.7 introduit par l'article 6. 10.7. Donc, on revient là où on en était rendus, et nous étions, bien sûr, sur un amendement déposé par le député de Maurice-Richard. Je ne sais pas si, collègue, vous souhaitez toujours, à la lumière du vote que nous venons de tenir, maintenir, comment dire, l'étude de votre article.

M. Bouazzi : Bien, moi, je pense que les deux sont tout à fait complémentaires. J'ai... Encore une fois, je salue, hein, la volonté du ministre de vouloir catégoriser les données et puis faire en sorte que les données les plus sensibles ne se retrouvent pas sur des infrastructures infonuagiques étrangères. Ceci étant dit, dans le cadre de ce qui nous intéresse actuellement, dans l'identité numérique particulièrement, j'ai du mal à comprendre pourquoi est-ce qu'on ne se donnerait pas une règle claire, c'est : Pas de données d'identité numérique nationale sur les infrastructures sous les législations étrangères. C'est vraiment clair et puis... N'importe quoi d'autre que ça ne serait pas responsable, en fait. Ça fait qu'on ouvre la porte à quelque chose de pas responsable. Bien, fermons la porte, tout simplement. Soyons responsables. Donc, oui, je le maintiens.

• (17 h 20) •

M. Bélanger : Je vais je poser la question : Est-ce que le Canada est étranger au Québec? Lorsqu'on a fait le projet de connectivité, on a réalisé un projet, le Québec a réalisé un projet que je considère souverain en termes de déploiement de fibre optique, mais on a travaillé en collaboration...

M. Bélanger : ...avec le Canada dans un champ de compétence et de juridiction qui est le leur. Il y a le CRTC qui établit des règles au niveau des télécommunications. Donc, on touche au niveau des infrastructures de télécommunications. Ça fait que la frontière... la frontière est quand même mince d'arriver puis d'obliger de mettre en place une souveraineté québécoise nationale pour tout ce qui est des données. Je pense que c'est à nos limites. On a des discussions avec la France, on a des discussions avec la France sur du logiciel ouvert pour d'autres applications qui vont utiliser des données. On fait la même chose avec la Colombie-Britannique. Je pense qu'il faut se garder la possibilité. Je suis d'accord avec vous au niveau des... au niveau du risque du côté... du côté américain. Mais juridiction est un sens large. Ce n'est pas uniquement la juridiction américaine, là, c'est... Lorsqu'on dit juridiction, moi, je ne serais pas prêt à préciser, là, de plus que ce que nous avons dans l'article.

Le Président (M. Simard) : Alors d'autres... Oui, cher collègue.

M. Bouazzi : Bien, le ministre me pose une question, et je pense que les mots sont très, très précis. Non, le Canada n'est pas l'étranger. Le Canada, c'est le pays dans lequel on est. Mon collègue, mon collègue, Sol Zanetti, probablement, penserait qu'on est sous occupation. Ça, c'est... Mais, mais, mais ça reste légalement le pays dont on fait partie, et donc non. La France? Oui, absolument. La France est un pays étranger. Et si demain matin vous me dites je veux mettre ça sur des infrastructures françaises parce qu'on aime bien Macron, je pense que c'est une erreur immense, sachant que Marine Le Pen arrive à toute vitesse si on la laisse se présenter. Ça fait que, concrètement, la question ne se pose pas. N'importe quel pays, et ça peut être le meilleur ami au monde, les États-Unis nous en font la preuve patente. On ne peut pas mettre nos données personnelles sur des infrastructures sous législation étrangère, tout simplement. Ça peut être notre meilleur ami, ça ne change rien.

M. Bélanger : Mais, M. le député, hors Québec, c'est une juridiction hors Québec.

M. Bouazzi : Effectivement.

M. Bélanger : Les provinces sont une...

M. Bouazzi : De toute façon, nous, on préfère que ce soit au Québec.

M. Bélanger : Mais ce que je comprends de votre...

M. Bouazzi : Le problème...

M. Bélanger : ...de votre parti.

Le Président (M. Simard) : On va laisser notre collègue de Maurice-Richard terminer.

M. Bouazzi : Bien, c'est… Vous avez raison, on préfère que ça reste au Québec. Ceci étant dit, même si ça reste au Québec, les lois canadiennes s'appliquent. Donc, je veux dire, il y a les...

Le Président (M. Simard) : Très bien.

M. Bouazzi : Les infrastructures sont assujetties aux lois canadiennes, elles ne sont pas étrangères.

Le Président (M. Simard) : Très bien. Alors, chers collègues, le temps imparti pour votre intervention est maintenant révolu. Y aurait-il d'autres interventions? Sans quoi nous allons procéder à la mise aux voix. L'amendement déposé par notre collègue de Maurice-Richard...

M. Bouazzi : Par appel nominal.

Le Président (M. Simard) : Par appel nominal. Alors, M. le secrétaire, veuillez procéder, je vous prie.

Le Secrétaire : Pour, contre, abstention. M. Bouazzi (Maurice-Richard)?

M. Bouazzi : Pour.

Le Secrétaire : M. Bélanger (Orford)?

M. Bélanger : Contre.

Le Secrétaire : Mme Abou-Khalil (Fabre)?

Mme Abou-Khalil : Contre.

Le Secrétaire : Mme Mallette (Huntingdon)?

Mme Mallette : Contre.

Le Secrétaire : M. Thouin (Rousseau)?

M. Thouin : Contre.

Le Secrétaire : M. Poulin (Beauce-Sud)?

M. Poulin : Contre.

Le Secrétaire : Mme Setlakwe (Mont-Royal—Outremont)?

Mme Setlakwe : Abstention.

Le Secrétaire : M. Simard (Montmorency)?

Le Président (M. Simard) : Abstention. Cet amendement est donc rejeté.

Et nous revenons à l'étude de l'étude... à l'étude, oui, de l'étude de l'article 10.7. Mais avant, nous allons suspendre momentanément nos travaux.

(Suspension de la séance à 17 h 23)

(Reprise à 17 h 32 )

Le Président (M. Simard) : Bien. Merci à vous, chers collègues. Nous avons toujours quorum, nous pouvons poursuivre les travaux et nous en sommes bien sûr à l'étude de l'article 10.7. Y aurait-il d'autres commentaires que l'un d'entre vous souhaite formuler à cet égard? Sans quoi, nous allons procéder à la mise aux voix de l'article 10.7. Cet article est-il adopté?

Le Secrétaire : ...

Le Président (M. Simard) : Ah! Bien non, c'est vrai, vous avez raison, ça faisait longtemps. Merci beaucoup, M. le secrétaire de votre précieuse vigilance. On les vote tous en bloc. On vote l'article 6 en bloc. On poursuit donc nos discussions à 10.8. Je m'excuse pour cette mégarde.

Donc, M. le ministre, pourriez-vous nous faire éventuellement lecture de l'article et, potentiellement, de vos commentaires?

On va suspendre momentanément.

(Suspension de la séance à 17 h 33 )

(Reprise à 17 h 35)

Le Président (M. Simard) : Bien. Alors, M. le ministre, à vous la parole concernant l'article 10.8, qui, par ailleurs, avait déjà été lu intégralement dans une séance antérieure.

M. Bélanger : Merci, M. le Président. Comme il avait déjà été lu, je ne vais pas le relire, mais je vais quand même le commenter. L'article 10.8 proposé donne au gouvernement le pouvoir de déterminer des cibles et des objectifs en lien avec l'identité numérique nationale ainsi que les conditions et modalités d'une entente qu'un organisme public peut conclure dans le but de rendre interopérable cette identité avec les infrastructures et les systèmes de toute autre personne ou entité sur le plan local, régional, national ou international.

Le Président (M. Simard) : Je vous remercie. Des commentaires? Mme la ministre... Mme la députée de Mont-Royal—Outremont.

Mme Setlakwe : Oui. Merci. Donc, ici, pouvez-vous l'illustrer, là, ce que... ce qu'on entend par ces objectifs et ces cibles? Est-ce que c'est quelque chose sur lequel vous travaillez déjà? Et, si ce n'est pas le gouvernement qui les détermine, est-ce qu'on doit comprendre que ce sont les organismes publics eux-mêmes? Comment est-ce que le déploiement de tout ça va se faire?

M. Bélanger : Moi, je veux être capable de définir de... définir des cibles et les objectifs en collaboration avec les différents organismes ou ministères.

Mme Setlakwe : Oui.

M. Bélanger : Ça fait que vous voulez des exemples ou...

Mme Setlakwe : Donc... Bien oui... Vous allez en... le faire en collaboration avec les organismes publics.

M. Bélanger : Mais c'est quand même assez large, là, au niveau... Je ne sais pas quel genre d'exemple que vous voulez, que ça soit des... par des décrets par la suite qui vont être... qui vont être faits ou...

Mme Setlakwe : Bien, c'est intéressant de suivre les cibles et les objectifs, parce qu'après on va pouvoir voir si c'est un succès, s'il y a beaucoup d'adhésion et comment... et, par la suite, est-ce que vous allez suivre ces indicateurs puis comment vous allez, donc... Parce que c'est important. On se rappellera, là, c'était au tout début de l'étude du projet de loi, les consultations, à quel point c'est important qu'il y ait une adhésion forte de la population, qu'on réussisse à fédérer la population. Puis là, ici, on parle justement, là, des objectifs et des cibles par rapport, entre autres, à l'accès, au taux d'utilisation.

M. Bélanger : Bien, je vous donnerais... je vous donnerais l'exemple du SAG, qui est utilisé par plus de 2 millions de... 2 millions de citoyens qui sont inscrits au Service d'authentification gouvernementale. Il est aussi utilisé par Santé dans la transition au niveau de... au niveau de Clic Santé. Il y a près de... En tout cas, il y a plus d'un demi-million d'utilisateurs qui peuvent consulter leur carnet... carnet santé. On est à peu près à 3 millions de consultations qui ont été faites sur le Service d'authentification gouvernementale. Ça fait que c'est des cibles. Notre... Les cibles sont que la plupart des citoyens du Québec, par exemple, utilisent... utilisent ce service-là, cette clé-là. Ça, c'est un exemple.

Par la suite, lors de projets de transformation numérique, on va avoir des cibles au niveau de l'efficacité, au niveau de l'efficience, parce que, si on investit des sommes importantes au niveau de transformations numériques, on va vouloir en avoir les bénéfices. Dans certains cas, c'est une obligation parce que, la technologie qui est utilisée, il y a une date... il y a une date de fin, donc on est dans l'obligation, mais, dans d'autres cas, les transformations numériques sont pour avoir une meilleure... une meilleure efficacité.

Mme Setlakwe : Merci. Mais je trouve ça quand même... J'aimerais entendre de votre part, là, votre vision. Qu'est-ce que vous souhaitez atteindre comme taux d'adhésion, comme réussite, comme... Parce que... Tu sais, c'est de ça, c'est de vous entendre sur votre vision. Parce qu'en parallèle, si... On ne peut pas forcer un organisme à utiliser ou on ne peut pas forcer des citoyens à utiliser l'identité numérique, il faut, en parallèle, maintenir les services en personne. Donc, comment tout ça va se déployer? Comment vous allez mesurer, donc, à quel moment est-ce que vous allez peut-être réduire les services en personne ou à quel moment est-ce que vous allez déterminer que...

Mme Setlakwe : …c'est un succès ou ce ne l'est pas? Qu'est-ce que... Quels sont vos objectifs à vous?

• (17 h 40) •

M. Bélanger : Je pense que les services en personne doivent rester en place pour une certaine longue période. Est-ce que les sites, le nombre de sites où on va pouvoir se présenter en personne et pouvoir utiliser la façon… la façon traditionnelle peuvent… Ça peut évoluer, il peut y en avoir… il peut y en avoir moins, mais l'objectif… On a un objectif de simplifier la tâche… de simplifier la tâche pour les citoyens. Au début, on est au niveau des citoyens, éventuellement, ce sera au niveau des entreprises, pour avoir un seul endroit où le citoyen peut accéder à toute la panoplie de services gouvernementaux versus aujourd'hui où il doit cogner à peu près à une vingtaine de portes différentes pour justement avoir ce carnet de… ce carnet de services là. Donc, la cible et l'objectif, c'est… je n'ai pas défini dans combien de temps et quel est le pourcentage, mais c'est certainement plus qu'un taux d'adhésion de 50 %. Là, on vise 80 % de plus de taux d'adhésion.

Mais les cibles sont à être définies selon les projets, que ce soit au niveau de… au niveau de la santé, que ce soit au niveau de l'éducation, que ce soit au niveau des services, des services en général. Je viens d'arriver, là, ça fait… ça fait cinq semaines. C'est certain que je vais vouloir établir des objectifs puis surtout des objectifs qui sont réalisables. J'aimerais qu'on puisse arriver à respecter les dates cibles qu'on se met et l'atteinte des objectifs dans ces dates-là. Donc, c'est déjà… à prime abord, c'est prendre un peu ce qui est fait avec les cibles qu'on avait, mais être capable de mettre ça sur les rails dans le cas échéant et par la suite mettre des cibles agressives.

Je reviens au projet… au projet de connectivité. On avait 256 000 foyers à brancher. C'était ma cible, être capable de rejoindre 256 000 foyers au Québec. Aujourd'hui, on en a trois… au-dessus de 330 000. Donc, c'était un objectif que j'avais. J'avais l'objectif en 18 mois. Je peux vous dire que je vais être assez agressif au niveau des objectifs. Pour le moment, je suis plus sur le projet de loi. Il y a l'étude des crédits, il y a eu la prise de connaissance de tous les dossiers, certainement qu'il va me rester à établir des objectifs qui vont pouvoir être réalisables, mais ils vont être définitivement agressifs.

Mme Setlakwe : Merci. Et donc, est-ce que vous voyez… comment vous voyez le déploiement? Quels organismes publics ont déjà peut-être levé la main ou avec lesquels vous avez déjà eu des discussions, vous souhaitez collaborer avec eux? Est-ce que vous avez déjà une feuille de route en tête par rapport aux premiers organismes publics qui pourraient adhérer et participer à l'identité numérique?

M. Bélanger : La RAMQ en est un, entre autres.

Mme Setlakwe : Ensuite?

M. Bélanger : On va faire la liste, mais j'ai déjà vu la liste, mais la SAAQ, évidemment, la SAAQ en est un, on en a entendu parler beaucoup. Mais il reste peut-être certaines choses à faire au niveau… au niveau de la SAQ. Tantôt, je parlais de la base de données de la SAAQ, la base de données de la SAAQ, qui est une base de données où ma propre identité a probablement 12 photos différentes, et on va vouloir justement être capable d'épurer cette base… cette base de données là. Par la suite, il y a Retraite Québec, il y a… c'en est un. Je pourrais vous donner… je pourrais vous revenir, là, avec la liste qui est actuelle, mais c'est, moi, je vous dirais, tous les organismes, ministères, organismes qui sont en transformation numérique.

Je participe à la définition des priorités au niveau… les organismes, ministères proposent des projets de transformation numérique. Je participe à la priorisation de ces projets-là. La façon comment je participe à la priorisation de ces projets-là, je regarde quels sont les bénéfices, quel est… quel est l'urgence. Dans certains cas, il y a une urgence parce que la technologie utilisée arrive à une fin. Dans d'autres cas, on me propose une transformation numérique à un coût X qui génère des bénéfices y. Ça fait que je participe à l'évaluation de cet… de ce processus-là en termes de coûts-bénéfice.

Mme Setlakwe : Merci. Avez-vous un ajout, un complément d'information?

M. Bélanger : Non, bien, on a… pour le SAG, entre autres, le système… le service d'authentification gouvernementale, on a déjà des cibles. On rencontre… moi, en tout cas, les lumières que j'ai sont quand même... sont quand même assez vertes. Là, les cibles en 2024 étaient de 8 % en termes de…

M. Bélanger : ...c'est de l'adhésion, 23 % en 2025‑2026, 2026‑2027, 48 %, puis 100 %, 27... en 2027‑2028.

Mme Setlakwe : Ça, c'est pour le SAG?

M. Bélanger : Ça, c'est le taux d'adhésion pour le SAG. C'est ça, système d'authentification... Service d'authentification gouvernemental.

Mme Setlakwe : Aujourd'hui, on est à quel pourcentage?

M. Bélanger : Aujourd'hui, on est certainement à 23 %, autour de 23 %. J'ai eu... je le reçois à chaque semaine, là. Je n'ai pas eu le récent. Je le reçois chaque semaine, mais les voyants sont... sont verts. Et puis je vous confirmerais que je n'étais pas inscrit au Service d'authentification gouvernemental et, à ma première semaine, je l'ai... je l'ai fait puis je suis de niveau 2. Donc, j'ai donné mon avis de cotisation et puis je suis niveau 2 au niveau du SAG.

Mme Setlakwe : Donc, vous-même, vous n'étiez pas...

M. Bélanger : Non, je ne l'étais pas, puis c'était une des critiques que j'avais un peu parce que je me dis : Je ne suis pas au courant, je ne le sais pas, j'ai de... Et ça, c'est un des éléments.

Il y a beaucoup de projets, hein, je dis. Mais au ministère du Numérique, il y a aussi beaucoup de projets. Ce matin, on parlait d'un napperon que j'aimerais vous procurer sur le... justement le Service d'identification numérique québécois et qui a, je pense, sept blocs, il y a sept étapes. Il y avait l'identification numérique citoyenne qui est mise un peu sur pause parce qu'on peut faire des consultations au niveau de la biométrie, mais le SAG est quand même dans le premier bloc qui, lui, est assez avancé. Il y a trois semaines, vous m'aviez posé la même question, j'aurais dit : C'est quoi? Je ne le savais pas. Donc, il y a un... Moi, j'ai un apprentissage à faire. Il y a beaucoup de projets, il y a des projets. C'est vraiment intéressant. Dans certains cas, ils ne sont pas assez communiqués.

Mon collègue à la Santé m'a confirmé aujourd'hui qu'il y avait au-dessus de 500 usagers qui sont... qui sont inscrits au SAG et qui... qui utilisent pour consulter leur carnet de santé, puis que c'est des millions de... des millions de transactions qui se font. 500 000? Oui, 500 000, ça fait que ce n'est pas rien tant que ça évolue, et ça a été un succès, hein? Et il y en a... On a entendu que bon, au niveau du SAAQclic, le SAG avait créé... Moi... moi, je ne pense pas. Je pense que ça a été... ça a été un des éléments, mais ce n'est pas... c'est un des éléments qui a quand même bien fonctionné.

Puis au niveau de la Santé, bien, Santé, ça a bien fonctionné, mais ça a passé sous éclipse parce que la plupart des projets qui fonctionnent, bien, on n'en parle pas. C'est des projets qui fonctionnent moins bien qu'on... qu'on parle.

Mme Setlakwe : De quel projet, spécifiquement en Santé, vous dites qu'il a bien fonctionné?

M. Bélanger : Bien, au niveau du SAG.

Mme Setlakwe : Ah! le SAG relié à...

M. Bélanger : Oui, oui, parce que Clicsanté, c'est appelé à être remplacé par le... par le SAG.

Mme Setlakwe : Je comprends.

M. Bélanger : Et là, on est à 500 000 déjà d'inscrits. Il va en... et il y en a à chaque... À chaque semaine, le chiffre monte. C'est un autre tableau de bord que j'ai. Pour moi, c'est des objectifs justement dans la transformation numérique qui va se passer au niveau de la Santé, mais que ça puisse évoluer, évoluer rapidement.

Mme Setlakwe : Merci. Vous avez dit que donc vous allez suivre ça, que vous allez... vous souhaitez que, quand on mentionne des dates pour livrer ou pour atteindre certains objectifs, vous souhaitez les... qu'on les atteigne, que les organismes publics les atteignent.

J'aimerais juste qu'on revienne sur la discussion qu'on avait. Ça me fait penser à la discussion qu'on avait juste avant la pause du dîner. En tout cas, à 12 h 30, on parlait au sein même du MCN, le SKIN.

M. Bélanger : Oui.

Mme Setlakwe : Le projet québécois d'identité numérique qui a plusieurs blocs, plusieurs composantes.

M. Bélanger : Oui.

Mme Setlakwe : Mais au sein même de ce projet-là, qui est sous la gouverne entière de votre ministère, il y a des... il y a des livrables ou des dates d'échéance qui n'ont pas été respectées. Il y a même... Et c'est là qu'on était quand on a... on a dû... on a dû cesser nos discussions ou les suspendre. Vous dites que ce n'est que le... c'est l'aspect. Attendez, là, c'est là que vous m'avez dit que c'était, le bloc 3 uniquement qui était suspendu, relatif à l'identité numérique citoyenne, et c'était la... c'était du... c'était en lien avec la biométrie, ça, c'est mis de côté pour l'instant, de faire des consultations. Juste élaborer sur les différents blocs, les différentes composantes. Qu'est-ce qui est toujours en cours? Qu'est-ce qui ne l'est pas? Qu'est-ce qui s'en vient?

• (17 h 50) •

M. Bélanger : Tout le projet est en cours. Il y a sept blocs, le bloc 1 qui est l'accès bonifié aux prestations électroniques de services... de services entreprise. Il y a de l'accès... Bloc 2, c'est l'accès bonifié aux prestations électroniques de services citoyens. Là, le SAG était... fait partie de ce bloc-là. Le bloc 3, c'est l'identité numérique citoyenne. Elle, elle a avancé, sauf que l'identité...

M. Bélanger : ...au niveau de la biométrie, la biométrie, on a décidé de passer par une consultation citoyenne. Donc on a mis le bloc, le bloc 3 sur pause pour être capable d'adresser la consultation citoyenne au niveau de données biométriques. Mais il y a le bloc 4, échange sécuritaire des données... le 4, le 5, c'est la représentation fracture numérique, le 6, fracture numérique, c'est quand même des éléments qu'on considère, par exemple, au niveau du...  pour... Mon collègue de Maurice-Richard m'a présenté un groupe qui avait des considérations au niveau alphabétisation. Je vais rencontrer ce groupe-là. Je vais confirmer justement que, pour les les gens qui ont une difficulté au niveau de la fracture, qu'il y a un enjeu au niveau de la fracture numérique qui... les ervices traditionnels puissent être... en tout cas, une assistance puisse être disponible justement pour rendre le service, pour ne pas qu'il y ait deux classes de citoyens au niveau des services gouvernementaux. Bloc 7, c'est alimentation du registre d'identité.

Mais je vous promets, Mme la députée, que, d'ici quelques semaines, je vais vous arriver avec un napperon que je vais pouvoir aussi partager avec les journalistes qui, des fois, peuvent tirer des conclusions sur... comme quoi le projet d'identité numérique était tout mis sur pause. Non, il y a sept blocs et puis il y a un seul bloc qui était mis sur pause, pour l'instant, qui est le bloc 3.

Mme Setlakwe : O.K. Merci pour cette clarification, puis, oui, pour le napperon, peut-être à temps pour l'étude des crédits dans deux semaines. On verra. Mais qu'est-ce que dit le budget exactement, là, pour ce bloc-là? Là, je comprends que vous le retirez, vous le suspendez, mais il n'y avait pas des sommes d'argent qui étaient allouées dans les prochaines années?

M. Bélanger : Oui, il y a des sommes... Non, mais il y a des sommes d'argent, il y avait un budget qui était prévu, on n'a pas utilisé le budget, on a utilisé une partie du budget. Et là, par la suite, lorsqu'on va le remettre sur les rails, il va y avoir une réassignation au niveau du budget puis de la cédule de mise d'exécution au niveau de l'échéancier.

Mme Setlakwe : O.K. Mais donc, là, juste pour revenir, bloc 3, identité numérique citoyenne, ça...

M. Bélanger : Les autres, ils ne sont pas commencés, à partir de 4, 5, 6, 7, ils ne sont pas débutés.

Mme Setlakwe : Non. Je comprends. Qu'en est-il du portefeuille? Le portefeuille, il fait partie du bloc 3, non?

M. Bélanger : Oui.

Mme Setlakwe : Et c'est ça qui est mis sur pause ou c'est l'aspect biométrie? Moi, je ne pensais pas que le portefeuille incluait un volet biométrie.

M. Bélanger : C'est le bloc 3, c'est le bloc 3 au complet qui est mis sur pause, à cause de... justement, en termes de biométrie. C'est tout le bloc  3 qui s'oppose, parce qu'il y avait un budget pour le bloc 3, et c'est ce projet-là qui est mis sur pause.

Mme Setlakwe : O.K. Donc, ce n'est pas juste le volet biométrie, c'est tout. Donc, il n'y en aura pas de portefeuille avant la fin de l'année ou il va en avoir un.

M. Bélanger : Bien, au niveau de la cédule, je ne pourrais pas vous répondre, là, d'ici à la fin de l'année, mais je pense que les dates cibles n'ont pas changé au niveau de... au niveau des différents blocs. C'est uniquement le bloc 3 qui, lui, était prévu à fin mars qui, lui, est repoussé. Par contre, l'échéance de fin 2025 ou 2026, là, elle, elle va être revisitée à ce moment-là. Ça crée un impact, mais je ne peux pas me commettre aujourd'hui, dire ça va être combien de mois retardés ou... Est-ce qu'il va y avoir une augmentation des budgets? On n'a pas utilisé le budget, on a utilisé une partie du budget.

Mme Setlakwe : Puis c'était combien l'enveloppe, l'enveloppe, c'était combien?

M. Bélanger : Du bloc 3, 40 millions, 40 millions, je me rappelle pas mal, puis on est peut-être à 50 %, c'est ça, 50 % du budget Ma mémoire ne fait pas défaut.

Mme Setlakwe : Donc, il y a un 20 millions qui est utilisé...

M. Bélanger : Mais c'est du travail déjà fait. Mais, au niveau de la biométrie, on a jugé bon puis on a eu des discussions de passer par une consultation publique au niveau des données biométriques.

Mme Setlakwe : O.K. Mais là il y a un 20 millions qui n'apparaît plus.

M. Bélanger : On n'est pas aux crédits, là. 

Mme Setlakwe : Non, non. O.K. On va en parler. Très bien. On en parlera aux crédits. 

Une voix : Merci.  Est-ce qu'il y a d'autres interventions sur l'article 10.8? Pas d'autres...

M. Bélanger : ...vous avez dit?

Une voix : 10.8.

Une voix : ...

Une voix : Ah! excusez-moi. Peut-être que mon cerveau ne suit pas. Je viens d'arriver puis je suis un peu rouillé.

Mme Setlakwe : ...une dernière. M. le député de Maurice-Richard n'a pas de question sur 10.8? Non.

Une voix : Oui, Mme la députée de Mont-Royal-Outremont.

Mme Setlakwe : Parfait. Donc, juste...

Mme Setlakwe : ...on a parlé du premier alinéa de 10.8. Juste élaborer sur le deuxième alinéa, sur des ententes. Est-ce qu'actuellement on doit comprendre qu'il n'y en a pas, d'entente qui sont en cours de... en cours d'élaboration?

M. Bélanger : Non. Puis je veux revenir à votre point, là, parce que je ne voulais pas être brusque, là, en disant : On va faire ça aux crédits, mais c'est parce qu'aux crédits je vais avoir une équipe qui va être plus considérable, puis on va pouvoir répondre de façon plus précise à vos questions, là, parce que, moi aussi, je veux avoir ces informations-là, là.

Mme Setlakwe : Non, je le reçois très bien, on en... Ça s'en vient, là, on va pouvoir aller en détail. Merci.

Donc, 10.8, il n'y a pas d'entente, on fait simplement prévoir qu'au même... dans le fond, de la même façon que l'alinéa 1, vous allez vouloir collaborer avec les organismes publics au niveau des ententes qu'ils vont pouvoir signer?

M. Bélanger : Exactement. Dans certains cas, il y a des... il y a même des organismes qui ne sont pas sur le périmètre comptable du gouvernement. C'est mon intention de pouvoir collaborer avec ces organismes-là aussi, parce qu'on parle d'identité numérique citoyenne, et j'inclus tous les organismes.

Mme Setlakwe : Comment ça va fonctionner? Il y a des organismes qui ne sont pas dans le périmètre comptable. Comme? Donnez-nous un exemple.

M. Bélanger : Qui sont autoportants... exemple. Des ordres professionnels, par exemple.

Mme Setlakwe : Mais c'est... Quelle est votre vision, là, sur cette question-là, d'interopérabilité du registre, là? Dans un premier temps, on va le mettre sur pied, c'est votre intention de... et ensuite, juste élaborer sur l'interopérabilité avec les infrastructures et les systèmes de toute autre personne ou entité sur le plan local, régional, national ou international, dont la condition selon laquelle l'entente doit être conjointement. O.K., mais c'est très large, là. Donc, il pourrait y avoir... le registre pourrait être interopérable avec d'autres systèmes, d'autres... dans le fond, d'autres paliers de gouvernement.

M. Bélanger : La Chambre des notaires est un exemple, mais peut-être que la sous-ministre adjointe... répondre...

Le Président (M. Bernard) : ...déjà eu l'autorisation. Parfait. Allez-y, Mme la sous-ministre.

Mme Martel (Mylène) : Oui. Merci, M. le Président. Oui, Mme la députée, en fait, ce qu'on vise avec cet article-là, c'est de mettre les balises nécessaires pour bien encadrer, finalement, l'usage de l'identité numérique. Donc, ce n'est pas juste un registre mis sur pied par le ministère de la Cybersécurité, mais c'est aussi un cadre qui vient édicter les normes et standards qui devront être mis en place par un OP. On a nommé tout à l'heure la RAMQ, pour la carte... pour une carte numérique de l'assurance maladie. Donc, c'est de venir dire les balises de confiance, le cadre de confiance qui s'établira entre le ministère de la Cybersécurité et un OP utilisateur de l'identité numérique, par exemple.

Mme Setlakwe : Merci. Ça, c'était... c'est très clair et... Mais ce n'est pas ici qu'on prévoit, disons, que des entités, des entreprises privées pourraient éventuellement utiliser l'identité numérique nationale pour des fins d'authentification pour leurs propres affaires. Tu sais, jusqu'où on peut aller, puis est-ce que c'est... C'est donc cet article-là, moi, que je comprends qu'on peut... Quand on parle de toute autre personne, c'est ce qu'on veut dire, un autre...

Mme Martel (Mylène) : Oui. Il y a l'émetteur, en fait, il y a l'émetteur et le récepteur. Dans ce cas-ci, nous, on est l'émetteur de l'identité numérique, et il y a le récepteur, qui pourrait être une entité tierce. Par exemple, on a parlé tout à l'heure de... bien, de celui qui va valider l'identité, finalement. Puis là je n'ai pas d'exemple en tête, là, mais un OP, un OP récepteur... Mon Dieu! J'essaie de trouver un exemple.

M. Bélanger : ...des ententes au niveau impôt, taxation interpays sur des revenus mondiaux, d'être capable, justement, d'accéder, d'avoir une clé sur l'identification citoyenne, pour être capable, justement, d'accéder à des informations qui seraient situées dans un organisme en particulier, pour pouvoir partager cette information-là, c'est un exemple.

• (18 heures) •

Mme Martel (Mylène) : Un autre exemple, pour compléter l'exemple de M. le ministre, en fait, on a nommé tout à l'heure la Chambre des notaires. Ils souhaitaient utiliser, finalement, le SAG, donc le système d'identification gouvernementale, avec les données identificatoires, pour pouvoir...

Mme Martel (Mylène) : ...pour pouvoir donner l'autorisation à un notaire de s'authentifier. Donc, on a eu des rencontres. Mais, évidemment, comme on n'a pas les assises légales, on ne peut pas convenir d'une entente avec eux pour s'assurer que le cadre qu'on met en place est sécuritaire et respecte les hauts standards entre les organisations. Privé, j'ai moins d'exemples, là, j'essayais de chercher, mais c'est plus avec des entités, je dirais, de l'ordre d'un ordre professionnel, par exemple, qui est sous une gouverne... avec un cadre d'éthique, par exemple, et réglementé.

M. Bélanger : Bien, peut-être un exemple au niveau de privé. Puis là je fais de la spéculation, mais, si vous avez public, privé au niveau de la santé puis si vous accédez à une clinique qui est une clinique qui est privée, peut-être par le SAG d'identification citoyenne, et il pourrait y avoir plus facilement accès au carnet santé, puis il y a un partage d'informations à ce moment-là, ça peut être un exemple.

Mme Setlakwe : Merci. Est-ce qu'une municipalité pourrait éventuellement utiliser... ça pourrait être un...

M. Bélanger : Bien, c'est un très bon point. C'est... On en a eu la discussion, justement, au niveau des municipalités. On a eu aussi une discussion avec d'autres provinces, d'autres provinces avec le fédéral, sur... quel système d'authentification gouvernementale pourrait être un outil où on pourrait faire bénéficier même au fédéral, parce qu'on... par rapport à eux, je crois qu'on a une certaine avance. Il y a la Colombie-Britannique, qu'on juge qu'on est... on se situe à peu près... à peu près au même niveau. Mais, actuellement, le Québec et la Colombie-Britannique sont les deux provinces qui sont les plus avancées au niveau identification numérique.

Mme Setlakwe : Mais vous n'avez pas... Donc, moi, ce que je comprends, là, puis je n'ai rien contre l'assise juridique, l'encadrement, mais, dans les faits, on est loin de voir tout ça devenir interopérable. Avez-vous une... Quelle est votre vision sur le déploiement puis sur le...

M. Bélanger : J'ai quand même une vision... Là, ça viendrait peut-être du privé, mais j'ai une vision facturable. Si on utilise une clé qui est un système d'authentification gouvernementale ou une clé d'identification numérique, si une entreprise privée ou la Chambre des notaires utilise ça pour faciliter l'emploi, pourquoi il n'y aurait pas une compensation par transaction lorsqu'on utilise une clé, une clé numérique que le gouvernement a développée? Moi, je pense qu'il y a des... il y a une tarification, en tout cas, une compensation qui peut être faite à ce niveau-là et qui peut offrir un bénéfice au niveau... au niveau de l'État parce qu'on simplifie la tâche. Chambre des notaires, ça peut simplifier la tâche. Ça peut simplifier la tâche d'ordres professionnels, d'avoir une identification, une clé à utiliser versus aujourd'hui, qui... Il y a une panoplie de différentes façons d'identifier les individus. Dans certains cas, vous utilisez le permis de conduire, le passeport, c'est... il n'y a pas de cohérence. Ça fait qu'on cherche à avoir une porte d'entrée. Au début, notre objectif, c'est de le faire pour le gouvernement et les services offerts par le gouvernement, mais, par la suite, les ordres professionnels, Chambre des notaires et d'autres peuvent utiliser cette clé-là qui assure que le citoyen qui utilise cette clé-là, c'est la bonne personne, donc éviter, justement, qu'il y ait des... qu'il y ait une possibilité, une possibilité d'erreur, c'est que je pense qu'il y a énormément de bénéfices. La Chambre des notaires ont manifesté qu'il y avait énormément de bénéfices dans leur cas. Et les municipalités, justement, nous ont approché à ce niveau-là parce que ça peut être vraiment intéressant, que ce soit leur compte de taxes ou... je ne sais pas, il y a d'autres éléments qui peuvent être utilisés.

Mme Setlakwe : Merci.

Le Président (M. Bernard) : Est-ce qu'il y a d'autres interventions sur l'article 10.8. Oui, Mme la députée de La Pinière.

Mme Caron : Merci, M. le Président. En fait, la question que j'ai, c'est une certaine préoccupation. Début de 10.8 dit : «Le gouvernement peut déterminer les objectifs et les cibles, que doivent respecter les organismes publics pour les besoins de l'identité numérique nationale, pouvant notamment concerner l'accès par les citoyens à des services simplifiés, intégrés et de qualité, le taux d'utilisation par les citoyens souhaité au regard des services relatifs à cette identité ou, dans leur généralité, les projets ressources informationnelles qui se rattachent à celle-ci.»

Alors, quand on parle de cibles et de taux d'utilisation, c'est que le... ce que j'en comprends, c'est que le gouvernement souhaite que ces services qui vont être offerts soient utilisés le plus possible, qu'il y ait des cibles à atteindre. La préoccupation que j'ai, c'est : Comment vous avez l'intention de vous assurer que les citoyens qui ne peuvent pas...

Mme Caron : ...accéder aux prestations de service public en ligne via cette... via l'identité numérique. Vont-ils pouvoir avoir accès aux prestations de service public en personne ou par téléphone ou est-ce que ça deviendra de plus en plus difficile?

Le Président (M. Bernard) : M. le ministre.

M. Bélanger : On l'avait déjà prévu au niveau de la Loi sur le MCN, là, je vais arriver à l'article, l'article 3.1, qui est : «développer un ensemble de moyens visant à offrir aux citoyens et aux entreprises une prestation de services numériques de qualité, en s'assurant autant que possible de ne pas causer de fracture numérique». J'utiliserai un autre exemple. J'étais en... justement, la sous-ministre était là aussi avec le ministère de la Famille, le ministère de la Famille, au niveau des garderies, et puis, justement, pouvoir utiliser l'authentification citoyenne, justement, pour être capables d'identifier où on se situe au niveau de la liste d'attente, ça, c'est un exemple, mais on ne peut pas couvrir tous les cas. Il y a des cas où... que ça peut être, exemple, des nouveaux arrivants qui... qu'on n'est pas capables de... parce qu'ils n'ont pas de... telle attestation ou les permis de conduire n'existent pas. Donc, il y a une... de façon à ne pas les exclure, bien, il y a une façon plus manuelle de le faire pour s'assurer que ça ne crée pas une fracture numérique. Ça, c'est un exemple. Il y avait ceux qui avaient des enjeux d'alphabétisation. Donc, c'est du cas par cas. On veut s'assurer de ne pas créer deux classes de citoyens, une classe qui a son... sa belle petite carte ou sa clé qui peut accéder tous les services et les autres qui n'ont pas la chance d'être capables d'avoir cette clé-là. On veut s'assurer qu'il y a une transition qui se fait.

Hein, moi, je pense à ma mère qui a 90 ans, je l'ai célébré la fin de semaine passée puis je n'aurais jamais pensé qu'elle aurait pu faire... elle m'a confirmé, elle a dit : Je ne vais plus à la caisse, je fais mes transactions. Comment tu as fait ça? Bien, on lui a montré. Moi, j'ai toujours pensé... je me suis dit : elle va toujours aller à la caisse. Elle utilise son téléphone pour faire à peu près toutes ces transactions. Donc, il y a la possibilité, si on met en place les outils en conséquence, si on met en place la formation et l'assistance pour permettre... C'est certain qu'on... j'aimerais qu'on ait un taux d'adhésion à 100 %, parce que c'est beaucoup plus facile, on le sait, on oublie rapidement, là, que tout ce qu'on faisait avant d'utiliser les transactions... mais pour certaines personnes, mais c'est quand même un enjeu qui... qu'on doit considérer.

Mme Caron : Alors, effectivement, donc, les personnes, l'exemple que vous avez utilisé de votre mère, et félicitations à votre mère de... parce que ce n'est pas évident pour une personne d'un certain âge qui n'a pas travaillé ou beaucoup utiliser les outils numériques d'apprendre à s'en servir et de... surtout pour le type de transaction que vous avez décrit, c'est-à-dire des transactions bancaires, parce qu'on peut comprendre la réticence, la crainte surtout avec tous les cas de fraude qu'on entend, là, de fraude financière, mais il y a plusieurs... il y a beaucoup d'aînés qui peuvent apprendre et, souvent, ce sont des organismes communautaires qui vont les accompagner, ça peut-être dans les bibliothèques municipales qu'il y a des projets pour accompagner les aînés pour apprendre à se servir d'un outil numérique.

Est-ce que, puisque la Loi sur le ministère de la Cybersécurité du Numérique prévoit de ne pas faire deux classes de citoyens, est-ce qu'il y a des budgets qui sont prévus pour ça, des budgets peut-être plus conséquents que par le passé vu le projet de loi qu'on est en train d'étudier? Est-ce qu'il y a un échéancier? Est-ce qu'il y a un projet qui est en place, une planification pour former que ce soit des personnes aînées? Évidemment, ce n'est pas le gouvernement qui va les former, mais via des organismes communautaires, par exemple, où les personnes qui... parce qu'il y a aussi d'autres personnes qui n'ont simplement pas les moyens d'avoir un téléphone, là, donc, alors, eux, il faut que les services puissent continuer d'être offerts en personne et non pas juste par Internet. Alors, est-ce qu'il y a déjà à ce stade-ci une planification pour s'assurer qu'il n'y aura pas deux classes de citoyens qui vont être créées?

M. Bélanger : Tout à fait. On a un plan qu'on a travaillé, qu'on a préparé et on est prêt à l'annoncer d'ici quelques semaines, justement, au niveau de la fracture numérique qui peut varier dans certains cas...

M. Bélanger : ...selon les applications qui sont... qui sont utilisées.

• (18 h 10) •

Mme Caron : ...un financement qui vient avec... qui va venir avec ce plan-là pour sa mise en œuvre?

M. Bélanger : Tout à fait.

Mme Caron : Oui.Merci.

Le Président (M. Bernard) : D'autres interventions, Mme la députée?

Mme Caron : Non, pas à ce stade-ci.

Le Président (M. Bernard) : Est-ce qu'il y a d'autres interventions sur l'article 10.8? Parfait. Merci. M. le ministre, on peut passer maintenant à l'article 10.9.

M. Bélanger : «10.9 Le gouvernement peut, par règlement — je vais... je vais le relire même si on l'avait déjà fait puis, par la suite, je pourrai adresser les commentaires —

«1° déterminer les modalités concernant la tenue du registre de l'identité numérique nationale;

«2° déterminer les normes de qualité des données numériques gouvernementales et, le cas échéant, des normes de protection particulières;

«3° préciser les données numériques gouvernementales, ayant des caractéristiques biométriques ou contenant des mesures biométriques, qui peuvent être utilisées, et ce, dans le cas et aux conditions qu'il détermine;

«4° prescrire toute autre mesure nécessaire à l'application du président chapitre.»

L'article 10.9 proposé donne au gouvernement des pouvoirs réglementaires dans le contexte de l'identité numérique nationale. Les objectifs visés concernent notamment la tenue du registre de l'identité numérique nationale, la qualité ou la protection des données numériques gouvernementales et la biométrie pouvant être utilisée dans le contexte de cette identité.

Le Président (M. Bernard) : Merci. Est-ce qu'il y a des interventions sur l'article 10.9? Oui, M. le député de...

M. Bouazzi : Maurice-Richard.

Le Président (M. Bernard) : Maurice-Richard, oui. Désolé.

M. Bouazzi : Merci, M. le Président. M. le premier ministre, votre prédécesseur avait refusé des amendements que nous avions proposés à l'effet que les données biométriques ne pouvaient pas être... ne pouvaient pas être rassemblées, à moins qu'on puisse prouver que c'est absolument essentiel au fonctionnement. Vous voulez réagir?

M. Bélanger : Oui, parce que, justement, on va attendre la consultation publique. La consultation publique va établir les... comment on... comment on va le faire, justement. Ça fait qu'on ne le fera pas sans la consultation publique.

M. Bouazzi : Non, je comprends, mais l'idée de dire... Dans ce qu'on a déjà vu dans le projet de loi, effectivement, on n'écarte pas la possibilité d'avoir les données biométriques des Québécois, y compris si, en fait, le système pourrait marcher sans. Ça fait que, juste pour qu'on soit clair, avec ce qu'on a déjà étudié jusqu'à présent, plus ce droit discrétionnaire que vous vous donnez, vous pouvez tout simplement décider d'inclure les données biométriques dans le registre, c'est bien ça?

M. Bélanger : Pas sans consultation publique.

M. Bouazzi : C'est où... Est-ce que, dans le projet de loi, vous avez l'obligation d'une consultation publique? J'ai... Est-ce que j'ai raté ça?

M. Bélanger : C'est un des engagements, mais on a mis justement sur pause, au niveau de l'identification numérique nationale, le bloc trois, pour justement aller de l'avant avec une consultation publique sur les données biométriques. Donc, c'est un engagement qu'on a pris.

M. Bouazzi : Donc, il n'y a rien dans le projet de loi qui vous oblige. Si on se base juste... Je comprends votre engagement et je suis persuadé que vous allez le tenir, mais il n'y a rien de... il n'y a rien dans le projet de loi qui vous oblige à une consultation publique. Donc, si on se base juste... ce qui est devant nous, en tant que législateurs, d'un côté, on peut avoir du biométrique, deuxièmement, on n'a pas à prouver qu'il faut absolument avoir du biométrique pour que ça fonctionne, et troisièmement, c'est à votre discrétion, comme ministre, de décider d'en avoir ou pas.

M. Bélanger : Mais la loi... la loi... c'est un règlement, ça prend des consultations. On est obligés de faire des consultations parce que c'est un règlement. Donc, avant d'utiliser les données biométriques, il faut faire des consultations.

M. Bouazzi : Vous ne me rassurez pas, M. le ministre. Il y a vraiment beaucoup de règlements où la consultation, ce n'est pas bien, bien sérieux, là. À quoi ressemblerait la consultation pour vous?

M. Bélanger : Bien, c'est consultation citoyenne publique en présentiel, pas à distance.

M. Bouazzi : Mais encore.

Des voix : ...

Le Président (M. Bernard) : Oui. Me Bacon, s'il vous plaît.

Mme Bacon (Nathalie) : ...M. le Président, oui, pour le député de Maurice-Richard. Alors, nous avons effectivement eu toute cette conversation-là dans le cadre de l'article 10.7...

Mme Bacon (Nathalie) : …là, on arrive à l'article 10.9. C'est vraiment typique, là, lorsqu'on instaure un cadre juridique, on… ici pour l'identité numérique nationale, bien, on va prévoir les balises, les pouvoirs du gouvernement, ici c'est un pouvoir réglementaire qui est à 10.9. Et là, dans l'énonciation du pouvoir réglementaire, on va mettre des objets de réglementation. Alors, ce paragraphe-là, vous faites référence au paragraphe trois, on a déjà parlé à l'article 10.7, et la loi sur les règlements s'applique parce que c'est un règlement du gouvernement qui devra être pris pour prévoir les données biométriques, et la loi sur les règlements va s'appliquer. Il va y avoir les processus de consultation qui s'appliquent à chaque fois qu'il y a un règlement, là. Vous avez le «toute personne», donc la population générale qui, dès que le projet de règlement est prépublié, peut donner ses observations sur un règlement, là. Alors, ça, c'est la consultation traditionnelle qui existe dans notre État de droit, mais là le ministre, ce qu'il vient de dire, c'est un engagement dans le micro qu'il va tenir une grande consultation, comme vous aimez les tenir à l'Assemblée, là, oui.

M. Bouazzi : D'accord, bien, merci beaucoup, Me Bacon, pour ces précisions. On n'était pas d'accord au moment de 10.7. Ça fait que c'est sûr qu'on… qu'on va continuer à ne pas être d'accord tout de suite. Mais c'est quand même très éclairant. Donc, effectivement, on a le droit d'avoir des observations, mais, on s'entend, ce n'est pas de ça dont on parle quand, M. le ministre, vous parlez de consultations, parce qu'effectivement, de mon expérience, moi, les seuls décrets que j'ai étudiés, c'est bien parce que je les trouvais très, très problématiques et qu'il n'y avait pas eu de consultation, de toute façon, il n'y a rien… c'est ça, l'idée d'un décret, c'est qu'évidemment c'est un outil démocratique quand même très faible par rapport, évidemment, à un projet de loi, une consultation publique, une commission parlementaire, une commission publique, etc., On a toutes sortes d'outils avec des gradations. Il y a de plus en plus ou de moins en moins d'écoute. là, de créer… quand même, un des pires pour ce qui est d'un exercice démocratique concerté avec la population. Mais ce que j'entends, ce que j'entends, c'est de dire : Mais on se donne plus de responsabilités que juste le décret, on veut consulter la population, c'est ça que j'entends.

M. Bélanger : Mais je vous confirme que ça va se faire en présentiel et en ligne aussi. On ne peut pas faire les millions de citoyens en présentiel, mais il va y avoir les deux. On va utiliser en ligne et on va utiliser en présentiel.

M. Bouazzi : Et c'est quoi les critères qui feraient que vous diriez : Je n'irai pas là? Est-ce que… c'est quoi qui ferait… bien, on va… Vous allez écouter des gens, peut-être ici, on ne sait pas encore, là, ce serait ici, en commission, peut-être ailleurs. Et là, il y a des personnes qui vont vous dire : J'adore mon iPhone, là, je suis heureux, à chaque fois que je montre mon visage, ça se débloque. C'est comme : ah! Wow, c'est ça que je veux. Et d'autres qui vont vous dire : Bien, c'est des données, votre visage, votre iris, qui ne changeront jamais, que, si on se les fait voler, c'est une catastrophe absolument dramatique, sans compter que ça ouvre la porte pour un gouvernement de mettre en place des politiques qui peuvent très bien aller dans des dérives, des dérives sécuritaires absolument terrifiantes, hein, je veux dire, les policiers nous demandent une caméra. On peut se retrouver avec un policier qui marche dans la rue, tout simplement, que les données biométriques des gens qu'ils croisent dans une manifestation sont envoyés directement à ce système et qu'on reconnaisse les visages, qu'on puisse recouper avec des bases de données pour savoir, je ne sais pas, moi, qui est sur la CNESST, qui a son CSQ qui est périmé, etc. Et puis, évidemment, toutes sortes de dérives, de profilage, etc. Bon, et…

M. Bélanger : …

M. Bouazzi : Et donc… Et donc, vous allez faire comment? À un moment, vous dites… comme, qu'est-ce qui ferait des critères que vous dites : Je ne vais peut-être pas écouter la personne qui adore son iPhone?

• (18 h 20) •

M. Bélanger : Aucune obligation, ça doit être un libre choix. Comme vous avez le libre choix de faire vos posts sur Facebook avec vos photos de famille, et puis qu'après ça on peut utiliser du deepfake pour utiliser, ça reste... Mais par contre, il faut sensibiliser les citoyens, parce qu'effectivement ça a été facile d'adopter la reconnaissance faciale pour ouvrir l'accès à telle banque. Ce que je fais, je l'utilise…

M. Bélanger : ...je l'utilise, je l'utilise pour ouvrir mon iPhone, mais je l'utilise aussi pour... parce que c'est beaucoup plus facile que par des... mais je crois qu'on est en déficit de sensibilisation au niveau du risque. Il y a une problématique à ce niveau-là. Et puis c'est certain qu'on peut blâmer les GAFAM, mais on ne peut pas se baser sur, ah, les GAFAM le font, ça fait qu'on va le faire. Ça fait que ce qu'on désire, c'est une consultation citoyenne, qu'on puisse identifier quels sont... qu'est ce qu'on doit mettre en place? Est-ce que c'est... en plus du libre choix, est-ce que le libre choix, on a une responsabilité peut-être de... pédagogique, une responsabilité au niveau de la formation des citoyens, même s'ils décident de permettre leur utilisation de données biométriques? Il faut probablement faire quelque chose de plus que les petits caractères avec un O.K. pour faciliter... Donc, c'est... ça va à ce niveau-là. Je pense qu'on a une responsabilité et un devoir de sensibiliser les citoyens sur le fait d'utiliser leurs données biométriques. Oui, il y a des avantages de rapidité, mais quels sont les risques? Ça fait que moi, je veux être capable de bien identifier ces risques-là.

Mais si ces informations-là sont détachées d'une base de données puis qu'elles sont stockées dans un cloud souverain national, peut-être que les éléments pour persuader ou convaincre vont être suffisants. Mais je suis tout à fait d'accord avec vous. Au niveau de la SAAQ, il y a plusieurs photos, à toutes les fois qu'on va à la SAAQ, il y a des photos puis il y en a qui datent de telle, telle année. Dans la base de données, il y a déjà des photos qui existent. Vous parlez de différents corps policiers qui ont des caméras. Donc, tous ces aspects-là, j'ai le devoir de discuter avec ces différents organismes-là : Quelle utilisation vous faites de telle ou telle donnée? D'être capable d'informer les citoyens sur quelle utilisation est faite de, justement, leurs données biométriques.

Et c'est peut-être même un devoir au niveau de l'état, que ce soit Canada ou que ce soit Québec, d'informer les citoyens sur lorsqu'ils donnent leurs informations biométriques à des GAFAM quel est le risque? Donc, ça déborde peut-être le mandat du... ministère de la Cybersécurité et du Numérique a peut-être justement un mandat social au niveau de sensibiliser les citoyens sur les risques. Et dans la consultation publique, c'est probablement des éléments qu'on va vouloir adresser et déborder d'uniquement notre projet, notre fameux projet d'identité numérique national, comme on l'a fait avec le cellulaire, le cellulaire au niveau de... Il y a une commission qui est en place avec des recommandations, mais j'aimerais qu'on sorte une consultation publique avec des recommandations et puis qui vont avoir été jugées pertinentes et efficaces parce qu'on va avoir consulté, pas uniquement à distance, mais en présentiel, différents groupes et citoyens.

M. Bouazzi : Alors, il y a deux sujets dans ce dont vous parlez, M. le ministre, il y a la question de l'éducation populaire sur les questions du numérique en général, la question des données biométriques en fait partie, mais moi, mon questionnement... parce que je ne vous mentirai pas, en est comme dans un moment charnière où on a du mal à imaginer ce qui est possible. Donc, l'idée, ce n'est pas juste se dire ça règle tel problème, mais l'idée c'est de se dire : Qu'est-ce qui est possible avec telle technologie? C'est ça qui se pose à nous. Et nous, comme législateurs, on doit essayer de répondre à cette question-là. Non seulement qu'est-ce qui est possible avec telle technologie, mais qu'est ce qui est possible avec un mélange de plusieurs nouvelles technologies qui apparaissent en même temps : le Internet of things, les choses connectées, le 5G, le... les big data, l'intelligence artificielle, les reconnaissances faciales. Bon. Bref, il y a un certain nombre de technologies qui arrivent en même temps et donc ce n'est pas juste une à la fois qu'on doit évoluer, c'est tout ensemble. Et on peut imaginer un monde effrayant, effrayant. Et je ne pense pas que la bonne foi est une bonne idée. Et c'est pour ça que, et malheureusement, avec votre prédécesseur, on a eu la conversation très longtemps mais il y avait très peu d'ouverture, mais je pense qu'on commet quand même une erreur à apprendre à... à même, en fait, ouvrir la porte à ces données-là si elles ne sont pas essentielles. Parce que quand on voit, par exemple, au sud de nos frontières...

M. Bouazzi : ...un gars comme Elon Musk, qui arrive avec des gamins de 19 ans, qui prend des bases de données, qui roule une affaire, on ne sait pas trop quoi, et qui décide, du jour au lendemain, qu'il y a 5000 fonctionnaires qui perdent leur job, 10 000 fonctionnaires, tout ceci est connecté, fait en sorte que le lendemain matin, à 7 heures, quand ils arrivent au travail, leurs cartes ne fonctionnent plus. Donc, ça se fait comme ça, là, et là, je veux dire, l'idée, ce qu'ils font est très probablement illégal, mais eux, leur idée, c'est de dire : Nous, on détruit tout, puis, ensuite, si on perd, ce sera déjà détruit, et puis le reconstruire, c'est beaucoup plus compliqué. Donc, il ne faut pas sous-estimer.

Maintenant, l'idée d'avoir... de se retrouver devant une dérive comme celle-là, de gens qui ne respectent pas l'État de droit, qui... Qu'est-ce qu'on rend possible à ces gens-là? Et l'exemple que j'ai donné, je pense qu'il est vraiment important, et puis il ne faut pas... On est en train de créer une base de données où il va y avoir plein de données personnelles de Québécoises et de Québécois et des manières d'être sûr d'identifier les personnes. Nous, en Amérique du Nord puis au Québec aussi, évidemment, on s'est donné quelque chose d'assez extraordinaire, c'est le droit à être anonyme. C'est vraiment extraordinaire, comme chose. C'est pour ça qu'on n'a pas de carte d'identité, c'est-à-dire qu'on a le droit de sortir dans la rue, et les policiers ne peuvent pas nous demander nos identités parce qu'on n'en a pas. C'est comme la meilleure manière de ne pas se faire profiler, on n'a pas de carte d'identité. Alors, à moins d'avoir été témoin d'un délit où, évidemment, où... je conduis une voiture, ça fait que j'ai besoin d'un permis de conduire, mais, techniquement, quand je marche dans la rue, le policier ne peut pas me demander mes papiers, et moi, je n'ai pas à les avoir. Et d'ailleurs il n'y en a pas, il n'y a pas de carte d'identité.

Je dois avouer que, pour un immigrant comme moi, ça a été un choc, de même imaginer une société qui fonctionne comme celle-là. Moi, je suis... avant de venir ici et d'être pleinement Québécois, j'étais, et Tunisien sous un État policier, et Français, sous un État pas policier, mais où la police se donne vraiment des largesses. Bien, arrivé ici, on respire, on respire. On respire, parce que les dérives de... Et là je parle de la démocratie française, oublions une dictature comme en Tunisie, mais les dérives sont absolument effrayantes.

Ça fait que, là, on ouvre la porte à quoi? On ouvre la porte à avoir, donc, cette grosse base de données, un peu d infrastructure. La police veut absolument avoir des... c'est eux qui demandent les caméras. C'est louche hein, quand la police demande quelque chose, il faut se poser des questions : pourquoi? Et donc une fois qu'on aura doté les policiers de caméras, pour toutes sortes de raisons qu'on estime bonnes ou mauvaises, et qui seront, évidemment, connectées, où les images vont aller en temps réel quelque part sur un infonuagique, espérons, pas trop... qui n'appartient pas trop aux Américains, bien, ce que ça prend comme technologie, de prendre ces images-là, de les... sur la base de données qu'on est en train de créer pour avoir la liste en temps réel... Vous imaginez, une manifestation de 15 000 personnes où il y a un policier qui marche, il a, en temps réel, les 15 000 noms qui sont devant lui. Si la base de données ne reconnaît pas une personne, c'est la première qu'il va aller arrêter parce qu'on ne sait pas trop pourquoi elle n'est pas sur notre base de données, je veux dire... Sans compter qu'ensuite on peut recouper tout ça avec qui n'a pas payé ses impôts, qui est censé être un congé longue durée, qui est... Et, je veux dire, les portes qu'on ouvre par rapport à ce qu'on pourrait gagner de ça sont très dangereuses pour une démocratie, et je nous invite vraiment à y réfléchir très, très, très sérieusement. Et quand on voit, comme, une démocratie au sud de nos frontières collapser instantanément, entre autres, avec de l'intelligence artificielle, du data et des... qui débarquent et qui disent : Je prends tout et puis, moi, je roule une base de données à côté, je reviens avec une liste, je loade 15 000 personnes, et puis, là, tout d'un coup, il y a la moitié de cette salle, là, qui perd sa job, qui ne peut plus rentrer avec la carte parce que les systèmes de cartes sont centralisés...

Ça fait que moi, ma question est quand même... et, pour l'instant, je n'ai pas de réponse, la question, franchement, je vous la pose : C'est quoi, les critères qu'on se donne comme société pour décider que ça devient acceptable? Là, vous, vous donnez ce droit-là, là, et puis vous allez consulter, on comprend, mais c'est quoi, les critères qu'on se donne comme société pour se dire : Bien, c'est un risque qu'on est prêt à prendre, et puis adviendra que pourra, là, ce n'est pas la fin du monde?

• (18 h 30) •

M. Bélanger : Bien, moi, je veux la prudence, je veux consulter les citoyens. Je vais vous donner un exemple. Lorsque je me suis inscrit au SAG, j'ai demandé... j'ai dit : Ah! je ne veux pas avoir à écrire mes mots de passe, tout ça, je peux-tu...

M. Bélanger : ...prendre la reconnaissance faciale pour pouvoir accéder. Ils m'ont dit : Non, on ne te le permet pas parce qu'on n'a pas fait la consultation citoyenne. Donc, je ne peux pas utiliser ma reconnaissance faciale pour être capable d'activer mon service d'authentification gouvernementale.

Par contre... Et puis je vous entends, puis je sais qu'il y a... qu'il y a un risque. Puis ce n'est pas à moi de juger. Mais, si quelqu'un se présente à l'aéroport de Montréal, qu'il arrive d'un autre pays, puis que c'est... il a commis des attentats, c'est un terroriste, etc., est-ce qu'on... est-ce qu'on aimerait être capables, au niveau de la reconnaissance... là c'est Immigration Canada... C'est... Ce n'est pas à moi à juger. Mais il y a des... il y a une balance.

Je vais vous... Je vais utiliser l'exemple Tesla. Moi, j'ai une Tesla. Quand j'ai appris que, bon, à Vegas, il y avait eu un... il y avait eu un... il y avait eu quelque chose, une tentative d'attentat, puis qu'ils ont pu utiliser la base de données de la Tesla qui avaient des caméras embarquées, des caméras à l'extérieur, savoir quel véhicule et... Donc, ça, c'est un accès à l'information qui était... où le citoyen ou le propriétaire du véhicule était vulnérable, dont il ne savait pas. Par contre, ça a peut-être été utile. Ça fait qu'on n'est pas, ici, dans ce projet de loi, pour trancher qu'est-ce qui... qu'est-ce qui est bon et qu'est-ce qui n'est pas bon.

Par contre, ce que je peux vous dire, c'est qu'au niveau de l'identité... l'identification numérique nationale, on va passer par une consultation. Et cette consultation-là va probablement répondre à plusieurs questions. Mais, en bout de ligne, ça va toujours être aux citoyens à décider. Même s'il est en connaissance de cause, où 99 % des causes ou des risques, il va toujours être en mesure de décider de ne pas fournir ou de ne... qu'on n'utilise pas ses données biométriques. Il ne sera pas forcé à utiliser ses données biométriques.

Est-ce que tout ça prévient que des entreprises privées dans un «gated community», exemple, décident d'avoir des caméras qui sont utilisées pour être capables de reconnaître qui est le propriétaire de la maison qu'il vient d'acheter dans ce «gated community» là, je ne peux pas nécessairement avoir de contrôle là-dessus. On le sait, les caméras sont disponibles. Moi, je vais souvent me promener en vélo dans les terres publiques. Puis, bon, bien, il y en a qui ont des sites de chasse puis ils utilisent des caméras. Ils sont capables d'identifier que le... tel citoyen ou qu'il y a quelqu'un qui est là.

Une voix : ...

M. Bélanger : Hein? Bien, c'est ça. Peut-être pas. Ce n'est pas un chevreuil. C'est un... C'est un humain qui s'en va manger le bloc de sel! Mais ce que je peux vous garantir, c'est que nous allons utiliser la consultation publique pour déterminer... Et le citoyen aura toujours le choix. Pardon?

Une voix : ...

M. Bélanger : Oui. Ça, c'est à des fins d'identité et non de surveillance. Mais il y a toujours l'enjeu du partage de données ou de la photo qui est utilisée s'il y a du piratage. Mais la donnée biométrique est séparée de la... C'est des éléments qui sont séparés et, dans certains cas, peuvent être utilisés, juxtaposés avec la clé qui est l'identification... l'identification numérique. Mais on le garde séparé. Mais le citoyen va toujours avoir la possibilité de choisir si oui ou si non. Il n'y aura pas un service gouvernemental qui va obliger l'utilisation de données biométriques pour pouvoir utiliser. La même chose qu'un... quelqu'un qui a des enjeux au niveau de l'alphabétisation. On va vouloir être capable de permettre l'utilisation du service, même s'il n'est pas capable d'utiliser... même s'il a un enjeu de fracture numérique, par exemple.

M. Bouazzi : Si... Trois... Trois remarques. D'abord, la remarque de Tesla est une bonne remarque. On sait aussi que les travailleurs de Tesla se passent de vidéos de conducteurs de Tesla qui font l'amour dans leur voiture et puis qui ont volé ces vidéos-là aux personnes et qui se les passent les uns les autres, là.

M. Bélanger : Ça, je n'ai pas de preuve de ça.

M. Bouazzi : Vous irez googler... On n'a même pas besoin de... Mais il y en a plus... il y a plus que juste ça, là, vous googlerez ça. Et ils sont assez bons pour que ça n'ait pas fait plus scandale que ça. Ça fait déjà au moins quatre... quatre ans ou cinq ans. Et donc, quand on ouvre une porte, évidemment, ensuite, il y a n'importe quoi qui s'engouffre.

Deuxièmement, évidemment, Tesla est un vrai problème. Et Facebook, c'est un problème... Mais, le vrai problème, c'est quand l'État commence les dérives. C'est-à-dire, Musk, il est probablement dangereux. Et il l'est avec...

M. Bouazzi : ...et avec Tesla, mais une fois qu'il a pris les rênes de l'État, sa capacité à nuire est absolument terrible. Et lui personnellement, à la vitesse à laquelle il utilise la technologie pour nuire, c'est destructeur, là, pour l'État. Ça fait que je vous entends dans les exemples du privé, et probablement qu'on devrait réguler tout ça, mais là on n'en est pas là, là. Là, on est en train de dire comment est ce qu'on s'assure à rester une démocratie. Et ce n'est pas juste... Bon.

Ensuite, l'argument qui consiste à dire c'est un choix, ça reste un choix, etc., bien, votre prédécesseur avait refusé un certain nombre des amendements qu'on a proposés qui consistaient à dire : si on met des solutions numériques, il faut réussir à garantir — et les grands groupes que vous allez rencontrer vont aller dans ce sens-là — un certain nombre de services physiques qui permettent de répondre aux besoins des citoyennes et citoyens. Parce que, dans les faits, je veux dire, Desjardins, ils peuvent nous dire : Vous savez, vous n'êtes pas obligés d'avoir votre super application mobile, mais, dans les faits, il y a donc bien des endroits, au Québec et en région particulièrement, où ce n'est pas tant une option, là, d'être sur les applications mobiles et numériques, parce que, bien, on les ferme les points de service, ils coûtent cher, ils servent moins de monde. Mais l'État ne peut pas se permettre... déjà, Desjardins ne devrait pas se permettre de faire ça, mais l'État encore moins, l'État encore moins. Et on peut se retrouver, et alors là, ça, c'est beaucoup plus facile à imaginer qu'une dérive du style Elon Musk qui fout 15 000 personnes à la porte en 24 heures, mais un gouvernement qui décide de couper plein de services sous prétexte qu'il a investi beaucoup en numérique, ça, entre vous et moi, M. le ministre, ça ne prend pas une énorme imagination, et on est en droit d'être très, très inquiet et à très court terme dans des moments d'austérité, de se dire : Bien, tant pis pour les gens qui ont besoin de solutions physiques, on va aller vers du numérique parce que c'est plus efficace. Et, à ce moment-là, non, ce n'est pas tant une option de donner ces données personnelles.

Nous, la relation qu'on a avec les citoyens, on veut que ce soit une relation de confiance. C'est surtout ça. C'est-à-dire que s'ils nous donnent les données, c'est qu'ils nous font confiance. Si on lui demande la rétine ou le visage, ce n'est pas à lui de savoir si c'est une bonne idée ou pas, là, c'est à nous de nous assurer que si on lui demande, c'est que c'est une bonne idée. C'est ça notre rôle à nous, comme législateurs. Et là, franchement, je pense que c'est une très bonne idée, à moins qu'on soit sûr qu'on en a besoin, parce qu'il est possible, moi, honnêtement, je n'ai rien vu qui va dans ce sens-là, là, mais il est possible qu'on arrive à la conclusion de dire : Mais en fait on ne peut pas s'en passer. Pour un certain nombre de transactions, d'actions, je ne sais pas lesquelles, on ne peut pas s'en passer. Mais si on peut s'en passer, on devrait s'en passer. C'est d'abord un casse-tête pour vous de ne pas vous les faire voler, parce qu'il se peut tout à fait de se les faire voler, ils sont quelque part sur une base de données, mais, en plus, ça ouvrirait la porte, encore une fois, comme j'ai dit, à la combinaison d'un certain nombre d'autres technologies qui pourraient faire en sorte qu'un gouvernement qui n'est pas respectueux de la démocratie nous pousse vers des dérives. Et je dirai ça, même si ce n'est pas dans vos plans, votre gouvernement a instauré une pratique qui consiste à utiliser des... des dérogations à la Charte des droits et libertés, en veux-tu en voilà, à chaque fois qu'en fait on ne la respecte pas, qui font en sorte que si demain, étant donné que la tradition est déjà là, on a un gouvernement qui dit : Bien oui, c'est sûr que c'est discriminatoire si je le fais et je vais utiliser la dérogation, bien là, c'est paver, mais paver, là, nos droits fondamentaux sont moins bien défendus qu'aux États-Unis à cause de ces dérogations. Et la tradition, malheureusement, qui consistait à l'utiliser pour des raisons mieux que... ah, je ne veux pas ouvrir... Restons là.

Le Président (M. Bernard) : ...juste après votre réponse, si vous permettez, M. le député, je vais aller à la députée de La Pinière pour permettre l'alternance.

M. Bouazzi : O.K.

• (18 h 40) •  

M. Bélanger : Moi, comme citoyen, je veux être certain que mes données sont protégées, je veux que ce soit... Gilles Bélanger, qu'il y en ait uniquement un. Si, pour moi, moi, personnellement, j'ai le choix d'utiliser mon nom avec un mot de passe, et, pour moi, ça me suffit, ça me satisfait, je vais utiliser ça. Mais si vous me demandez aujourd'hui si moi je trouve ça suffisant, moi, personnellement, non. Je voudrais être capable d'utiliser mes données biométriques, je voudrais être capable, si un jour la technologie au niveau de reconnaissance de l'ADN soit un surplus de niveaux de sécurité, je vais probablement dire oui. Ce que je vais vouloir m'assurer, par contre, c'est que cette donnée-là est protégée et qu'elle ne peut pas être utilisée par d'autres. Mais si j'ai un dossier qui est blanc...

M. Bélanger : ...puis je veux utiliser des services au... des services gouvernementaux puis faciliter l'accès à ces services-là, je vais vouloir probablement me faciliter la façon de faire. Pour moi, c'est une corvée, les fameux codes, les codes d'accès à changer tout le temps, à chaque semaine. Puis là qu'est-ce que je fais? Je les prends en note. J'ouvre une brèche. Il y a un risque parce qu'ils sont en note. Là, je ne vous dirai pas où, là, parce que, justement, je le dis publiquement. Mais, pour moi, c'est un... Donc, je veux permettre aux citoyens d'avoir des choix, mais je suis tout à fait d'accord avec vous qu'il faut porter une attention particulière. Et malheureusement... On parle de Tesla, mais Meta... Meta, ils utilisent nos photos, ils utilisent les photos de nos enfants, puis on le sait, il y en a, des... il y en a, des cas. Ça fait qu'il faut être sensibilisé à ça. Il y a un... Il y a une tâche de pédagogie ou d'informer les... d'informer les citoyens. Puis ce n'est pas juste le Québec, c'est... le fédéral a aussi une responsabilité à ce niveau-là.

Donc, on a un énorme chantier devant nous, et c'est pour ça qu'on décide d'y aller par consultation publique, justement, d'écouter les préoccupations des citoyens, mais sans fermer la porte à ceux qui désirent l'utiliser si c'est leur choix, mais pas d'obliger les citoyens à avoir l'obligation de fournir des données biométriques pour utiliser des services de l'État.

Le Président (M. Bernard) : Merci...

M. Bélanger : Même chose au niveau d'apprendre, d'être capable d'écrire, d'être capable de... On ne veut pas arriver à une obligation, à cette obligation-là. On parle au niveau de l'alphabétisation, c'est un... c'est un autre... c'est un autre exemple.

Le Président (M. Bernard) : Merci...

M. Bouazzi : Juste une seconde, M. le Président. Excusez-moi. Le... Honnêtement, M. le ministre, ce que vous dites ne me rassure pas du tout. On est rendu à parler de la possibilité de donner son ADN comme citoyen au gouvernement.

M. Bélanger : Je parlais de moi.

M. Bouazzi : Oui, mais, je comprends bien, de vous. Vous ne devriez pas être ouvert à donner votre ADN au gouvernement et puis surtout pas, en tant que ministre du Numérique, être ouvert à ce que les citoyens le donnent. Ça fait que c'est... La démocratie, ça peut prendre moins de technologie, juste... juste qu'on soit clair là-dessus. C'est important, c'est important. Je vais passer...

Le Président (M. Bernard) : Oui, merci.

M. Bélanger : C'était une figure de style, hein?

Le Président (M. Bernard) : Mme la députée de La Pinière...

Mme Caron : Merci, M. le Président. Alors, je dirais que c'est un... c'est un gros article, parce qu'il porte à conséquence, cet article-là. Quand on dit que «le gouvernement peut, par règlement», on s'entend que le projet de règlement, selon le... selon la loi sur les règlements, là, l'article... le 10 de cette loi... dit que le «projet de règlement publié à la Gazette officielle du Québec est accompagné d'un avis qui indique notamment le délai avant l'expiration duquel le projet ne pourra être édicté ou soumis pour approbation et le fait que tout intéressé peut, durant ce délai, transmettre des commentaires à la personne qui y est désignée».

Donc, le gouvernement prépare un projet, publie dans la Gazette officielle son projet de règlement. Le public peut avoir, admettons, 45 jours pour... le public ou des groupes intéressés peuvent avoir, disons, 45 jours pour réagir. Et le gouvernement peut en tenir compte ou pas, modifier ou non le projet de règlement. Mais on s'entend que ça, ce n'est pas une consultation publique, là, c'est un avis qui est donné. Et encore faut-il que M. et Mme Tout-le-monde qui s'intéressent à la question ou les groupes concernés surveillent quand... le mercredi, quels décrets ou quels projets de règlement sont publiés puis à quelle date, là, parce que... Puis il peut y en avoir même pendant l'été, quand tout le monde est en vacances, des projets. Donc, on comprend que ce n'est pas... le fait de pouvoir réagir à un règlement, ce n'est pas une consultation publique.

M. le ministre, vous amenez la proposition, votre intention de tenir une consultation publique sur la biométrie, donc, qui n'était pas là, qui n'était pas dans les cartons de votre prédécesseur, mais le projet de loi était quand même rédigé de cette façon-là pour que, dans un règlement, il soit... il soit question de biométrie. Donc, j'accueille très favorablement le fait que vous souhaitiez faire une consultation publique, mais, puisque... à moins que vous nous disiez que ce sera un... que toute la biométrie, comme certains nous ont... nous ont... certains dans les consultations ont proposé que la biométrie ne devrait...

Mme Caron : ...pas être dans le projet de loi, à moins qu'il y ait un projet de loi qui porte uniquement sur la biométrie, qui pourrait venir peut-être changer le projet de loi n° 82 après son adoption, qu'il y ait une consultation publique en bonne et due forme avec des spécialistes qui fassent ça. Si ce n'est pas cette façon-là, je pense que... je comprends que ce n'est pas la façon dont vous souhaitez fonctionner. Bien, ma question, c'est : Cette fameuse consultation publique comment... sous quelle forme elle va avoir lieu? Parce que j'imagine que ça ne sera pas dans le cadre d'un projet de loi. Alors, sous quelle forme elle va avoir lieu? Qui sera invité? Alors, c'est les questions que j'ai pour vous.

M. Bélanger : Mais on pourra fournir les détails en temps et lieu, mais ça va être une consultation qui va être une consultation citoyenne qui va être... entre autres, il va y avoir du présentiel et du virtuel. On ne peut pas rencontrer tous les citoyens, mais il va y avoir du présentiel. Ça va être quelque chose de sérieux, là. Je n'irai pas publier dans la Gazette pour dire qu'on va prendre des données biométriques.

Mme Caron : Donc... Alors, c'est bien, mais cette consultation, vous parlez de consultation citoyenne, est-ce que des groupes aussi seront inclus ou ce sera seulement des citoyens, des particuliers qui pourront participer à cette commission?

M. Bélanger : Il y aura certainement des groupes qui vont être consultés. Puis il faut comprendre que les données biométriques, actuellement, il en existe peut-être des parcelles, mais ce n'est pas quelque chose... Imaginez, là, qu'on décide d'utiliser les données biométriques, il faut quand même que ces données biométriques là soient connectées. Donc, ce n'est pas... l'intention n'est pas d'arriver puis d'obliger les données biométriques. Si jamais on utilise les données biométriques, ça va être suite à une consultation publique, parce que la consultation publique sera arrivée à la conclusion que ça pourrait être intéressant, que ça pourrait être volontaire et quels vont être les bénéfices et quels vont être les risques. Ça fait qu'il y a une prise de conscience s'il y a des risques, quels sont les bénéfices, etc.

Mme Caron : Alors, à quel moment vous prévoyez tenir cette consultation citoyenne?

M. Bélanger : Mais avant de reprendre le bloc 3, ce que je vous dirais, après le projet de loi n° 82, hein, ça, c'est certain, lorsqu'on va l'avoir adopté. Ça fait que, si on l'a adopté assez rapidement, je voudrais le faire avant l'été, sinon, ça va être... sinon, ça va être à l'automne ou, à moins que vous soyez disposée fin juillet, on peut décider de le faire, mais je pense que ça ne serait pas une bonne période.

Mme Caron : Et quand vous parlez du bloc 3, vous parlez de quoi?

M. Bélanger : Mais le bloc trois, qui était l'identité numérique nationale, qui était le bloc justement qui, lui, requiert d'avoir une consultation publique, parce qu'on l'a quand même dans le projet de loi, au niveau de données biométriques, on veut faire la consultation publique avant.

Mme Caron : Alors, quand vous allez faire... Bon, je comprends, donc, le bloc 3, c'est le bloc 3 du grand projet, ce n'est pas le bloc 3 à l'intérieur du projet de loi. Alors, quand le projet de loi n° 82 sera adopté, que vous serez rendu au bloc 3, vous allez vouloir faire la consultation citoyenne, que ce soit avant la fin de la session, cet été, comme vous avez dit, ou bien à l'automne, vous avez l'intention de... Est-ce que vous avez l'intention de faire une consultation avec des grandes lignes pour susciter les réactions ou les contributions, ou vous allez avoir déjà un projet de règlement de rédigé, puis les gens vont réagir à ce règlement-là, ou est-ce que ça va être tout ouvert?

M. Bélanger : Je ne pense pas qu'il va avoir de projet de règlement. Déjà, par règlement, lorsqu'on a le projet de loi, il y a un règlement. Le règlement est en place, je fais une consultation publique, il va y avoir des recommandations. Je ne veux pas comparer avec ce qui se fait au niveau du cellulaire, au niveau du cellulaire, c'est beaucoup plus uniquement... c'est surtout avec les élus. Là, bien, c'est un service aux citoyens, donc, évidemment qu'on va vouloir une participation citoyenne qui est représentative des citoyens. Donc, on peut avoir différents groupes, différents groupes de citoyens qui sont représentatifs des citoyens du Québec. Et il va y avoir un mix qui va être en présentiel et qui va être à distance, à distance, pour être capable de justement élargir notre échantillonnage, parce que, dans certains cas, on ne pourra pas tout faire en présentiel.

Mme Caron : Donc, je comprends que ce ne sera pas une commission itinérante, par exemple, ça va être une consultation qui va se faire ouvertement, par opposition à huis clos, qui va se faire ici, fort probablement à l'Assemblée nationale, et, dans certains cas, les personnes vont participer à distance.

• (18 h 50) •

M. Bélanger : Moi, j'ai adoré, je reviens encore au projet...

M. Bélanger : …le projet de connectivité. J'ai adoré me promener en région, je me suis promené partout, que ce soit de Blanc-Sablon jusqu'aux Îles-de-la-Madeleine, tout ça, à rencontrer les citoyens puis voir quels étaient leurs enjeux. Parce qu'on utilisait deux types de technologie, on utilisait la technologie de la fibre optique, mais dans certains cas, on utilisait une technologie satellitaire. De quelle façon ils pouvaient adopter cette technologie-là? Puis là, vous allez me dire : Oui, mais elle n'est pas souveraine, c'est Starlink. Je vous dis qu'aujourd'hui, je travaille au niveau d'infrastructures, de connectivité, et le satellitaire en fait partie. On a aussi un plan, un plan à ce niveau-là. Mais rencontrer des citoyens dans les régions, parce que des régions… Si je prends la Haute-Gaspésie par exemple, c'est une région qui est dévitalisée. Donc, il y a peut-être un échantillonnage qui n'est peut-être pas représentatif de l'échantillonnage qu'on peut avoir à Montréal, exemple, ou à Québec ou au Saguenay. Donc, je vais vouloir certainement rencontrer des citoyens qui représentent certaines régions puis arriver avec des recommandations à ce niveau-là.

Mme Caron : Donc, ce sera une consultation citoyenne qui va se… qui va être… qui va se promener un peu partout au Québec.

M. Bélanger : Puis on peut… on peut utiliser aussi des mémoires qui peuvent être déposés dans le cas de l'utilisation de données biométriques et utiliser justement ces mémoires-là pour être capable d'avoir certains guides ou suggestions ou recommandations qu'on pourra partager.

Mme Caron : Bien, justement, quand on a fait les consultations pour le projet de loi n° 82, il y avait la commission de l'accès à l'information qui avait déposé un mémoire, et il y avait quand même des… une section assez intéressante sur la biométrie. Et là on parlait même de catégories de biométrie, hein, biométrie morphologique, la biométrie comportementale puis la biométrie biologique. Alors, est-ce que... est-ce que c'est… Ce sera sur…

M. Bélanger : On l'utilise déjà.

Mme Caron : Tout… toutes les catégories?

M. Bélanger : On utilise déjà ce mémoire-là, on l'analyse et on espère avoir d'autres mémoires aussi, utiliser justement d'autres… d'autres recommandations et suggestions, mais pas uniquement se fier là-dessus, écouter les citoyens aussi. Parce qu'uniquement utiliser les mémoires, c'est peut-être… je ne veux pas dire c'est restrictif, mais les préoccupations des citoyens sont importantes parce que c'est toujours dans la… dans la gestion du changement, si changement y a lieu. Mais s'il y a une adaptation à utiliser ces technologies-là, quelles sont les préoccupations citoyennes?

Mme Caron : Alors, effectivement, les… Parce que les mémoires qu'on a… qu'on a reçus pour la plupart ici, c'est des mémoires d'experts, donc des gens qui peuvent nous mettre en garde contre certaines choses, nous informer sur des façons de faire, des pratiques qui ont été utilisées ailleurs, qui ont bien fonctionné ou au contraire qui n'ont pas bien fonctionné. Donc, à ce moment-là, on nous met en garde. Puis c'est sûr que l'expérience citoyenne, elle, et le point de vue du citoyen peuvent être différents du point de vue des experts. Donc, il s'agit de… peut-être pas, je dirais, peut-être pas de concilier les deux, mais de prendre par la suite un règlement qui réduira les risques le plus possible et tout en permettant une utilisation correcte de la biométrie. Maintenant, est-ce que... puisque vous utilisez déjà, vous vous inspirez déjà du mémoire de la Commission d'accès à l'information, il y avait aussi la Ligue des droits et libertés qui avait des points intéressants dans son... dans son mémoire. Est-ce que ce sont des organismes que vous comptez inviter à cette consultation citoyenne?

M. Bélanger : Je vais dire «probablement».

Mme Caron : Probablement. Et est-ce que... est-ce qu'on pourra vous proposer d'autres organismes ou experts ou chercheurs dans le domaine, si on en a à vous proposer pour participer?

M. Bélanger : Tout à fait, tout à fait. Ça peut être bienvenu. Moi, je peux vous dire que la problématique dans toute transformation numérique, puis les technologies évoluent à vitesse grand pas, c'est la gestion de cette adaptation-là et de changement. On sous-estime l'ampleur de… l'énergie qu'on devrait mettre à gérer l'adaptation et le changement. On sous-estime toujours ça, donc on fonctionne toujours en push… Moi, je dis push ou pull, on force… On force une technologie parce que ça peut être rentable, ça peut être avantageux et dans ce cas-ci, on n'est pas dans du… on n'est pas dans du commercial, là, on ne vend pas, on ne cherche pas à vendre quelque chose, on cherche à simplifier la tâche des citoyens pour qu'ils aient un guichet unique pour accéder à des services. Donc, on veut leur rendre la vie plus facile, pas mettre leur vie à risque au niveau de leurs informations à risque. Donc, on va considérer les… quels sont les avantages, quels sont les inconvénients puis par les conclusions...

M. Bélanger : ...qu'on va en tirer, on va arriver avec le meilleur... le meilleur scénario.

Mme Caron : Parce que parfois, la façon la plus facile, pour le citoyen, ce n'est pas la façon la plus sécuritaire non plus. Donc, il faut faire des... il faut faire des arbitrages, dans tout ça.

M. Bélanger : Il faut le sensibiliser. Il faut le sensibiliser parce que le... oui, c'est un enjeu. Puis la population vieillissante puis c'est une population qui est... qui est vulnérable. On le voit au niveau des arnaques, du hacking, il y a des... il y a des risques à ce niveau-là. Donc, c'est des éléments qu'on doit... qu'on doit considérer.

Mme Caron : Oui. Et, puisque vous parlez des personnes aînées, malheureusement, les cas de maltraitance financière, c'est souvent des proches qui sont les coupables de ces maltraitances-là. Parfois, ils ne se rendent même pas compte que c'est de la maltraitance financière qu'ils font. Mais parfois, oui, mais ils continuent... ils continuent à le faire. Alors, si on prend le cas d'une personne âgée qui utilise la biométrie pour être identifiée, pour s'authentifier, avoir accès à des... et ça donne accès à des renseignements, rien n'empêche un proche de mettre le... de faire l'authentification dans... l'authentification du visage pour avoir accès à ses... Donc, c'est... c'est un exemple pour illustrer que ça peut aller loin, les mesures de protection qu'on doit prendre et puis ce qu'on doit...

M. Bélanger : Je suis d'accord avec vous. C'est un bon exemple. Mais c'est quel est le niveau de vulnérabilité entre la reconnaissance faciale et une analyse de la perception, comment la personne est face à la caméra versus quelqu'un qui prend le cellulaire puis qui me dit : Ah! je ne suis pas capable d'ouvrir, c'est quoi ton code? C'est... Il faut... Il faut évaluer tout ces scénarios-là. Puis il faut que les biométries donnent un... donnent un bénéfice. S'il n'y a pas de... S'il y a plus de risques que de bénéfices, à ce moment-là, bien, ce sera une solution qui ne sera pas considérée. Mais, s'il y a des bénéfices... Et, encore là, ça va être au choix du citoyen. Si le citoyen désire continuer à utiliser un, deux, trois, quatre, cinq, six, il peut décider. Mais il faut le sensibiliser à ce risque-là. Si, au lieu d'utiliser un, deux, trois, quatre, cinq, six, il désire utiliser un, deux, trois, quatre, cinq, six, plus la biométrie, plus un autre élément, là je n'utiliserai pas l'ADN parce que mon collègue n'avait pas... ne l'avait pas apprécié, mais il faut vraiment être capable d'arriver pour sécuriser au niveau des transactions et sécuriser au niveau des données. On a souvent peur de la biométrie, parce que, bon, on dit : Qu'est-ce qui se passe en Angleterre, les caméras, etc., un peu ailleurs? Donc, on prend souvent les mauvais cas, les mauvais scénarios. Par contre, moi, j'utilise mes empreintes sur mon iPad. J'utilise la reconnaissance faciale et j'utilise des codes aussi. Peut-être qu'il y a du risque, mais jusqu'à date je n'ai pas vu qu'il y ait du risque. Donc... Mais on apprend à chaque jour. Puis on doit... on doit évaluer. Probablement qu'en consultant certains mémoires ou en consultant certains experts, je vais pouvoir augmenter la sécurité de mes propres données. Peut-être que je suis à risque, mais peut-être pas autant à risque qu'un autre, qui l'a écrit sur un petit post-it ou dans son portefeuille, son code. Mais combien il y en a qui le font? Il y en a beaucoup qui le font parce qu'aujourd'hui c'est rendu, il y a tellement... l'accessibilité, les codes, etc., qu'on essaie de se simplifier la vie. Donc, si de simplifier la vie, c'est d'utiliser la biométrie et puis que le citoyen en toute... en connaissance de cause connaît les risques, mais les avantages, puis qu'il décide : Moi, je veux l'utiliser, c'est peut-être un bon choix. Je n'en conclus pas aujourd'hui, mais c'est peut-être un bon choix pour lui. Mais on le verra par les consultations publiques qu'on va avoir au niveau d'utiliser les données biométriques.

• (19 heures) •

Mme Caron : Puis finalement aussi, ce qui... outre le fait de s'authentifier facilement avec la biométrie, une fois que la biométrie est dans la machine, je dirais, il peut y avoir... il peut y avoir des données biométriques qui se retrouvent dans le système sans qu'on le sache nécessairement, ou par l'intelligence artificielle, une utilisation des données biométriques pour justement décrire un comportement ou... On a vu, c'est en France, où il y a eu... où les mères monoparentales... c'était dans un...

Mme Caron : ...certains secteurs, c'était... ils avaient été ciblés comme des risques de fraude, alors que ce n'était pas le cas, mais c'était... Ce n'était pas l'intention non plus, mais c'est le système qui avait utilisé les données de cette façon-là. Alors, il y a aussi ça à prendre en compte.

M. Bélanger : Il y a beaucoup d'éléments à considérer, tu sais. Si un jour on arrive avec des données biométriques, elles doivent être stockées où? Est-ce qu'elles doivent être stockées avec d'autres données où c'est une clé? Si on dit, je ne sais pas, si j'utilise la donnée biométrique pour accéder à mon dossier santé, par exemple, est-ce que le dossier santé est séparé de la donnée biométrique? Et pour accéder ce dossier de santé là, c'est uniquement comme une clé pour déverrouiller, mais qui... Les deux bases de données ne sont pas associées? C'est probablement vers ça qu'on va qu'on va s'en aller et non mettre la donnée biométrique avec les diverses bases de données qui sont... qui sont utilisées. Ça fait que c'est des... C'est des... Des clés d'utilisation, c'est des clés d'accès. Je ne vous dis pas que c'est ce qui va arriver, mais c'est l'exemple, tu sais. La problématique, c'est souvent la vulnérabilité des bases de données. Actuellement, il y en a plusieurs. Il y a des enjeux de sécurité, et on veut diminuer les enjeux de sécurité au niveau de ces bases de données là.

Mme Caron : Merci. C'était une bonne discussion.

Le Président (M. Bernard) : Merci.

Mme Caron : Alors, il reste à... En tout cas, disons que j'ai hâte à la consultation avant le... avant le... avant le règlement. Et j'espère que la consultation aura effectivement lieu comme il est prévu pour s'assurer de ne pas avoir de règlement qui ferait en sorte, là, que... toutes sortes de choses qui feraient en sorte que, bien, il faut qu'on... il faut qu'on l'adopte parce que c'est dans la loi, puis on n'a pas le temps de faire la consultation publique. Alors...

M. Bélanger : Je suis certain qu'il y a une motion de confiance envers le ministre.

Le Président (M. Bernard) : Merci. Est-ce qu'il y a d'autres interventions sur l'article 10.9? M. le député de Maurice-Richard. Et il vous reste 2 min 50 s.

M. Bouazzi : Bien, je vais essayer d'aller très... En fait, on m'a envoyé un amendement, comme ça je ne serai pas coupé, que je vous propose, même pas besoin de suspendre, que je vous propose de mettre à l'écran.

Le Président (M. Bernard) : On va suspendre quelques instants...

M. Bouazzi : Parfait.

Le Président (M. Bernard) : ...s'il vous plaît. Merci.

(Suspension de la séance à 19 h 02)

(Reprise à 19 h 07)

Le Président (M. Bernard) : Oui, M. le député de Maurice-Richard. Vous voulez introduire un...

Une voix : ...

Le Président (M. Bernard) : O.K. Oui, M. le député de Maurice-Richard, vous voulez déposer un amendement à l'article 10.9?

M. Bouazzi : Exactement, M. le Président. Il est très simple, c'est que...

Des voix : ...

M. Bouazzi : Oui, j'ai l'impression qu'il manque le... Ah! voilà, si, ça marche. Donc :

«L'article 10.9 de la Loi sur le ministère de la Cybersécurité et du Numérique, introduit par l'article s6 du projet de loi, est modifié par la suppression du paragraphe 3.»

Tout simplement. Donc, l'idée de donner le pouvoir discrétionnaire au ministre de pouvoir introduire qu'un gouvernement au Québec pourrait commencer à accumuler les données biométriques des Québécoises et Québécois ne me semble pas du tout raisonnable. Et donc, donc, je comprends, tout à l'heure, vous avez parlé de ramasser les données... l'ADN des Québécois en boutade, et, bon, chacun son humour, mais je trouve pas mal, quand même... je trouve... Mais, au-delà de ça, M. le ministre, je répète l'exemple que je vous ai donné, et puis, tu sais, juste... Dites-moi, d'abord, si... le fait qu'on ouvre une brèche à ça, est-ce que ça vaut le coup ou pas? Donc, on avait l'exemple de dire : On a la police qui marche dans une manifestation avec une caméra. En temps réel, les données sont envoyées au système, on est capable de reconnaître les gens et, du coup, évidemment, d'accélérer du profilage, y compris de recouper les bases de données avec d'autres bases de données où il y a des gens qu'on cherche, etc.

Vous avez donné l'exemple pour Tesla, de... à la recherche d'un terroriste, etc. Vous savez, les brèches sur les droits de la personne commencent toujours par une très, très bonne raison, là, mais on peut très, très bien imaginer qu'un jour il y a un policier qui croise un pédophile multirécidiviste qui est recherché et qu'on se dise : Ah! on aurait donc bien dû l'arrêter avant qu'il commette plus de crimes. Et donc on se donne ce genre de pouvoir la première fois parce que c'est une bonne idée, et puis, ensuite... Et, encore une fois, rien n'empêche un gouvernement d'utiliser les clauses dérogatoires pour pouvoir appliquer toutes sortes de dérives autoritaires. Ça fait que sur quelle base est-ce que ce serait juste un ministre qui aurait ce genre de pouvoir, là?

Le Président (M. Bernard) : M. le ministre.

M. Bélanger : Il y a déjà des informations... Vous donnez l'exemple... Un, l'exemple de l'ADN, là, c'était personnel.

M. Bouazzi : C'était une blague.

M. Bélanger : Je veux dire, je serais prêt à... Ça fait que c'était un peu un peu à la blague, puis là vous dites qu'on veut utiliser l'ADN des Québécois, je pense que ce n'est pas... ce n'est pas judicieux comme... comme commentaire, surtout si c'est... c'est public.

• (19 h 10) •

Nous, c'est pour des fins d'identité, ce n'est pas des fins de surveillance. C'est certain que vous parlez de brèches. Est-ce que la donnée biométrique va être stockée de façon sécuritaire et qu'il n'y a pas de risque de brèche? Je pourrais poser la même question avec nos... nos photos qui sont sur les passeports, nos photos qui sont au niveau de la SAAQ.

Il y a déjà des informations qui existent. Vous avez déjà vos photos sur des... Au niveau des GAFAM, il y a déjà ces... Mais pour fins d'identité numérique, c'est quelque chose qu'on va évaluer, ça ne veut pas dire qu'on va le faire, et on... il y a un processus de consultations publiques qui est obligatoire parce que c'est un règlement. Donc, on va fonctionner par consultations publiques. Si les conclusions sont positives pour certains types de données biométriques et négatives pour d'autres, on va suivre... on va suivre les recommandations.

Donc, il y a un processus qui est... qui est rigoureux. Je vous l'ai dit que j'irais dans les régions. On va consulter les mémoires. On va consulter les citoyens en présentiel, en virtuel. Je pense que ça va être fait de façon... de façon professionnelle et sérieuse. Est-ce qu'on tire la conclusion aujourd'hui qu'on va ficher les citoyens avec des photos, etc. puis que ça va être utilisé pour les surveiller? Là, je pense qu'on déborde du cadre de l'identité numérique où on veut faciliter, pour les citoyens, la vie à accéder à des services. C'est ça, l'objectif, c'est d'accéder à des services du gouvernement, avoir un point unique, une clé d'entrée unique avec le meilleur niveau de sécurité au niveau du citoyen pour ses données à lui. C'est ça, l'objectif. Et si la donnée biométrique est un facteur de sécurité supplémentaire avec le processus de consultations publiques arrive à la conclusion que, oui, tel type de données biométriques, bien là, à ce moment-là, on pourra... on pourra... on pourra en discuter suite aux conclusions. Mais, pour l'instant, c'est de la spéculation parce qu'on a un processus de consultations publiques à faire.

M. Bouazzi : Mais ce qui ne me rassure pas, M. le ministre, c'est qu'on a eu un processus de consultations publiques, là, là, puis les groupes, ils sont venus les uns après les autres pour nous dire : Mais n'utilisez pas les données biométriques, à moins que vous ayez vraiment besoin. Vous... Votre gouvernement, votre prédécesseur a refusé même d'inclure ça dans le... le projet de loi. Il y a toutes sortes de groupes qui sont venus nous dire : N'utilisez pas les données biométriques, vous n'en avez pas besoin, vous n'êtes pas capables de les sécuriser. Si on vous les vole, on ne pourra plus jamais les modifier. C'est une véritable catastrophe. Il y a plein de gens qui sont venus, là, ici même dans cette salle, pour nous dire : Ne le faites pas. C'était une consultation. Sur quelles bases vous pensez que toutes ces personnes-là avaient tort et que, tout d'un coup, on va faire une autre consultation en parallèle et, tout d'un coup, garder les photos des rétines ou des visages, ou je ne sais pas quelle affaire biométrique, serait tout d'un coup une bonne idée. Parce que des citoyens qu'on a vus en Gaspésie, au Lac-Saint-Jean ou en Outaouais, nous dire : Ah! Bien oui, bien, moi j'adore mon iPhone, quand je «slide», ça reconnaît mon visage, c'est super pratique. Je veux dire, je ne comprends pas pourquoi est-ce que c'est les gens qui sont venus ici en commission, on ne devrait pas les écouter? Est-ce qu'il y en a qui vous ont dit : C'est une très bonne idée? Honnêtement, je n'ai pas le souvenir, peut-être que j'en ai raté, là. Est-ce qu'il y a des gens qui nous ont dit : C'est une très bonne idée, les données biométriques des citoyennes et citoyens, en commission?

Le Président (M. Bernard) : M. le ministre.

M. Bélanger : Les données... les données biométriques, certaines données biométriques peuvent être une bonne idée pour faciliter l'identité, l'identification numérique des citoyens. Oui, ça peut être une bonne idée, mais on va passer par la consultation publique pour voir quel type de données biométriques pourrait être utilisé. Si la conclusion des consultations citoyennes est qu'aucune donnée biométrique ne devrait être utilisée, ça sera la conclusion. Mais pour l'instant, on peut passer par une consultation publique.

Je pense que de se limiter à des codes, à des codes 1, 2, 3, 4,5, ou alphanumériques x... x, y, z n'est peut être pas la meilleure avenue. Il y a peut être d'autres moyens de bonifier ou de rendre beaucoup plus sécuritaire l'identité numérique citoyenne et éventuellement l'identité numérique entreprise pour accéder à des guichets de services gouvernementaux, et qui vont permettre aux citoyens de s'assurer...

Le Président (M. Bernard) : M. le ministre, désolé de vous interrompre. Je remercie tout le monde de votre collaboration. Compte tenu de l'heure, la commission ajourne ses travaux au mardi 29 avril, à 9 h 30, où elle...

Le Président (M. Bernard) : ...entreprendra un autre mandat.

(Fin de la séance à 19 h 15)